Veri koruma, ticari müşteri veya son kullanıcı gizliliği olmadan verileri ticari amaçlarla kullanılabilir tutarken dijital bilgilerin güvenliğini sağlama sürecidir. Kişisel verilerin korunma kanunu yürürlüğe girdikten sonra, kişisel verilerin işlenmesi ile ilgili olarak veri sorumlularına oldukça geniş sorumluluklar yüklenmiştir. Bu kapsamda, verilerin hukuka aykırı olarak elde edilmesi ve gizlenmesini önlemek için teknik ve idari tedbirlerin alınması gerekmektedir. Fakat iş hayatı içinde şirketlerin ticari faaliyetlerinin gerektirdiği ve getirdiği ihtiyaçlar değişebilmekte, örneğin dijital pazarlamada yeni yöntemler ortaya çıkabilip devam ediyorken eskileri ortadan kalkabilmektedir. Ticari hayatta normal olan bu değişiklikler devam ederken, veri sorumlularının verilerin güvenliğine ve muhafazasına yönelik sorumlulukları da devam edecektir. Veri koruma yönetiminde, sürdürülebilirliği sağlamak söz konusu olağan durumlarda, olası sorunları ve güvenlik ihlallerini önlemek için önemlidir. Sürdürülebilirlik bu anlamda finansal etkiler ve hedeflerin ötesindeki çözümleri göz önüne almayı gerektirmektedir. Bu bakımdan, veri korumadaki maliyetler sadece parasal ve finansal olarak değerlendirmeye alınmayacak, toplum ve çevre açısından etkileri daha önemli hâle gelmesini önemle arzu ediyoruz.
Veri koruma yönetiminde ilk konu, veri sorumlusu organizasyonun veri koruma ile ilgili hedeflerini belirlemesi olacaktır. Bunların nasıl ticari süreçlere dönüşeceği, sunulan hizmetlerle ve bilişim sistemlerine hangi şekillerde yön vereceklerini belirlemek ise sonraki adımımız olacaktır. Yönetim kademesi ve verilerin güvenliği ile ilgili görevleri bulunanların organizasyonu, operasyonel rolleri ve sorumlulukları, Kişisel Verilerin Korunması Kanunu’na uyumlulukları için yürütmeleri gereken görevler açık ve net bir şekilde ortaya konulmalıdır.
Veri Korunmasına Yönelik Bir Politikanın Belirlenmesi
Veri korumada hem ticari hayatta verimliliği arttırmak için hem de olasılıklı ihlallerin önüne geçmek için, işlemleri yürütecek kişilere yönelik olarak önceden bir politikanın hazırlanması ve hesap verilebilirliğini geliştirmek açısından söz konusu kanun ve politika ile ilgili olarak çalışanların eğitilmesi gerekmektedir. Teknik anlamdaki güvenlik duvarına benzer olarak çalışanların oluşturacağı bir güvenlik duvarı bu konuda birçok fayda getirecektir. Siber güvenliğin sağlanması gibi birçok önlem alınırken veri muhafazasında uyulması gereken yükümlükleri uygulanarak ve uygulanacak şekilde çalışanların eğitilmesi de son derece önemli olunacaktır.
Çalışanları genel bir devam edilebilir bir iş modeline dâhil etme çabalarında olduğu gibi kişisel verilerin korunmasına yönelik verilecek eğitimlerde de bizim benzer aşamalardan geçilmesi öngörülebilir. İş tanımları, hizmet sözleşmesi gibi araçları içeren resmî aşamalar, çalışanların veri korumaya yönelik performanslarını arttıracak şekilde ödüllendirme ve hedeflerde belirleme hususunda araçları içeren psikolojik aşamalar ve genel olarak veri korumada korunan değerleri anlatacak toplumsal aşamalar ile çalışanların şirket içindeki kurumsal kültürü benimsemesi sağlanılabilir.
Bu aşamada şirketin faaliyeti ile ilgili olarak toplanan kişisel verilerin hassas olduğu yöne göre sınıflandırılması ve olası güvenlik ihlali durumlarında bunlar için geliştirilecek hedefin belirlenmesi gerekecektir. Hangi verilerin işlendiği kadar bu verilerin ne için işlendiği de bir hayli önemli olacaktır. Sadece kişisel verisi işlenen ilgili kişilere hesap verilebilirliğin sağlanması için değil de çalışanların da bu yolla neden ve nasıl söz konusu veri koruma yönetim modeline uyacakları hakkında farkındalığa ulaşmalarını sağlamak için verilerin sınıflandırılması ve gerekli önlemlerin alınması faydalı olacaktır. Bu farkındalıklının yanı sıra, veri koruma sorumluluğu sürekli devam eden bir politika olduğu için şirket içi denetim mekanizmalarını oluşturmak başka bir adım olacaktır. Kişisel Verilerin Korunması Kanunu’na uyumluluğu sağlayacak iç mekanizmaların oluşması hem gizliliğin ihlal edilmesini önleyecek hem de ekonomik açıdan daha verimli bir iş modelinin oluşturulması sağlanmalıdır.
Bu açıdan irtibat ettiğimiz kişi veri işleyen ve ilgili kişilerle yapılan sözleşmelerin izlenmesi, takip edilmesi ve organizasyonu önemli olacaktır. Veri korunması için geliştirilen sistemde, görevli kişilerde olan değişikliklerin takibi ve bunlara ilişkin bildirimde bulunmak için oluşturulacak bir organizasyonun planı ile bu konularda Kişisel Verilerin Korunması Kanunu’na aykırılıktan doğacak politika ve yaptırımların önüne geçilebilecektir.
Ticari faaliyetle ilgili farklı müşteri gruplarına yönelik toplanacak verilerin sınıflandırılması ile bunlara yönelik yükümlülüklerin neler olacağının belirlenmesi ayrıca önem kazanmaktadır. Aydınlatma yükümlüğünde ve verileri muhafaza etmeye yönelik yükümlülüklerde meydana gelecek olası değişiklikler önceden tespit edilebildiğinde bu konuda çalışanlar ve verilerin işlenmesiyle ilgili sorumluluk taşıyan kimselere eğitim verilmesi, veri koruma yönetiminde sürdürülebilirliğin sağlanması için tarafımızdan daha mühim olacaktır. Bu görevlilerin veri korunmasına ilişkin mevzuat ve uygulama hakkında bilgiye sahip olması, veri sorumlusu olan organizasyonun veri işlemeye dair işlemlerini iyi anlaması, bununla ilgili teknolojik altyapıyı iyi bir şekilde bilinmesi ve Kişisel Verilerin Korunma Kanuna göre haklarını kullanmak isteyen ilgili ve alakalı kişilerin taleplerine cevap vermeye hazır olması gerekilebilecek ve gerekmektedir.
Görev ve sorumlulukların dağıtılmasının ardından, kişisel verilerin gizliliği ve mahiyeti, kişisel verilere erişim sağlayan ve bunlarla ilgili ticari faaliyet çerçevesinde işlem yapan görevliler ve yaptıkları işlemler hakkında kayıtlar tutulmalıdır. Bunlar, hesap verilebilirlik ve sürdürülebilirlik açısından zorunlu olacaktır. Verilerle yapılan işlemlerin veri sorumlusunun faaliyetlerini yürütmesi için ne kadar gerekli olduğunun değerlendirilmesi ve elde edilecek gelire güvene ve menfaate oranla ne kadar orantılı olduğu, kişisel verisi işlenen kişilerin hak ve özgürlüklerine yönelik olası bir riskin tespit edilebilmesini, buna uygun aksiyonların alınabilmesini sağlanılacaktır. Özet olarak, kişisel verilerin işlenmesinden önce uygun teknik ve idari tedbirlerin alınması, bu kapsamda çalışanların eğitilmesi ve bu farkındalık içinde söz konusu süreçlere katılımları, aydınlatma yükümlülüğünü yerine getirme gibi farklı görevlerin kimlere ait olduğunun belirlenmesi ve bu süreçlerin nasıl işleyeceğinin tanımlanması ve Kişisel Verilerin Korunması Kanunu’na uyumluluğu takip edecek, genel olarak veri koruma yönetimi hakkında değerlendirmede bulunacak iç denetim mekanizmalarının kurulması, sürdürülebilir bir veri koruma yönetiminin köşe taşları olacaktır.
Kaynak: https://www.kvkk.gov.tr/
