Bir Proje Olarak KVKK Uyum Süreci
04/11/2019Her ne kadar, KVKK uyum konusunu uygulamaya geçişte bir proje olarak ele alınsa bile “Kanuna uyum ve kişisel verileri koruma; bir proje değil, tamamlanma tarihi olmayacak, yaşayan bir sistem” olarak kabul edilmelidir.
Kişisel verilerin korunması kanunu’na uyum projelerinde, envanter oluşturma işlemine genellikle ve doğal olarak kurumun mevcut durumunun tespiti amacıyla, iş süreçlerinin analiz edilmesi ile başlanılır.
Kurumun iş süreçleri daha önceden bir yerlere yazılmışsa, bir hizmet envanteri oluşturulmuşsa buradaki verileri kullanarak güzel bir kişisel veri envanteri hazırlamak iyi bir başlangıç olacaktır. Burada örneğin kurum daha önceden, ISO kalite ve belgelendirme süreçlerini yaşamışsa, işler daha olay yürüyecektir. ISO 9001:2015 veya ISO 27001 belgesi almışsa işler daha kolay yürütülebilir. Ancak, KVKK süreci ve kişisel veri envanteri hazırlama süreci bununla sınırlı değildir.
Diğer ülkelerdeki benzer düzenlemelerde tecrübe edildiği gibi, öldürmeyen kuvvetlendireceğinden; mahremiyet, bilgi güvenliği, risk yönetimi vb. disiplinlerinde düzgün adaptasyon ile, ülke ve kurumlar olarak daha sıkı hale gelebiliriz. Kanunun çıkarılma sebeplerinden biri olan bireylerin temel hak ve özgürlüklerindeki kazanımları da önemsemek gerekir.
Aşağıda tabloda yer alan sıralamayı bir proje planı olarak değil de, öz değerlendirme soruları olarak görmek daha yerinde olacaktır. Aşağıda paylaşılanlar; çoğunun yerine getirilmesi haftalar alabilecek ana çalışma konuları altında, bir çeşit checklist soruları olarak görülebilir. Çünkü, bu tabloda yer verilmeyen kalemler de mevcuttur. Organizasyon olarak uyum sağlamaya çalıştığımız ve bazılarını henüz yapmamış olabileceğimiz çalışmaları gözden geçirmek, hatırlatmak ve eksiklikler varsa bir yerlere not almak ve en önemlisi düşündürmek amacıyla bir öz değerlendirme tablosu olarak görülebilir.
1. Organizasyonel Yapı ve Sorumluluklar | 1.1 Şirkette, (kişisel) verileri korumanın, yönetimin sorumluluğu olduğunun farkındalığı var mıdır? Ör; | 1.1.1 Veri koruma yönetmeliklerinin, politikalarının varlığı
1.1.2 Veri koruma hedeflerinin tanımlanmış olması 1.1.3 Sorumlulukların düzenlenmesi 1.1.4 Veri koruma riskleri konusunda farkındalık |
1.2 Şirketiniz, bir veri koruma görevlisine veya eşlenik sorumlukta bir role sahip mi? | 1.2.1 Değilse neden?
1.2.2 Evet ise, hangi konularda kim tarafından hangi alanlarda görevlendirilecektir? 1.2.3 Evet ise hangi alanlarda görev, yetki ve sorumlulukları bulunmaktadır? Net ve resmi olarak tanımlanmış mıdır? 1.2.4 Evet ise, “Veri Sorumluları Sicili Hakkında Yönetmelik” te tanımlanan veri sorumlusu temsilcisi veya irtibat kişisi sıfatlarından herhangi birine haiz midir ve sicile bildirimi düşünülmekte midir? |
|
2. İşleme faaliyetlerine genel bakış | 2.1 KVKK’nın “Kişisel Verilerin İşlenmesi” tanımında yer alan “kaydedilme” kapsamında işleme faaliyetleriniz hakkında kayıtlarınız ve bu kayıtların yönetim süreci var mı? | |
2.2 Kurumunuz; her veri düzeltimi veya değiştirimi içeren işleme faaliyetinde; (kişisel) veri koruma hususlarının dikkate alındığını ve yönetildiğini nasıl garanti eder? | ||
3. Üçüncü tarafların katılımı | 3.1 Faaliyetlerinizin yürütülmesi için üçüncü taraflar (veri işleyen) kullanıyor musunuz? | 3.1.1 Evet ise, veri işleyenlerinize karşı gözetim süreciniz mevcut mudur?
3.1.2 Evet ise, tüm veri işleyenlerinizle KVKK Madde 12.2’nin asgari içeriğini içeren gerekli anlaşmaları imzaladınız mı? |
4. Şeffaflık, aydınlatma yükümlülükleri ve ilgili kişi haklarının güvencesi |
4.1 Veri toplama esnasında ilgili kişilerin veri korumasıyla ilgili bilgilendirme metinlerinizi KVKK Madde 10.1’e uygun hale getirdiniz mi?
KV yükümlülüklerinize yönelik yakın gelecekte lazım olabilecek alttaki hazırlıklar, çalışma kapsamınızda mıdır? |
4.1.1 Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri, VERBİS’e kayıt için kişiyi tespit ve ikna etme süresi azalıyor.
4.1.2 Kişisel verileri işlemenin hangi amaçla yapıldığı ki bunu data envanterinden toplamanız gerekebilir, 4.1.3 Kişisel verilerin aktarıldığı alıcı veya alıcı grupları, ki bu da uzun bir çalışma gerektirebilir. Yapısal bir bilgi yönetim (structured knowledge management) süreciniz yoksa. 4.1.4 Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, yine VERBİS’in istediği alanlardan bir tanesi 4.1.5 Kişisel verilerin işlenmesi için yasal dayanaklar. Bu sorunun cevabını ben değerli avukatlarımızdan destek alarak cevaplamanın doğru olduğu kanaatindeyim. 4.1.6 Verilerinizi sizin adınıza veya üçüncü şahıslar adına işlendiği durumlarda amaç, meşru menfaatler ise : bu meşru menfaatlerin neler olduğu 4.1.7 Saklama süresi; bu bilgi sağlanamıyorsa bile depolama periyodunun belirlenmesi. 4.1.8 Verisi işlenen ilgili kişinin verisine erişim, düzeltme, silme, işlemeyi kısıtlama hakları, özel durumlarda itiraz etme hakları ve verisinin taşınabilirliği için ortam mevcudiyeti 4.1.9 İşlemeye ilişkin yasal dayanak açık rıza ise: ilgili kişinin herhangi bir zamanda onayını geri çekme için bildirim veya kanal mevcut mudur? 4.1.10 Bir gözetim makamına şikayet etme hakkı, süreci biliyor musunuz? 4.1.11 Kişisel verilerin tedarik edilmesinin, bir yasal veya sözleşmeye dayalı gereklilik olup olmadığı veya bir sözleşmede şart olup olmadığı. Bu madde ile ilgili sözleşmelere vakıf olmak ve gerekliliklerimiz ile kendimizi Kanunun 5.2.c tentesinin altına almakta fayda var derim. 4.1.12 Kişisel verisini, ilgili kişiden temin etmediyseniz: kişisel verilerin hangi kaynaktan temin edildiği ve varsa kamuya açık kaynaklardan gelip gelmediği; dikkat alenileştirilmiş veriden bahsetmiyoruz. 4.1.13 Pazarlama izni kullanıyor iseniz; müşteriler, potansiyel müşteriler vb için KVKK uyumlu hale getirilip getirilmediği; bu konuda da Kurul’umuzun aydınlattığı şekilde ilerlemek gerekecek zira muallak konular mevcut bu alanda. |
4.2 KVKK’ya göre ilgili kişinin kişisel verilere erişim taleplerini derhal ve tamamen yerine getirmek için bir prosedür oluşturdunuz/tasarladınız mı? | ||
4.3 Düzeltim ve silme taleplerinin kabulü ve gerçekleştirimi sonrası ilgili kişinin bu talepleri için bağlantılı ve aktarılmış taraflara da bildirimini karşılamak için prosedür hazırladınız mı? Konunun çok dışına çıkmadan bir ipucu: ISO 22301 İş Sürekliliği Yönetim Sisteminde çok güzel bir vektör vardır: İPA; İlgili Partiler Analizi, organizasyonda bu varsa taraflarınıza hakimiyetiniz daha fazla olacaktır. | ||
5. Yükümlülük, Bilgi Güvenliği ve Risk Yönetimi
|
5.1 Her veri işleme faaliyetinin, hukuka uygun işlendiğini ispatlamayı sağlayan bilgi var mı? Ör. Amaçlarla ilgililik, kişisel veri kategorileri, alıcılar ve / veya silme periyotları | 5.1.1 Veri işlemenizin dayandığı açık rıza metinlerinin KVKK’nın 10.maddesi (aydınlatma yükümlülüğü) gereklilikleri ile uyumlu olup olmadığını değerlendirdiniz mi?
5.1.2 Rızanın verildiğine ait tüm yazılı, sözlü ve (varsa) sosyal medya kanıtlarını gösterebilecek durumda mısınız? |
5.2 Veri işleme sürecinizin KVKK’a uyumlu olduğunu kanıtlamak, taahhüt edildiği gibi yaşadığına güvence sağlayabilmek ve sistemi sürdürülebilir kılmak için bir Veri Koruma Yönetim Sistemi planladınız mı? | ||
5.3 Var olan güvenlik süreçlerinizi; KVKK’nın 8.2.b, 12.1, 12.2 ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı’nın 3.7.1.d-e, 4.8.2, 4.8.3.c, 4.9.2 maddelerine göre analiz ettiniz ve gerekli düzenlemeleri yapmaya başladınız mı? En fazla analiz ve zaman gerektirecek safhalardan birinin bu olduğunu belirtebilirim. | 5.3.1 Güvenlik önlemlerinin düzenli gözden geçirilmesi, değerlendirilmesi ve iyileştirilmesi için uygun bir yönetim sistemi uygulanmakta mıdır? (ISO 27001, PCI/DSS, CobIT denetimleri, kısmen ise penetrasyon testleri fayda sağlayacaktır)
5.3.2 Mevcut kurumsal ve BT Risk Yönetimi yaklaşımınıza yakın gelecekte Mahremiyet Etki Analizi (Privacy Impact Analysis) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) bileşenini de dahil etmeniz gerektiğini biliyor musunuz? |
|
5.4 Yakın gelecekte kurumsal risk yönetimi yapınıza bir bileşen olarak girebilecek Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) hakkında bilginiz var mı? | 5.4.1 (Evet ise); organizasyonunuzda bir Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) yapılıp yapılmayacağını belirlemek için uygun bir yöntem oluşturdunuz mı? Organizasyonunuzda uygun bir risk metodu kurguladınız mı? Bu değerlendirmeleri yapabilmek için organizasyonunuzda bir süreç seçtiniz mi? | |
6. Kişisel Veri İfşa ve İhlalleri | 6.1 Önümüzdeki dönemlerde yapılacak düzenlemeler çerçevesinde kişisel veri ihlallerinin denetim otoritesine bildirilmesi gerekeceğini biliyor musunuz? | 6.1.1 Organizasyonunuzda veri ihlallerinin tespit kabiliyetine sahip misiniz?
6.1.2 İhlallerinin risklerini tespitine yönelik uygun bir yönteme sahip olduğunuzu düşünüyor musunuz? 6.1.3 Olası ihlaller ile ilgili dahili olarak nasıl başa çıkılacağı üzerine bir süreç düşündünüz mü? |