+90 212 244 9222

04Kasım2020

Veri Korumada Sürdürülebilirlik

Veri Korumada Sürdürülebilirlik

Gerek Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve gerekse Avrupa’da Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ile ilgili mevzuat kapsamında veri sorumluları, veri gizliliği ve veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla yükümlü tutulmuştur. Bu tedbirler sınırlı sayıda belirtilmemiş; fakat veri sorumlularının "gerekliliğe" yönelik ihtiyacını belirlemesi öngörülmüştür. Bu gereklilik ise her bir faaliyet özelinde farklılaşmaktadır.

Bununla birlikte, organizasyonun iş faaliyetlerinde kişisel verilerin yaşam döngüsü zaman içinde değişmektedir. Örneğin, mevcutta olmayan bir pazarlama veya çalışan memnuniyeti faaliyeti ortaya çıkabilmekte, var olan bir süreç sonlanabilmekte, müşteri portföyü yurt içinden yurt dışına genişleyebilmekte, tedarikçilere şahıs şirketleri eklenebilmektedir.

İş hayatının olağan akışı, veri koruma mevzuatlarına uyumluluğu yaşayan bir süreç hâline getirmektedir. Öyle ki, veri sorumlularının belirli bir süre için süreçlerini gözden geçirerek uygulamalarını iyileştirmesi, veri koruma mevzuatına uyumluluğun ilk adımını oluşturmakta; fakat gelecekteki uygunsuzlukları bertaraf etmemektedir. Bu nedenle veri sorumluları, iş faaliyetlerine eklenen veya sonlanan her bir süreç için veri koruma mevzuatlarına uyumluluğunu sürdürülebilir kılmalıdır. Sürdürülebilirlik organizasyon içerisinde, işleyen bir veri gizliliği ve güvenliği sisteminin tesis edilmesi aracılığıyla gerçekleşir.

Sürdürülebilirliğe Neden İhtiyaç Var?

Veri koruma kuralları, çoğunlukla öz-denetleyici mekanizmalar öngörmektedir. Başka bir deyişle veri korumaya ilişkin kurallar, kuralların muhataplarının kendi kendilerini denetlemesine, uyumluluğu bizzat kendilerinin sağlamasına yönelik yükümlülükler getirmektedir. Bunun sebebi, organizasyonların iç ve dış tüm iş faaliyetlerinde kişisel veri işlemenin bulunması ve dışarıdan sürekli bir gözetim ve denetime tabi olmanın operasyonları aksatacağı, zaman kaybı, işgücü gibi pek çok maliyeti getireceği endişeleridir.

Ayrıca kişisel veri işleme süreçlerine ilişkin en iyi ve kapsamlı bilgiye veri sorumlusu bizzat sahip olduğundan, öz denetim veri korumanın etkinliğini artıracaktır. Böylece, veri koruma mevzuatları veri sorumlularının kendisini denetlemesini ve mevzuat gerekliliklerine yönelik hedeflerine ulaşmak için uygun önlemler ile kendi ihtiyacını kendisinin karşılamasını gerektirmektedir.

Öz denetime açıklayıcı bir örnek olarak veri sorumlusunun veri işleyenleri için yürüteceği süreçler verilebilir. Öyle ki yeni bir veri işleyen ile sözleşme imzalanmadan önce sözleşmeye konu olan veri işleme faaliyetlerinin gerektirdiği ölçüde uyumluluk denetimleri yapılmalı, kimi zaman sertifikasyonlar talep edilmeli veya sözleşme öncesi yazılı taahhütler alınmalıdır.

Veri sorumluları uyumluluk için genellikle hesap verilebilirliğe yönelik dokümanlar hazırlamalı, bunları kayıt altında tutmalı, gerektiğinde ilgili kişilere veya otoritelere sunmalıdır. Ancak bu tür belirli evrakları hazırlayıp kayıt altına almak, öz denetimin doğası gereği, veri koruma mevzuatına uyumluluk için yeterli değildir. Örneğin, ilgili kişiden gelen işlenen verilerine ilişkin bilgi talebi organizasyonda mevcut olan ve sonlanan süreçlerin farkında olmadan karşılanamayacaktır; kaldı ki bu talepler için en kısa sürede cevaplama yükümlülüğü bulunmaktadır. Başka bir örnek olarak, istihdam edilen yeni çalışan için farkındalık eğitimi ve gizliliğe yönelik kurum kültürünün baştan tesis edilmesi gerekecektir.

Sonuç olarak veri sorumluları, sürekli değerlendirmeler yaparak veri işleme faaliyetlerine eleştirel bir şekilde bakmalı, faaliyetlerini tespit ettiği ihtiyaçlar doğrultusunda iyileştirmelidir. Riskler güncel durum için belirlenmeli, veri koruma için en uygun yöntem tespit edilerek sisteme entegre edilmelidir. Veri sorumlularının bu kapsamdaki yükümlülüğünün, bir veri koruma otoritesine atfedilen görevlere benzer görevleri kurum içinde gerçekleştirilmesini sağlamak olduğunu söylemek yanlış olmayacaktır.

Sürdürülebilirlik Ne Sağlar?

Sürdürülebilirlik, her şeyden önce yasal güvence sağlar. Bu kapsamda:

  • KVKK, GDPR ve ilgili veri koruma mevzuatlarına uyumluluğu sağlar.
  • Veri gizliliği ve güvenliği ihlal tehlikesini bertaraf eder.

Sürdürülebilirliğin en önemli etkilerinden biri ise organizasyona ticari açıdan da katkı sağlamasıdır. Bu kapsamda:

  • Rekabetçi bir farklılık yaratır.
  • Kullanılan verilerin değerini ve niteliğini artırır.
  • Çalışan, müşteri ve diğer kişilerin açacağı davaları, talepleri ve bunlara yönelik maliyetleri azaltır.
  • Ticari bağlantıların beklentilerini karşılamayı, bu bağlantılarla güven ilişkisini güçlendirmeyi sağlar.
  • Organizasyonun iyi bir kurumsal vatandaş olmasını sağlar, kamu güvenini güçlendirir.
  • Veri akışına yönelik iş süreçlerinin ve organizasyon şemasının düzenli takibi ile kurumsallaşma yönünde artı değer sağlar.
  • Yukarıdaki sebeplerle global düzeyde iş süreçlerinin yürütülmesini, sınırlar arası satış faaliyetlerini, elektronik doğrudan pazarlama da dahil pazarlama faaliyetlerini geliştirir ve iyileştirir; öte yandan yeni piyasalara girişi kolaylaştırır.

Sürdürülebilirlik Nasıl Sağlanır?

Her şeyden önce organizasyon içerisinde kısa ve öz, tüm bağlantılı kişilere duyurulabilecek bir gizlilik vizyonu ve misyonu belirlenmelidir. Ardından, bu vizyon ve misyon ışığında bir veri koruma yönetim modeli kurgulanmalıdır. Bu modelin kapsamı ve sürdürülebilirliğine ilişkin usul ve esaslar belirlenmeli, uygulanmalı ve düzenli olarak uygulanması denetlenmelidir.

Bu yönetim modeli, organizasyonun tüm süreçlerine etki eder, bu nedenle kapsamlı bir değerlendirme gerektirir. Öncelikle yapılması gereken, operasyonlar dahilindeki veri işleme faaliyetlerinin kapsamını tayin etmek, muhatap olunan mevzuatları belirlemek, bu çerçevede olası zorluklar ve aksaklıkları resmetmek ve organizasyon özelinde uygun aksiyonlar alınmasını sağlamaktır. Örneğin; bir iş süreci için uçtan uca veri yaşam döngüsünü belirlemek, bu veri işleme süreçleriyle bağlantılı olarak gerek lokalde gerek globalde ticari hayatın ve kültürel çerçevede kişilerin beklentilerini tespit etmek, yasal zorunlulukları değerlendirmek, bu tespit ve değerlendirmeleri şirket için özelleştirmek iyi bir uygulama olacaktır.

Veri koruma konusunda sürdürülebilirliği sağlamak ve daha detaylı bilgi almak için bizimle iletişime geçebilirsiniz.

Written by Rabia Dağcı, Posted in Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup®, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

    Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Yazar

Rabia Dağcı

Legal Consultant | Attorney | CIPP/E
Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x
Hizmetlerimiz devam ediyor.

Dünya gündemindeki Covid-19 Koronavirüs salgını sebebiyle, çalışanlarımızın sağlığını güvenceye almak adına, çalışmalarımızı bir sonraki bilgilendirmeye kadar uzaktan devam ettireceğiz. CottGroup® olarak sahip olduğumuz iş sürekliliği planlarımız ve güçlü teknolojik altyapımız sayesinde süreçlerimizi kesintisiz devam ettirebileceğiz. Müşterilerimiz ve iş ortaklarımız her zaman olduğu gibi, telefonlarımız ve e-postalarımız aracılığıyla bizlere ulaşabileceklerdir.