Kişisel Veri Hakkında Bilinmesi Gerekenler ve Gümrük Müşavirleri için Özel İnceleme (6)
Veri gizliliği ve korunması yönünden izlenmesi gereken politika nasıl oluşturulmalı?
Kanun’un Uygulama Zamanı


Veri güvenliğine ilişkin risklerin oluşmasına engel olmak ya da olasılığı azaltmak veya tamamen korunmak için neler yapılabileceği bulunduktan ve süreç işletilmeye başlandıktan sonra sorumluluğun tamamlandığı düşünülmemelidir.



Kanun’la koruma altına alınan verilerin hukuka aykırı yollarla işlenmesinin engellenebilmesi için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin beraberce alınması kanunen zorunludur. Kişisel verilerin, veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, söz konusu tedbirlerin alınması konusunda veri sorumlusu ile bu kişiler müştereken sorumlu olacaklardır. Söz konusu yükümlülük KVK’nın 12. maddesinde ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlığı altında düzenlenmektedir. Bu süreç, veri koruma programı ve bilgi güvenliği sistemine dayanılarak işletilecektir. Veri koruma programı veya bilgi güvenliği sistemi tek başına yeterli olmayacaktır, ikisinin bi arada olması gerekir.

Bu sebeple verilerin sağlıklı bir envanterle tutulması, bu envanter üzerinden hangi verilerin kişisel veri olduğunun ve bunların risk seviyelerinin (yasal risk, finansal risk) belirlenmesi, veri sorumlusunun ve verisi işlenen kişilerin kim olduğunu tespit edilmesi gerekir.

Hangi verilerin (varlığın) nasıl, hangi araçlarla korunması gerektiğini yani veri koruma programını, veri sorumlusu belirler ve genelde bu koruma faaliyetini IT birimine bırakır. Oysa kurumun/işyerinin bilgi güvenliği kapsamına giren tüm varlığının korunması yalnızca bir birime emanet edilemez ve edilse de işe yaramayacaktır. Koruma sürecinin aktörleri bir bütün olmalı, karşılıklı etkileşimin ön planda olduğu bir ilişkiler bütünü yaratılmalıdır. Yönetişim diye tabir edilen bu organizasyonel sistem, hukuk biriminin, IT biriminin, uyum biriminin yani tüm birimlerin rollerinin ve sorumluluklarının ortaya konulması ve bunların karşılıklı etkileşimle hareket etmesiyle mümkündür.

Veri güvenliğine ilişkin risklerin oluşmasına engel olmak ya da olasılığı azaltmak veya tamamen korunmak için neler yapılabileceği bulunduktan ve süreç işletilmeye başlandıktan sonra sorumluluğun tamamlandığı düşünülmemelidir. Bu kontrol noktalarının çalışıp çalışmadığını, doğru kurgulanıp kurgulanmadığını denetleyen mekanizmayı hayata geçirmek, yetkisiz erişimi engelleyen yada erişimi sınırlandıran mekanizmalar oluşturmak, koruma faaliyetlerini güncel tutmak, yeni veri işleme amaçları ortaya çıktığında bunu da sürece uyarlamak gerekir. Nitekim Kanun’un 12. maddesinin devamında veri sorumlusu, kendi kurum veya kuruluşunda Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü kılınmıştır.

Aynı zamanda dışarıdan gelecek tehlikeler de göz önünde tutulmalıdır. Örneğin saldırı halinde bu ihlalin sonuçlarını da yönetebiliyor olmak gerekir. Veri ihlali şüphesinde bu şüphenin haklı olup olmadığı araştırılacak, gerçekten bir ihlal varsa ihlalin nedenleri, ne kadar büyük ölçüde veriyi etkilediği ve olası ya da tespit edilen sonuçların masaya yatırılacak, ihlalin durdurulması için alınması gereken teknik ve idari önlemleri hayata geçirecek mekanızma çalıştırılacak ve ihlal, verisi saldırıya uğrayan kişiye ve Veri Koruma Kurulu’na bildirilecektir. Bu aşamaların mutlaka politika ve prosedürel olarak en baştan tanımlanmış olması gerekir.

Kanun’un Uygulama Zamanı

Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayım tarihi olan 07.04.2016’dan itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilmesi gerekli görülmüş olup, Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin ise derhâl silinmesi, yok edilmesi veya anonim hâle getirilmiş olması düzenlenmişti. Ancak bu Kanunun yayımı tarihinden sonra işlenen tüm verilerin ise Kanun’a uygun olması aranmaktadır. Oysa bugün uygulamada kişisel verilerin korunması konusunda her işletmenin veya gerçek kişinin eksiklikleri olduğu su götürmez bir gerçektir. Zira 2016 yılında yürülüğe giren Kanun’a bu kadar kısa bir sürede adapte olunması mümkün değildir. Aykırılıkları incelemeye ve ceza vermeye yetkili Kişisel Verilerin Korunması Kurulu ve Anayasa Mahkemesinin de bu defacto durumu dikkate alması gerekmektedir.

Av. Yudum Uğur

<