GDPR Uyumluluğu Hakkında Yönetim Kuruluna Sunulacak Raporlar (*)
31/12/2020 No Comments Genel Ercüment Arı

(*) Bu doküman ISACA’nın “Reporting On GDPR Compliance to the Board” (https://www.isaca.org/resources/isaca-journal/issues/2019/volume-1/reporting-on-gdpr-compliance-to-the-board) adlı dokümanına sadık kalınmaya çalışılarak Türkçe’ye çevrilmiştir. Çeviri Ercüment Arı ve Boğaziçi Üniversitesi MIS öğrencilerinden Emir Taşçı ile gerçekleştirilmiş olup, çevirmenlerin kendi katkıları da bulunduğu için resmi çeviri olarak addedilmemektedir .

Avrupa Birliği Genel Veri Koruma Tüzüğüne (GDPR) uyum için hazırlanırken Avrupa Birliği ile etkileşen çok uluslu bir kuruluş, karşı karşıya olduğu uyum konularının karmaşıklığını tecrübe edecek daha basit bir yol arayışı içine girdi. Özellikle üst düzey yöneticilerin uyumluluk gereksinimlerini rahatlıkla anlayıp, uygun biçimde karşılık verebilmeleri amacıyla yapılan sunumlar için uyumluluk konusundaki ilerleyişi değerlendirmenin yollarını aradı.

Yönetim ekibinin yönetim kuruluna her toplantıda bildirmesi gereken ve GDPR sınırlarını temsil eden sekiz bilgi alanı tanımladılar. Bunlar kendi kuruluşlarında benzer yönetişim zorunluluklarıyla karşı karşıya olan kişiler için de makul bir başlangıç noktası olma niteliği taşımaktadır. Bu bilgiler 25 Mayıs 2018 tarihine kadar uyumluluk sağlaması beklenen ancak henüz tamamıyla hazır olmayan birçok kuruluş için özellikle değerli olabilir.[1]

Günümüzde ISACA®-CMMI GDPR Değerlendirmesi de dahil olmak üzere farklı ihtiyaçlara uygun birçok GDPR değerlendirme yöntemi bulunmaktadır.[2] Bu makaledeki çerçeve, özellikle yönetim kuruluna raporlama amacıyla oluşturulmuştur. Aslında buradaki çerçeve; bir yönetim kurulu üyesinin GDPR ile uyumluluk için, yönetim kuruluna sunulacak raporda risklerin ve ilişkili risk kontrollerinin belgelemenin yeterli olduğunu ifade etmesi üzerine ortaya çıkmıştır. Ancak GDPR çok yönlü ve karmaşık olduğundan, yönetim kuruluna verilecek tek bir karşılık, mahremiyetin iş yapmaya engel bir durum olmaktan ziyade bir temel insan hakkı olduğuna yönelik, iç görünün sağlanması için yeterli olmayacaktır.

GDPR Uyumluluğunun Çok Disiplinli Doğası

Avrupa ülkelerinin veri gizliliği regülasyonlarını senkronize edip AB vatandaşı gerçek kişilerin, verilerinin gizliliğine ilişkin durumlarını güçlendiren GDPR’ın, 25 Mayıs 2018 tarihinde yürürlüğe girdiğini biliyoruz. Birçok kişi, GDPR’nin kuruluşlara etkisinin mahremiyet, hukuk ve uyum alanlarında etkisi olduğunu düşünse de gerçekte durum bundan çok farklı. Aslında, bu durumdan etkilenen çoğu orta ve büyük ölçekli kuruluşta uyumluluk koşullarının sağlanması/uyumluluk gereksinimlerinin yerine getirilmesi, üst yönetim veya benzeri işlevlere sahip kadroların büyük bir kısmını ilgilendiriyor. GDPR, artık çok disiplinli bir konu olarak tanınıyor (tablo 1).[3]

Yönetim kurulunun görevi, uyumsuzluk durumunda maruz kalınabilecek para cezası risklerini azaltmak adına tüzük ile uyumluluğu sağlamaktır. Uyumsuzluk durumunda uygulanabilecek en yüksek ceza dünya çapındaki cironun yüzde 4’üne kadar çıkabilmekte olsa da bu miktardaki bir para cezasını kaldırabilecek kuruluşlar mevcut. Ancak diğerleri—çoğu küçük işletmeler olmak üzere—bu boyutta bir cezayı atlatamayabilir. Bu nedenle de sürdürülebilirlik riskine tabidirler. Tüzükle ters düşmenin oluşturacağı itibar kaybı riskini azaltmak da yönetim kurulunun sorumluluğundadır. Yönetim kurulu ve üst düzey yöneticilere raporlama için bir çerçeve, tablo 2’de önerilmiştir.

Anlaşılabilirlik adına; bir işletme modeli (tablo 2), stratejik niyetin operasyonel kabiliyete dönüştürülmesine olanak sağlar.[4] Uygulayıcılar; yetenek (insan), süreçler ve teknoloji gibi temel kurumsal kabiliyetlere aşina olabilir. Bunlarla sınırlı olmasa da (ör: liderlik ve sezgi) bu makale, bu üç kabiliyete odaklanmıştır.

Sınıflandırma

99 adet GDPR maddesi; raporlamaya hazır biçimde, sınıflandırılmış olarak sunulmamıştır; GDPR kapsamında sağlık hizmetleri ya da kamu sektörü gibi, her işletmeye uygun olmayan maddeler de bulunmaktadır. Daha geniş kurumsal uygulanabilirliğe sahip sekiz sınıf tanımlanmıştır.

Önemli ölçüde, her sınıfta özetlenmiş gereklilikleri yerine getirmenin, belirli işletme modeli sonuçları mevcuttur. İşletme modeli, kuruluşun paydaşlarına değer sağlamaya olanak verdiği bir kurumsal yapıdır. Bir kurumda işletme modelinin; insan, süreç ve teknoloji başta olmak üzere birçok farklı unsuru vardır.[5] Düzenlemeler; kurumların çalışma şeklini etkilediğinden, düzenleyici değişiklikleri de işletme modeli bağlamında incelemek önemlidir.

Bir “işletme modeli”ni oluşturan unsurlar birbirlerine bağımlıdır. Ancak birçok durumda, unsurlardan birisi söz konusu bağımlılığın belirleyici ana faktörüdür.

Örneğin, otomasyon ile verimliliğini geliştirmek isteyen bir kuruluşu ele alalım. Kuruluş; süreçlerini dokümante ettiği takdirde, bu süreçler otomasyonun belirleyici ve ana itici gücü olur. Süreçlerin belgelenmediği durumlardaysa, çalışanlara yardımcı olunan bir oturumda danışılarak bir süreç haritası oluşturulur ve sonrasında bu haritaya teknoloji adımları uygulanır. İlk senaryoda işletme modelinin belirleyici unsuru, ana aktörü süreç iken, ikinci senaryoda kişiler belirleyici rol oynar. Teknoloji de belirleyici bir unsur olabilir. Örneğin sorunlu ve birden çok hata, kesinti noktası bulunan işlemlerin kaydını tutmak gerektiğinde, dağıtık bir sitem (merkezi bir sisteme kıyasla), etkin operasyon model unsuru olabilir. (EMA: hatayı, böl-parçala-yönet metodu ile daha çabuk yönetebilmek adına)

Her sınıfa ait “birincil işletme modeli” sonuçlarının değerlendirilmesi ilerleyen tablolarda önerildiyse de, farklı olgunluk durumlarındaki ve farklı ticari itici faktörlere sahip kuruluşlarda değişiklikler olabilir. Ayrıca not edilmelidir ki, bu bağlamda sınıfların içerikleri tüzüğün sıralamasını takip etmek yerine raporlamayı kolaylaştırmak adına gruplanmıştır. Aşağıdaki alt başlıklar sınıf türlerini tanımlar.

İlgili Kişi Hakları

GDPR’nin oluşturulma sebebinin bu hakları korumak olduğu göz önünde bulundurulursa bu grup, muhtemelen, en önemli sınıf olma özelliğini taşır. Söz konusu hakları korumak adına yapılması gerekenlerin tanımları uygun bir şekilde ifade edilmelidir. Özellikle GDPR’nin 3. Bölümü, ilgili kişi haklarını, bir diğer deyişle kuruluşun verilerini sakladığı kişilerin haklarını belgeler (tablo 3).

Tabloları okurken rehber olması adına, tablo 3’ü ele alacak olursak, “ilgili kişinin kendi kişisel verilerine erişim hakkı”na yönelik gereklilikleri yerine getirmek için birincil organizasyonel gereklilik, bunu sağlamak için bir süreç geliştirmek olurdu. Sürecin işletme tarafından tamamen ya da kısmen otomatikleştirilmiş olması da ikincil gereklilik olurdu. Başka bir kuruluş hali hazırda bir sürece sahip ise, onun ana belirleyici faktörü de teknoloji (otomasyon) olabilir.

Bu seviyede bir anlayışa erişmek için kuruluşun güncel durumunun geniş çaplı incelenmesinin, yani azımsanamayacak miktarda bir iş yükünün gerekliliğini dikkate almak önemlidir. Bu sınıfta uyumluluğu başarmanın Tablo 3’ün sağ sütununda görüldüğü üzere kayda değer teknolojik sonuçları olacaktır. Bu sınıfın gerekliliklerini yerine getirmek yüksek düzeyde masrafa neden olabilir ve özellikle de eski sistemlerde oldukça fazla zaman alabilir.

Veri Sorumlusunun Kuruluş Olarak Yükümlülükleri

Önem sıralamasında bir sonraki alan veri sorumlularını ilgilendirir; bunlar bağımsız ya da birlikte çalışan gerçek ya da tüzel kişiler olup kişisel verilerin işlenmesine ilişkin amacı belirler. Tablo 4’te ilgili yükümlülükler, detaylı bir biçimde gösterilmiştir.

Kişisel veriler yalnızca belirli koşullarda işlenebilir, bunlardan biri ilgili kişinin özgürce verilmiş rızasının alınmasıdır. Kişisel verilerin işlenmesine izin verilen diğer durumlarsa hukuki yükümlülükler, kamu menfaati, sözleşme gereklilikleri, meşru menfaat ve ilgili kişinin hayati çıkarlarıdır.

Özgürce verilmiş rıza, ilgili kuruluşlar için bir GDPR gerekliliği olsa da örneğin Kanada veri koruma kurumu, bütün Kanadalı özel sektör kuruluşlarına, 1 Ocak 2019’da yürürlüğe giren ve anlamlı rıza alınması gerekliliğini içeren talimatları uygulamayı zorunlu tutmuştur.[6]

Veri İşleyen Yükümlülükleri

Veri sorumlusu; bir veri işleyen ile kişisel verileri işlemesi için anlaşma yapabilir (dış kaynak kullanarak veri işleme). GDPR 4. Bölümde, tablo 5’te gösterildiği üzere veri işleyen yükümlülükleri belgelenmiştir.

Her kuruluşun veri işlemeyi tamamen ya da kısmen dış kaynak kullanarak yapmadığı dikkate alınmalıdır.

Kayıt Tutma

Denetim perspektifinden bakıldığında tüzüğün belki de en önemli kısımlarından biri, GDPR’ın veri sorumluları ve veri işleyenler için işleme süreçlerine ilişkin kayıtları tutmayı (madde 30 ile resital 13 ve 82) zorunlu kılmasıdır; özellikle de 250’den fazla kişi çalıştırıyorlarsa. İyi kayıt tutmak, uyumluluğun ispatına olanak verir. Tablo 6 bu gereklilikleri özetler.

Veri işlemenin, ilgili kişi hak ve özgürlüklerine karşı risk taşıdığı veya sıklıkla yürütüldüğü ya da işlenen veriler arasında bazı özel veri kategorilerinin olduğu durumlar haricinde, çalışan sayısı daha az olan kuruluşların, kayıt tutma zorunluluğu daha da azalır (ortadan kalkmaz).

Tasarımda Veri Gizliliği

Tasarımda veri gizliliği; ilerleyen süreçlerde mahremiyetin sadece düzenleyici çerçevelere uymakla temin edilemeyeceği görüşünü öne sürer; dahası, mahremiyet güvencesi, tercihen bir kuruluşun varsayılan çalışma şekli olmalıdır.[7]

Bu konuda çalışmaya, iş ahlakı kurallarıyla (code of conduct) başlamanın yerini pek az şey tutar. Londra merkezli küresel telekomünikasyon devi Vodafone Grup şöyle anlatıyor:

Kişisel verilerin korunması bizim en yüksek önceliklerimizden biri ve bizimle (ya da bizim için) çalışan herkesin uyması gereken Vodafone İş Ahlakı Kuralları’nın temelini oluşturur.[8]

GDPR Madde 40, ‘iş ahlakı kuralları’ndan bahsetse de bu konu, “veri sorumlusu veya veri işleyen kategorilerini temsil eden kuruluşlar veya diğer organlar” özelinde bir durum gibi görünmektedir.[9] Ek olarak her kuruluşun belirlenmiş iş ahlakı kuralları bulunmalıdır ve kuruluşlar çalışanlarından, ilgili kişilerin haklarının korunması konusundaki beklentilerini ifade etmelidir.[10]

Tasarımda veri gizliliğinin her şeyden önce insan faktörü için sonuçları vardır, ancak etkisi teknoloji ve süreç alanlarında da fazlasıyla hissedilmelidir.

Tasarımda ve Varsayılan Olarak Verilerin Korunması

GDPR Madde 25, ilgili kişi haklarının başlangıçtan itibaren korunması ve GDPR gerekliliklerinin yerine getirilmesi için veri işleme sürecine teknik ve idari tedbirlerin entegre edilmesini zorunlu tutar.

Örneğin GDPR, bulanıklaştırmayı (pseudonymization) kişisel verilerin kimliksizleştirildiğinden emin olunması için kullanılan bir yöntem olarak açıklarken, varsayılan olarak veri koruma (Privacy by Deafult); en az ayrıcalığa sahip erişim seviyesinin, tüm kullanıcılar için varsayılan yaklaşım olması olarak yorumlanabilir. Tasarımda ve varsayılan olarak verilerin korunması, bir organizasyonun işletme modelinin teknoloji boyutu açısından kayda değer sonuçlar getirir. İlginç şekilde, GDPR bir mahremiyet tüzüğü iken, bu tüzükteki ‘tasarımda ve varsayılan olarak verilerin korunması’ gerekliliği, güvenlik ve mahremiyet arasında tamamlayıcı bir ilişkiye işaret etmektedir.

Tasarımda Veri Yönetişimi

GDPR içeriğinde, veri yönetişimi ihtiyaçları olarak sınıflandırılabilecek bazı gereklilikler vardır. Örneğin, verinin doğruluğu ve restore edilmesine ilişkin gereklilikler, Uluslararası Veri Yönetimi Topluluğu’nun (DAMA – Data Management Association International) Veri Yönetimi Bilgi Birikimi V2’de (DMBOK) veri kalitesi alanı altında yer alır [11]. Canlı sistemlerdeki kişisel verilerin güncellenmesi (güncelleme yapılması mümkün olduğu kabulü ile), yetkilendirilmiş ve onaylı canlı uygulamalar vasıtasıyla yapıl(a)madığı durumlarda, sıkı ve dikkatli bir şekilde yönetilmelidir.

Her ne kadar güçlü (politika ve) prosedür bileşenleri ve güçlü insan bileşenleri (görev ve sorumluluklar) bulunsa da, etkilenen birincil işletme modeli yapısı teknolojidir.

Veri Gizliliği Denetim Otoritesi (Privacy Commissioner)

Veri koruma denetim otoriteleri, gerçek kişilerin mahremiyet haklarını korur ve destekler. Bu kapsam, yargılama bölgelerine bağlı olarak değişiklik gösterir. Bir veri koruma etki değerlendirilmesinde, yeni bir işleme faaliyetinin, ilgili kişiler için yüksek bir riske sebebiyet vereceği öngörülüyorsa, bu durum hakkında Veri Koruma Denetim Otoritesi’ne danışmalıdır (madde 36). Tutarlılık için bu çalışma, sağlam bir süreç bağlamında gerçekleştirilmelidir.

Bir ihlalin ardından veri gizliliği yetkililerine ve etkilenen gerçek kişilere yapılan bildirimlerin tutarlı olması açısından, söz konusu bildirimlerin sağlam bir süreç kapsamında, kurumsal iletişim departmanı ile birlikte gerçekleştirilmesi gerekir.

Organize Etmek

Bu çalışmanın amacı uyumluluk düzeyini değerlendirmek için, bir çerçeve oluşturmaktır, Tablo 7 kuruluşun uyum konusundaki ilerleyişini gösterir.

İlk bakışta önceki döneme ait kategori bazında ilerleme alanlarının yanı sıra, plana göre ilerlemede eksik kalan alanlar da tanımlanabilir. Bir yönetişim unsuru olan raporlamanın bir parçası da bir sonraki dönem beklentilerini ve içinde bulunulan raporlama dönemine ilişkin performans değerlendirmelerini içerir.

Sınırlamalar ve Çıkarılan Dersler

Bu hükümler bir organizasyon için belirli bir GDPR uyum olgunluğu döneminde yönetim kurulu için düzenlenecek raporlamalar hakkında bir bakış açısı sunar. Farklı olgunluk seviyesindeki organizasyonlar, farklı sınıflar ve bu sınıflara daha uygun unsurlar bulabilirler.

GDPR ile uyumluluk durumunu, yönetim kuruluna, özellikle de yapılmakta olan şekliyle tek sayfada görüntülenebilecek bir rapor halinde sunmanın faydası azımsanamaz. Ancak GDPR ile uyumu, gerçek anlamda ve nihai olarak değerlendirmenin tek yolu, istisnaların denetleme komisyonu ve yönetim kuruluna bildirilmesi ve tüzüğün ilgili tüm maddeleri için denetim yapılmasıdır.

Öğrenilen bir diğer ders ise etkilenen kuruluşların ihtiyaçlarına bağlı olarak değişen çeşitli GDPR değerlendirme çerçeveleri bulunduğudur. Bazıları tam uyumluluk üzerine olsa da unsurları tüm kuruluşlara uygulanamayabilir. Daha önemli olansa kurumsal iletişimin yalnızca mekanik bir tüzük uyumluluğu ve işleyişe etkilerden ibaret olmayıp bunların ötesinde şekillendiğidir. Evet, burada hassas bir durum mevcuttur: meselenin ilgili kişilerin yani ‘insanların hakları’ olduğunu kuruluşun anlamasına yardımcı olmak ve an itibarıyla GDPR bağlamında olmasa bile kendi yargılama bölgelerinde geçerli veri gizliliği düzenlemelerine ilişkin güncellemeler kapsamında bulunduğunu ve kuruluş üyelerinin de bizzat bu insanlardan oluştuğunu fark etmelerini sağlamak. Sonuç olarak veri etrafında kültürel değişim gibi iş nedenleri GDPR’nin uyumluluk düzenleyici gerekliliklerinden daha ağır basabilir.



[1] Vigliarolo, B.; “Report: 60% of Companies Likely to Miss GDPR Compliance Deadline,” TechRepublic, 17 April 2018, https://www.techrepublic.com/article/report60-of-companies-likely-to-miss-gdprcompliance-deadline/

[2] ISACA, ISACA-CMMI GDPR Assessment, March 2018, http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/ Pages/ISACA-CMMI-GDPR-Assessment.aspx

[3] EY, GDPR: Lessons Learned, 2016, https://www.ey.com/Publication/vwLUAssets/ ey-gdpr-lessons-learned/$FILE/ey-gdpr-lessonslearned.pdf

[4] Murphy, A.; J. Kirwin; K. A. Razak; Operating Models, EY, 2016, https://www.ey.com/ publication/vwluassets/operatingmodels/%24file/operating-models.pdf

[5] Deloitte, “Target Operating Model—TOM,” https://www2.deloitte.com/lu/en/pages/strategy/ solutions/target-operating-model.html

[6] Freedman, B.; K. McNeill; “Canada: Preparing for Compliance With New Privacy Consent Guidelines,” Borden Ladner Gervais LLP, 17 September 2018, www.mondaq.com/ article.asp?articleid=737060&email_access= on&chk=2469018&q=1731958

[7] Cavoukian, A.; Privacy by Design: The 7 Foundational Principles, https://www.ipc.on.ca/ wp-content/uploads/Resources/ 7foundationalprinciples.pdf

[8] Vodafone, “Customer Privacy,” https://www.vodafone.com/content/dam/ vodafone-images/sustainability/drf/pdf/ vodafone_drf_customer_privacy.pdf

[9] General Data Protection Regulation (GDPR), “Art. 40 GDPR: Codes of Conduct,” Intersoft Consulting, https://gdpr-info.eu/art-40-gdpr/

[10] Ethics & Compliance Initiative, “Why Have a Code of Conduct,” https://www.ethics.org/ resources/free-toolkit/code-of-conduct/

[11] Data Management Association International, “Body of Knowledge,” 2017, https://dama.org/content/body-knowledge

Tags

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir