Sürdürülebilir Kişisel Verileri Koruma Denetimleri

 

KVKK ülkemizde hayata geçeli uzun bir süre oldu. Kurul ve kurum kuruldu ve hatta ilk denetimlerini bile yaptılar. Hala uygulama konusunda birçok net olmayan nokta olmasına rağmen artık ok yaydan çıktı. Türkiye’deki organizasyonlar KVKK’ya geçmişteki ETK yasası veya rekabet benzeri bir yaklaşım içinde bir seferlik uyum sağlanacak ve sonrasında gerektikçe güncellenecek bir zorluk gibi algılamaktalar. Çok azı ise bunun iş yapış yöntemlerine, kalıcı bir değişiklik getireceğini fark etmiş durumdalar.

KVKK konusu Avrupa’da ortaya çıktığında, en dijital alet bir hesap makinesiydi. Ama şimdilerde dijital olmayan bir süreç kalmadı neredeyse. Bunca yılın getirdiği kişisel verileri sistematik olarak düzenlenmeden işlenerek getirdiği yük, bir an önce çözülmeye çalışılmaktadır.

KVK Kurumu henüz bu noktaya gelmedi ama zaman içinde büyük bir ivme ile geleceklerine şüphe yok. Organizasyonların gelecekleri nokta sürdürülebilir kişisel veri koruma programlarının, her organizasyon için aranan temel koşul olması gerekliliğidir. Bu noktaya gelene kadar çoğu kurum cüssesini saklayabilecek bir taşın arkasına saklanma stratejisini tercih edecek gibi görünmektedir. Taşlar sahadan tek tek kalkınca, aslan yavaş koşan avcıları tek tek yakalayacaktır. Bu durumun öncesinde vizyoner organizasyonlar;veri yönetişimi açısından ele aldıkları bu yasayı bir zorluk değil aksine bir katalizör halinde kullanıp dijital dönüşümü geçirmek için kullanacaklardır. Bu noktada dikkat edilmesi gereken husus kişisel veri koruma programlarının sürdürülebilir olmasıdır. Bu da ancak veri yaşam döngüsünün baştan sona kadar yönetilmesi ile mümkün olacaktır.

Veri yaşam döngüsünün yönetilmesinde kritik unsurlardan birisi de veri sorumlularının ve veri işleyenlerin KVKK kapsamında denetimlerinin yapılmasıdır.

Denetim noktasında temel birkaç alan aşağıdaki şekilde vücut bulmaktadır:

  • Veri güvenliği korunumu
  • Veri işleme yönetişimi korunumu
  • Veri işlemenin hukuki dayanakları
  • Yasal şekli gerekliliklere uyum
  • Veri sahibi başvurularının yönetimi
  • Veri yaşam döngüsü ve veri envanterinin yönetimi
  • İç ve dış eğitimlerin yönetimi
  • İş ortakları ile sözleşmelerin yönetimi
  • Saklama ve silmenin yönetimi

Bu noktalardan en elzem olarak yönetilmesi gerekenler veri yaşam döngüsü, veri sahibi hakları ve hukuki dayanak konularıdır.

Veri işleyenler için her ne kadar yasal sorumluluklar azmış gibi gözükse de ülkemiz koşullarında, veri sorumlularının taşeronları gibi çalışan veri işleyenler; veri sorumluları kadar sonuçlardan etkilenecektir. Bu kapsam da özellikle veri güvenliği korunumu noktasında makul önlemlerin uluslararası standartlara uygun bir şekilde sadece masada veya dosyada kalacak şekilde değil ama hayata geçirilerek uygulanması önemlidir. Veri güvenliği sadece klasik DLP kural setlerinden veya USB’leri kapatmaktan ibaret olmamalıdır. Veri varlıklarının belirlenmesi ve veri koruma politikalarının güvenlik prosedürleri ile donanımlandırılması mühimdir.

Bunun yanında veri işleme amaçlarının proaktif bir şekilde iş birimlerince benimsenerek belirlenmesi yasal uyumluluk sürecini kolaylaştıracak aynı zamanda sürekliliği de sağlayacaktır. Privacy by Design olarak isimlendirilen mahremiyetin ürün ve servis geliştirme tasarım ve süreçlerinde ana faktörlerden biri olarak ele alınması şeklinde özetleyebileceğimiz disiplinler de facto uygulamalar olmalıdır. Daha fazlası, aynı veri yönetişimi çerçevesinde işlenen veriler iş birimleri tarafından incelenmeli ve gereksiz şekilde toplanan veya kullanılmayan veriler usulüne uygun bir şekilde imha edilmelidir.

İç ve dış farkındalığının yönetilmesi ancak etkin ve sürekli bir eğitim ile olur. Denetimlerde en önemli konulardan biri de bu alandaki bilginin CEO’dan en alttaki çalışana kadar herkese belletilmesidir. Sadece eğitimleri vermek yetmez aynı zaman ölçüm ve değerlendirme de önemlidir.

İş ortakları ile yapılacak sözleşmeler bir ahenk içinde başlatılmalı, yönetilmeli ve sonlandırılmalıdır. Sözleşmeler dağınık bir yapıda olduğunda bunları tek tek yönetmek imkânsız olacaktır. Bunun için de gelen ve giden veri öbeklerine göre zeyilnameler hazırlanmalı ve standart şablonlar şeklinde ilgili kısımlara eklenmelidir.

Saklama ve silme politikaları iş akışları ile desteklenmeli ve özellikle satış pazarlama, lojistik ve insan kaynakları alanlarında 360 derece veri öbekleri ile ilgili stratejiler hazırlanmalıdır. Ancak bu sayede hukuki zorunluluklar dışında kalan verilerin saklama zamanlar doğru belirlenir.

Ve tabi ki son olarak her yapılan aktivitenin geriye doğru değiştirilemeyecek bir yapı örneğin blok zinciri ile tutulması gerekmektedir.

Tüm bu alanlarda yapılacak çalışmalar sadece KVKK uyumu için değil aynı zamanda organizasyonun veriyi nasıl işlediği, veriden hangi değeri oluşturduğu , veriyi nasıl zenginleştirdiği ve de son olarak veriyi nasıl koruduğu noktalarında net bir tablo çıkarmasına sebep olacaktır. Bu tablo operasyonel olarak işletildiğinde Türk firmaları da dünyadaki dijital dönüşümünü tamamlamış etkin şirketler arasında haklı yerli ve milli pozisyonunu alacaktır.

 

Bülent Eğrilmez

Principal Management Consultant

Delta Consulting