2018 yılında Genel Veri Koruma Yönetmeliği’nin (GDPR) yürürlüğe girmesiyle ortaya çıkan Veri Koruma Görevlisi (DPD veya İngilizce DPO) artık kişisel verilerin yönetiminde merkezi bir rol oynamaktadır.
2018’de bu sorumluluğun oluşturulmasından bu yana sayıları arttı (2018’de 21.000 ve 2021’de 29.000). Ancak bu mesleğin icrası için ayrılan imkânlar çoğu zaman yetersiz kalmaktadır.
Danışmanlık firması Grant Thornton tarafından yakın zamanda yayınlanan bir araştırmaya göre, DPO genellikle “orkestrasız bir orkestra şefi” olma duygusuna sahip. Araştırmada, katılımcıların %55’i kendilerine ayrılan kaynakların yetersiz olduğuna inanıyor. Katılımcılar, veri yönetişim stratejileri sergileyen büyük şirketler de dahil olmak üzere, işlevlerinin kapsamının “bazen hafife alındığına” inanıyor.
Ekipleri dahil edin ve üçüncü taraflarla anlaşma yapın
Örneğin, DPO’lar üçüncü tarafların uyumunu izlemede zorluklarla karşılaşmaktadır. Uyumluluk anketleri göndermek gibi mevcut araçlar ve yöntemler onlara “yetersiz” ve zaman alıcı görünüyor. DPO’ların %43’ü, yüklenicilerle yapılan doğrulama çalışmalarının genellikle yönetilemeyecek kadar ağır olduğuna inanıyor.
Kişisel verilerin korunması konularında operasyon ekipleri “bulmak” zor görünse de, DPO’ların %34’ü şirketteki genel kültürlenme seviyesinin hala çok düşük olduğunu belirtiyor.
Yeterince desteklenmeme duygusu DPO’ların bağlı olduğu departmana göre de değişmektedir. Tarihsel olarak, DPO’lar çoğunlukla CIO’lara veya hukuk departmanlarına bağlıydı. Dörtten beri bir göç gerçekleşti. Bugün DPO’ların %13’ü risk departmanına ve %21’i genel yönetime rapor veriyor. Öte yandan, %10’u bir BT departmanına bağlı kalır.
DPO’ların büyük bir çoğunluğunun görevlerini dahili olarak yerine getirdiği ve daha küçük bir oranın harici olarak veya paylaşımlı iş istasyonlarında gerçekleştirdiği belirtilmelidir. Bu elbette ilgili şirketlerin veya kamu kuruluşlarının ihtiyaçlarına ve profillerine bağlıdır. Bu ayrım, katılım derecesi ve pozisyon için gerekli eğitim seviyesi üzerinde de sonuçsuz değildir.