Yazar

Av. Arb. Murat KEÇECİLER

 

 

Kasım 2019

 

KVKK’ya Uyumda Bir Öneri: Az Veri Öz Veri

 

Söz gümüşse sukut altındır atasözünden hareketle, KVKK’ya uyumda en iyisinin az ve öz veriye sahip olmak olduğunu ifade etsek yanlış olmaz. Ne kadar çok veriye sahip olursanız yükümlülükleriniz de o derece çoğalmaktadır.

KVKK’nın ciddi yaptırımlar öngören dünyası ile Türkiye 2016 Nisan ayından bu yana yaşıyor. Kanunun yürütülmesinden sorumlu olan Kurul, geçiş ve uyum sürecini dikkate alarak aktif bir şekilde veri güvenliğine ilişkin denetimleri şu aşamada gerçekleştirmiyor. Buna ek olarak; kamuoyu, Kanunun getirdiği şikâyet mekanizmalarından şu anda çok da haberdar değil. Kanunla ilgili farkındalığın ve toplumsal bilincin artması ile şikayetlerin de artacağı açıktır.

Veri sorumluları kanuni yükümlüklerini yerine getirmek için “KVKK uyum” süreçlerini işletiyorlar. Bu anlamda en önemli çalışmalar kişisel veri güvenlik politikalarının hazırlanmasıdır. Kişisel veri güvenlik politikası oluşturulurken ilk dikkate alınması gereken husus, veri sorumluların elde ettikleri kişisel veriler ile ne tür işlemler gerçekleştirdiklerinin çok iyi analiz edilmesidir.

Kişisel verilerin korunması politikasının oluşturulmasının bir kurumsal kültür çalışması olduğu unutulmamalıdır. Veri korumaya ilişkin, idari tedbirlerin büyük kısımları politika ve süreç yönetimlerinden oluşmaktadır. Bu açıdan da kurumların bünyesindeki diğer süreçler ile uyumlu olması gerekmektedir. Kendi kurumsallaşma süreçlerini tamamlamamış şirketlerde, KVKK uyum süreçlerinin oluşturulmasında da zorluklar yaşanmaktadır.

Veri envanterinin oluşturulması çalışmalarında, birçok veri sorumlusunun almadığını veya kayıtlarında hiç bulundurmadıklarını iddia ettikleri kişisel verilerin sistemlerinde bulunduğu tespit edilmiştir. Bunun neden böyle olduğu ise şirketlerimizin kurumsallaşma endeks değerlerine bakıldığında çok açıkça görülmektedir.

Çoğu firma elinde bulundurduğu kişisel verileri hangi işlemler ve süreçler için elde ettiği konusunda da kafa karışıklığı yaşamaktadır. Günümüzde Büyük Veri çalışmaları ile çok önemli verimlilik avantajları yaşanırken, Türkiye’de birçok kurum; veri işleme, o veriden anlamlı sonuçlar çıkarmak bir tarafa, verilerini sağlıklı şekilde tasnif etmeyi bile başaramamaktadır. Bu alanda kat etmemiz gereken çok fazla yol olduğu açıktır. Özellikle, KOBİ boyutundaki işletmeler açısından bu sorunlar çok daha yaygındır.

Veri envanteri çıkartılması süreçlerinde, verilerin sistemlerde kuralsız ve kontrolsüz bir şekilde dağınık bulunduğu birçok örnekle karşılaşılmıştır. Verinin dağınık şekilde muhafaza edilmesi, teknik anlamda verinin güvenli şekilde muhafaza edilmesi konusunda da riskleri artırmaktadır. Bu nedenle, kişisel verilerin özellikleri ve kaybolması veya üçüncü kişilerin eline geçmesi durumunda veri sahipleri için yaratacağı olası riskler dikkate alınarak, veri sınıflandırılmasının yapılması ve kişisel verinin bu risk sınıflandırılması ile uyumlu şekilde teknik tedbirler ile korunması önerilmektedir.

Yukarıda ifade edilen sorunlara ek olarak uygulamada tespit edilen bir diğer sorun da veri sorumlularının işletmelerinin iştigal alanları ile uyumlu olmayan veya şirketin standart rutinleri için kesinlikle gerekli olmayan kişisel verileri elde etmeleridir. Şirketlerin faaliyeti için gerekli olmayan gereksiz kişisel verilerin elde etmelerinin en önemli nedenlerinin başında çalışanların geçmiş mesleki tecrübelerine bağlı kalmaları gelmektedir. Bu anlamda İnsan Kaynakları birimlerinin oryantasyon süreçlerini mutlaka kişisel veri politikalarını eklemeleri gerekmektedir.

Veri sorumlusu olarak elde ettiğiniz verinin çeşitliliği, boyutu ve âdeti arttıkça, teknik tedbirler anlamında almanız gereken sorumluluğunda çoğalması kaçınılmazdır. Veri çoğaldıkça onun kontrolüne ilişkin süreçler de çoğalmaktadır. Böylece şirketler, karışık ve çok sayıda prosedür ve süreçleri uygulamaya koymak zorunda kalmaktadırlar. Bu nedenle; verinin elde edilmesi sürecinde, ne tür kişisel verilerin elde edileceği, hangi amaçla kullanılacağı ve kanun anlamında o verilerin ne şekilde işleneceği net bir şekilde belirlenmelidir.

Gereksiz kişisel verilerin sizi ve işletmenizi anlamsız riskler ile karşı karşıya bıraktığını aklınızdan çıkarmayın. Kontrolsüz ve bilinçsiz şekilde elde edilen veri bir fayda sağlamaz. Bu nedenle, Kişisel veri politikanızın temel prensiplerinden birisini “az veri, öz veri” olarak belirlemek, size ve işletmenize hiç ummadığınız avantajlar sağlayacaktır. Öncelikle, azalan yükümlülükler azalan tedbirler anlamına gelecektir. Bu şekilde, teknik tedbirler anlamında seçilecek teknolojiler açısından bir sadeleşme söz konusu olacaktır. Bu durumda işletmeniz için bir tasarruf kalemi olacaktır. Ayrıca idari süreçlerinizin azalması ve sadeleşmesi de personelinizin anlamsız bürokrasi ve iş yükünden kurtaracaktır.