Oca302022
TebliglerPersonel Sertifikasyon Mekanizması
Veri Koruma Görevlisi Sertifikasyonu Tebliği (2021) | ISO/IEC 17024 Rehberi
KVKK · Veri Koruma Görevlisi · ISO/IEC 17024 · SERTABİS

Veri Koruma Görevlisi Sertifikasyonu Tebliği Amaç, Yetkilendirme, Sınav ve SERTABİS

06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Tebliğ; (TS) EN ISO/IEC 17024 standardına uygun şekilde yürütülen Veri Koruma Görevlisi Programı kapsamında kişilerin sertifikasyonuna ilişkin usul ve esasları düzenler.

Tebliğ; personel belgelendirme kuruluşlarının TÜRKAK akreditasyonu ve Kurum yetkilendirmesi süreçlerini, sınav ve değerlendirmeyi, sertifikaların 4 yıllık geçerliliğini ve kamuya açık sorgulama imkânı veren SERTABİS yapısını çerçevelendirir. Bu sayfa, metni “madde mantığı” bozulmadan pratik bir okuma düzenine taşır.

Amaç & Dayanak Sınav & Geçerlilik
İçindekiler 1. Amaç, Kapsam, Dayanak ve Tanımlar 2. Genel Esaslar ve Temel İlkeler 3. Veri Koruma Görevlisi Unvanı & Sertifika Mantığı 4. Program, Başvuru, Ölçme-Değerlendirme, Yetkilendirme 5. SERTABİS, Yükümlülükler, Şikâyet-İtiraz, Yaptırımlar 6. Sık Sorulan Sorular
Hızlı Özet

Standart: (TS) EN ISO/IEC 17024 (personel belgelendirme genel şartları).
Kim yürütür? TÜRKAK akrediteli ve Kurum tarafından yetkilendirilmiş personel belgelendirme kuruluşları.
Sertifika süresi: Sınav sonucu ilanından itibaren 4 yıl.
Sorgulama: SERTABİS ile sertifika/kapsam/tarih/statü doğrulaması.
Önemli not: Katılım belgesi, tek başına unvan ve faaliyet yetkisi vermez.

ISO/IEC 17024 TÜRKAK Akreditasyon Kurum Yetkilendirme SERTABİS
Not: Tebliğ, veri sorumlusunun/veri işleyenin KVKK’ya uyum sorumluluğunu “devretmez”. Veri koruma görevlisi istihdamı, uyum sorumluluğunu ortadan kaldırmaz; sadece uzmanlık ve süreç olgunluğu için destek sağlar.

1. Amaç, Kapsam, Dayanak ve Tanımlar

1.1. Amaç

Tebliğin amacı; (TS) EN ISO/IEC 17024 standardına uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir.

1.2. Kapsam

Tebliğ; ISO/IEC 17024’e göre TÜRKAK tarafından akredite edilen ve ayrıca Kurum tarafından yetkilendirilen personel belgelendirme kuruluşlarının yürüteceği sertifikasyon faaliyetlerini; veri koruma görevlilerini ve adaylarını kapsar.

1.3. Dayanak

Düzenleme; 6698 sayılı KVKK m.22/1-e ile Kurumun teşkilat düzenlemeleri kapsamında ilgili maddelere dayanılarak hazırlanmıştır. (Resmî Gazete: 06/12/2021, Sayı: 31681.)

1.4. Tanımlar (Seçili ve pratik okuma)

Terim Pratik anlamı
Akreditasyon TÜRKAK’ın, belgelendirme kuruluşunun yeterliliğini teknik kriterlerle değerlendirmesi ve düzenli denetlemesi.
Personel Belgelendirme Kuruluşu ISO/IEC 17024 kapsamında TÜRKAK’tan akredite olup, sınavda başarılı olanları belgelendirmeye yetkili kuruluş.
Yetkilendirme TÜRKAK akrediteli kuruluşa, Kurum tarafından Tebliğ kapsamında faaliyete başlamak için verilen izin.
Katılım Belgesi Eğitim programının tamamlandığını gösterir; tek başına unvan ve faaliyet yetkisi vermez.
Veri Koruma Görevlisi Sınavda başarılı olup sertifika alan ve geçerlilik süresi boyunca unvanı kullanabilen kişi.
SERTABİS Sertifika doğrulama/sorgulama sistemi: kapsam, tarih, numara, statü ve kuruluş bilgileri kamuya açık sorgulanır.
Hatırlatma: Tebliğde yer almayan tanımlarda, Kanun ve Standart’taki tanımlar geçerlidir.

2. Genel Esaslar ve Temel İlkeler

Sertifikasyon işlemleri; Tebliğ ve Standart hükümlerine uygun yürütülür. Uygulamada öne çıkan temel ilkeler:

2.1. Tarafsızlık ve şeffaflık

  • Sertifikasyon faaliyetlerinin tüm süreçlerinde tarafsızlık ve şeffaflık sağlanmalıdır.
  • Başvuru, sınav, değerlendirme ve belgelendirme adımları öngörülebilir ve denetlenebilir olmalıdır.

2.2. Yeterli kaynak ve altyapı

Personel belgelendirme kuruluşunun; yeterli personel, kaynak, fiziki/teknik/idari altyapıya sahip olması beklenir. Bu, sınav güvenliği ve ölçme-değerlendirme kalitesi açısından kritik bir şarttır.

2.3. Uyum sorumluluğu devredilemez

Veri sorumlusu/veri işleyenin bünyesinde veri koruma görevlisi istihdam edilmesi; KVKK ve ilgili mevzuata uyma sorumluluğunu ortadan kaldırmaz.

2.4. Katılım belgesi unvan vermez

Katılım belgesi; eğitimin tamamlandığını gösterir. Veri koruma görevlisi unvanı ve bu kapsamda faaliyet gösterebilme imkânı sağlamaz. Unvan için sınavda başarı ve sertifikasyon gerekir.

Pratik çıkarım: “Eğitim (katılım belgesi)” ve “belgelendirme (sertifika)” birbirinden ayrıdır. Süreç tasarlanırken bu iki aşama karıştırılmamalıdır.

3. Veri Koruma Görevlisi Unvanı & Sertifika Mantığı

3.1. Unvana hak kazanma

Katılım belgesi alan kişilerden sınavda başarılı olanlar, veri koruma görevlisi unvanını kullanmaya hak kazanır.

3.2. Program kapsamı ve yeterlilik varsayımı

Veri koruma görevlisinin; sertifikalandırıldığı program kapsamında, kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. Bu kabul, program şartları ve ölçme-değerlendirme kurgusuyla ilişkilidir.

3.3. Geçerlilik süresi boyunca kullanım

Unvan, yalnızca sertifikanın geçerlilik süresi boyunca kullanılabilir. Geçerlilik sona erdiğinde unvan kullanımı da sona erer.

Önemli: Sertifika, “süresiz yetki” değil; belirli bir dönem için doğrulanabilir bir yeterlilik kaydıdır.

4. Program, Başvuru, Ölçme-Değerlendirme, Yetkilendirme

4.1. Program kullanma onayı ve sözleşme (Madde 7)

  • Kurumun yayımladığı programın akreditasyon sürecinde kullanılabilmesi için program kullanma onayı ve ardından sözleşme imzası gerekir.
  • Program, Kurumun yayımladığı güncel haliyle ve değişiklik yapılmaksızın kullanılmalıdır.
  • Sözleşme imzasından sonra 6 ay içinde TÜRKAK’a akreditasyon başvurusu yapılmazsa sözleşme hükümsüz hale gelir.

4.2. Yetkilendirme (Madde 8)

TÜRKAK tarafından akredite edilen kuruluş, belge vermeye başlamak için Kuruma yetkilendirme başvurusu yapmak zorundadır. Yetkilendirilmeden bu Tebliğ kapsamında faaliyet yürütülemez.

4.3. Yetkilendirmenin durdurulması / iptali (Madde 9-10)

Durum Bildirim süresi Sonuç
Akreditasyon askıya alındı / kapsam daraltıldı 7 gün içinde Kuruma bildirim Askı/kapsam daraltma süresi boyunca yetkilendirme durdurulur; faaliyet sürdürülemez.
Akreditasyon geri çekildi 3 gün içinde Kuruma bildirim Yetkilendirme iptal edilir; iptal bilgisi Kurum sitesinde ilan edilir.

4.4. Sınava başvuru, sınav ve değerlendirme (Madde 11-12)

  • Sınava başvuru: Son 4 yıl içinde katılım belgesi alanlar veya geçerli sertifikası olanlar, program şartlarını sağlamak kaydıyla başvurabilir.
  • İlan: Sınavlar en geç 15 gün önce duyurulmalıdır.
  • Başarı: Sınavda başarılı olan adaylar veri koruma görevlisi sertifikasını almaya hak kazanır.

4.5. Ücretler ve geçerlilik (Madde 13-14)

Program kapsamındaki ücretlerin belirlenmesi ve güncellenmesinde Kurul yetkilidir; ücretler her takvim yılı başında ilan edilir. Sertifika geçerliliği, sınav sonuçlarının ilanından itibaren 4 yıldır. Yenileme, program şartları çerçevesinde yeniden başvuruyla yapılır.

Mini kontrol: “Program (kurallar) → Akreditasyon (TÜRKAK) → Yetkilendirme (Kurum) → Sınav → Sertifika → 4 yıl → Yenileme” zinciri birlikte düşünülmelidir.

5. SERTABİS, Yükümlülükler, Şikâyet-İtiraz ve Yaptırımlar

5.1. SERTABİS (Madde 15)

Kurum; sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesi için kamuya açık sorgulama imkânı sunan Sertifika Takip ve Doğrulama Bilgi Sistemi (SERTABİS)ni kurar ve yönetir.

SERTABİS’te; katılım belgesi bilgileri, kuruluş statü değişiklikleri, sertifika sahibi bilgileri ve sertifikaların kapsam/tarih/numara/geçerlilik/statü bilgileri yer alır.

5.2. Kuruma bilgi ve belge gönderme (Madde 16)

  • Kurum, program kapsamında gerekli gördüğü bilgi/belgeleri isteyebilir; ilgili taraflar 15 gün içinde göndermek zorundadır.
  • Kuruluşa ait değişiklikler öğrenilmesinden itibaren 15 gün içinde bildirilir.
  • Kuruluş, sertifika verilen kişilerin kimlik/iletişim ve sertifika bilgilerini sertifikasyon tarihinden itibaren 15 gün içinde SERTABİS’e yükler.

5.3. Şikâyet ve itiraz yolu (Madde 17)

Program kapsamındaki şikâyet/itirazlar önce personel belgelendirme kuruluşuna yapılır. Red veya 30 gün içinde cevap verilmemesi hâlinde; belirli süreler içinde Kuruma başvuru imkânı doğar.

5.4. Yaptırımlar ve düzenleme yetkisi (Madde 18-19)

  • Yükümlülüklere aykırılık halinde Kurul; yetkilendirmeyi durdurma veya iptal etme yetkisine sahiptir.
  • Tebliğde yer almayan/açıklık olmayan konularda Kurul, ilgili mevzuat çerçevesinde düzenleme yapabilir.
Özet: SERTABİS; sahte/yanlış beyan riskini azaltır, doğrulanabilirlik sağlar. Şikâyet/itiraz mekanizması ise ölçme-değerlendirmede hesap verebilirliği güçlendirir.

6. Sık Sorulan Sorular

Katılım belgesi ile veri koruma görevlisi olunur mu?

Hayır. Katılım belgesi, eğitimin tamamlandığını gösterir; unvan ve faaliyet yetkisi vermez. Unvan için program şartlarını sağlayıp sınavda başarılı olmak ve sertifika almak gerekir.

Sertifika kaç yıl geçerlidir?

Tebliğ kapsamında verilen sertifikaların geçerlilik süresi, sınav sonuçlarının ilanından itibaren 4 yıldır.

TÜRKAK akreditasyonu varken Kurum yetkilendirmesi neden ayrıca aranır?

Akreditasyon, belgelendirme kuruluşunun standarda göre yeterliliğini; yetkilendirme ise Tebliğ kapsamında faaliyete başlama iznini ifade eder. Bu nedenle “akreditasyon + yetkilendirme” birlikte aranır.

SERTABİS ne işe yarar?

Sertifikaların kapsamı, tarihi, numarası, geçerlilik süresi ve statüsünün doğrulanabilmesini sağlar. Kurum ayrıca kuruluş bilgileri ve statü değişikliklerini de görünür kılar.

Veri Koruma Görevlisi ISO/IEC 17024 TÜRKAK Akreditasyon Kurum Yetkilendirme SERTABİS Sertifikasyon Sınav ve Değerlendirme
Category: Tebligler

Author: Aydın Uygar

Veri Koruma ve Bilgi Güvenliği Baş Denetçisi / Uygulama Lideri Siber güvenlik, veri koruma ve bilgi güvenliği yönetimi alanlarında 10+ yıl deneyime sahip; KVKK/GDPR uyumu, ISMS tasarımı ve denetimi, veri yönetişimi ve kurumsal güvenlik stratejilerinde uzman bir danışman. Nesil Teknoloji A.Ş. bünyesinde genel yönetim ve iş geliştirme fonksiyonlarını yürüterek kurumlara uçtan uca siber güvenlik ve gizlilik uyum çözümleri sunuyor.