KVKK’da sürecin başından sonuna kadar gizlilik

Riskin tespit edilmesi ve önlem alınması, kriz oluşmadan önce yapılabilecek bir önlemdir ve kriz yönetiminden daha kolaydır. KVKK ile ilgili süreçlerin de, risk yönetiminin kriz yönetiminden daha kolay olduğu göz önünde bulundurularak yürütülmesi gereklidir. Bu anlamda gizlilik, KVKK’nın en önemli hususlarından biri sayılır. Blog yazımızda KVKK’nın gizlilik boyutunu işliyoruz. 

Pek çok resmi işlemde olduğu gibi, kişisel veri işleme faaliyetlerinin de bilişim araçları ile gerçekleştirilmesi önemli avantajlar ve kolaylıklar getirdi. Kişisel verilerin işlenmesinde en önemli unsurun, bilgi teknolojileri ve bilişim olması sonucunda veri koruma otoriteleri, kişisel verilerin korunması sürecini “Privacyby Design” süreci olarak adlandırmıştır.

Avrupa Birliği’ne ait 2016/579/EU sayılı Tüzük’ün benimsediği Privacyby Design ilkesi, gizliliği esas alarak kişisel verilerin korunmasına ilişkin yasa hükümlerinin tasarlanması gerekliliğine dayalıdır. Bu bağlamda, şirketlerin kullandığı yazılımlar da gizlilik esasına göre kodlanmış olmalıdır. Bir diğer ifadeyle yazılımlar, ‘insani değerlere hassas tasarım’ (Value sensitivedesign – VSD) yaklaşımının bir örneği olmalı ve veri işleme faaliyetleri bu doğrultuda gerçekleştirilmelidir.

KVKK’nın temel ilkeleri

2009 yılında gündeme gelen bu konseptin bağlı olduğu 7 önemli ilke vardır. Bu ilkeler şunlardır:

• Olay üzerine harekete geçmek değil, olay öncesinde önlem almak gereklidir.
• Gizliliği koruyan seçenekler,  varsayılan ayar olarak gelmelidir.
• Tasarımda gizlilik öyle yerleşmiş olmalı ki; açıklar oluşmamalı ve yazılıma sonradan eklenti getirilmesine ihtiyaç duymamalıdır.
• Tasarım tam anlamıyla işlevsel olmalıdır.
• Verinin alınmasından, ihtiyacın bitmesi üzerine silinmesine kadar tüm yaşam döngüsü boyunca koruma (uçtan uca güvenlik) sağlanmalıdır.
• Şeffaf olunmalıdır.
• Kullanıcıların gizliliği ön planda tutulmalıdır.

Bu esaslar doğrultusunda yönetilen süreçte aksilik olmayacaktır. Bu esaslar gözetilmediğinde ise, zorlu bir kriz yönetimi süreci başlayacaktır.

Yasaları bilmenin gerekliliği

KVKK uyumlu yazılımların aracı olarak kullanılması, KVKK süreçlerine uyumlu hale gelmek için yetersizdir. Tedbir alınması için farkındalık gereklidir. Bu nedenle şirketin tüm çalışanları, tedarikçileri, taşeronları ve danışmanları kişisel verilere ilişkin mevzuat hakkında bilgili olmalıdır. Kişisel verilere ilişkin mevzuata hakim olunması, sorun olabilecek şeylerin kısa zamanda fark edilmesini sağlayacaktır. Böylece zamandan da tasarruf edilmiş olacaktır.

Veri envanteri ve veri işleme politikası oluşturma

Kişisel veriler ile ilgili önlem alabilmenin diğer şartı da şirketlerin nerede, ne zaman, ne amaçla, ne kadar süre kişisel veri işlediğini, bu verilerin depolandığı yeri, silinmesi gerektiği zaman nerelerde temizlik yapması gerektiğini bilmesidir.

Bunun için de bir şablon hazırlayarak eldeki tüm verileri buraya girmek faydalı bir metot olarak karşımıza çıkmaktadır.

Önemli olan bir diğer unsur ise standartizasyondur. Diğer bir deyişle tüm çalışanların okuyup anlayabileceği prosedür ve politikalar oluşturarak bunun şirket içerisinde sirküle edilmesi ve takibinin istenmesidir.

Av. Sezgin Karakaş