6698 sayılı Kişisel verilerin Korunması Kanunu ile biz vatandaşların kişisel haklarından biri çok önemli bir güvenceye kavuşuyor.
Diğer taraftan bakınca kanun beraberinde, “Veri Sorumlusu” olarak tanımladığı verilerimizi alan, işleyen ve saklayan kurumlar için yeni sorumluluklar, süreç değişiklikleri ve yeni çalışma sistemleri getiriyor. Eski usullerle çalışan kurumların bu kanuna uyum sağlamadıkları sürece hem müşteri ve çalışanlarına karşı, hem de devlete karşı, ceza hukukuna dokunan risklere maruz kalacaklarını biliyoruz.
Bir kurum düşünelim,
Sürekli toplantılar düzenleyerek günlük/haftalık işlerini yoluna koymaya çalışıyor, operasyondaki görevliler iş yaparken üslerinden veya müşteriden gelen “acil” kodlu işten başlıyor. Kurum yöneticileri ilgili görevliye çok önemli bir şeyi atladığını hatırlatınca da sonraki günün en öncelikli işi o oluyor. Bir sonraki hafta yine benzer bir durum…
Sizi bilmem ama ben böyle bir kurumda çalışmak istemezdim.
Peki ya bu kurumun sahibi/yöneticisi isek?
Yani düzeltme sorumluluğu üstleniyorsak bu durumda çözüm odaklı bir yaklaşım gerekecektir.
Burada gelmeye çalıştığımız nokta şu;
İşlerin öncelikleri, kazandıracakları fayda ve/veya azaltacakları risk ile ölçülür/ölçülmelidir. Önceliklerinizin ucunu önceki örnekte bahsedildiği gibi kaçırmışsanız stratejik kararlar, yakın uzak hedefler gütmeniz çok da kolay olmayacak demektir.
Buraya kadar değindiğimiz yönetim yaklaşımları ile ilgili kısma bir virgül koyalım.
Konumuz KVKK’ya uyum, yani Kişisel Verilerin Korunması Kanununa.
Öncelikle kurumunuzda stratejik karararı alan yetkililer 2016 yılı içerisinde kurumun Hukuk ve BT birimleri ile KVKK özelinde toplantılar yapmamışsa, 2017 de BGYS (Bilgi Güvenliği Yönetim Sistemi) ve KVKK ile ilgili sistem kurma, eğitim alma, teknolojik alt yapı güncelleme gibi adımlar atılmamış ise sizin için 2018 yılı bir hayli zor geçecektir.
En azından eksiklerin kapatılması için gerekecek olan gecikmiş iş yükü, çalışma dinamiklerinizi olumsuz yönde etkileyecektir.
İlk Soru;
– Kurumumda hangi kişisel veriler var?
Bu soru cevaplanmadan KVKK uyumundan yani KVKS’den söz etmek mümkün olmadığı gibi, cevaplamak da oturduğumuz yerden düşünmek ile mümkün değil.
En azından şu söylenebilir: Bir kurumda KVKS kurulumu projesi ile yapılandırılmış olan Kişisel Veri Varlığı, proje öncesindeki beyanlardan / zanlardan çok çok daha fazlası olacaktır.
YENİ BİR İŞ YÜKÜ (MÜ ?);
KVKK’nın gerektirdiği sistem ve dokümanter yapıya geçiş
Bir KVKS sisteminde ilk adımlardan biri veri envanteri oluşturmaktır. Veri envanterinin hazırlanması demek, tüm verilerin tespit ediltikten sonra kategorize edilmesidir. Fakat bu işlemler ciddi bir iş yükü ve danışmanlık tecrübesi gerektirmektedir.
Şöyle ki:
Verinin tespit işlemi öncesinde ilgili kurumun iş süreç akışlarının bilinmesi gerekliliği ön plana çıkıyor, yani burada dikkat çekilen şey, kurumun süreç akışlarının tamamı hazırlanmadan veri envanterinin hazırlanamayacığıdır. Fakat bu tek başına yetmeyecektir.
Kurumun süreç akışlarının hazırlanması da hizmet envanterinin varlığına bağlıdır.
Kısacası KVKK yükümlülüklerini yerine getirirken sitemsel açık kapılar bırakmak istemeyen veri sorumlusu bir kurum, tüm iş, hizmet ve veri alım süreçlerini en kısa zamanda yazılı hale getirmelidir.
TEKNİK AÇIDAN KVKK
KVKK hangi birimin sorumluluğu altında?
Hukuk mu, Kalite mi yoksa Bilgi İşlem mi?
Türkiye’de daha çok hukukçular eliyle farkındalık oluşturulan KVKK, esasında BT süreçlerini değiştiriyor. Konu özelinde ciddi bir yönetim sistemi gerektirdiği için Kalite Birimi de KVKK için önemli bir paydaştır. Ama en çok hangi birimin pratiklerini değiştirecek derseniz bu BT olacaktır.
Uygulama örneklerinden hareket edecek olursak;
Kurumun aldığı, işlediği ve sakladığı verileri koruması bekleniyor. Ama kurumların veri alma işlemi öncesinde hangi veriyi niçin ve ne şekilde alıp kullanacağını, ne kadar tutacağını ve kimlerle
paylaşacağını belirleme, sonrasında da belirlediği bu amaçlarını KVK Kurumuna (veri kategorilerinin bulunduğu bir envanter ile) dijital olarak beyan etme yükümlülüğü var.
Sonrasında ise doğal olarak beyan etmiş olduğu sınırlar içerisinde kalarak veriyi işlemesi ve saklaması gerekiyor.
Peki bu neden bu kadar önemli?
Çünkü 6698 sayılı KVKK kanununun 11. maddesi verisi işlenen kişilere bunlar hakkından bilgi edinme hakkı veriyor. Dolayısıyla veri sorumlusu kurumlara da yasal süresi içinde cevap verme yükümlülüğü…
Veritabanı dışında (mesela kulllanıcı PC’ lerinde) bulunan yapılandırılmamış (unStructured) kişisel verilerin tespit edilerek veritabanlarına aktarılması, sonrasında da veritabanları dışında veri bulundurmanın da önüne geçilmesi gerekecektir. Yoğun veri barındıran kalabalık kullanıcılı sistemlerde KVKS kurulumu öncesinde bu işlemi yapmak için tasarlanmış olan ve sonrası için de fonksiyonlar barındıran yazılımlar mevcut.
Kurum, verileri işlerken kötü niyetli veya ehliyetsiz çalışanlarının olumsuz müdahalelerinden korumak için ve/veya muhtemel veri sızıntıları sonrasında önlem olarak maskeleme, tokenize etme veya psödonimleştirme gibi metod ve teknolojileri kullanabilir. Hatta kritik verilerin yoğun olarak işilendiği, saklandığı kurumlarda bu teknolojileri kullanmak kaçınılmaz olmaktadır.
(Bu yazılımları edinerek problemin çözülmüş olmayacağını da hatırlatalım)
Problemin çözümü için iki ana unsur belirleyici olacak; Sistemin kanun koyucusu, beyan toplayıcısı ve denetleyicisi olarak DEVLET, ve daha önemli olarak,
Hak arayıcısı, takipçisi, sorgulayıcısı, veri sahibi olarak VATANDAŞ…