KVKK ve Bilişim Sektörü İlişkisi

Oyuna Hangi Noktada Dahil Oluyoruz!

İşletmelerin KVKK kapsamında hukuki yükümlülüklerini yerine getirmesi ve temel düzenlemelerini yapması bir defaya mahsus zorunlu bir gerekliliktir. İşletmenin iş yapış biçiminde yapısal bir değişiklik olmadığı sürece  bazı küçük güncellemeler yapması yeterli olacaktır. Beyan formları, sözleşmeler, servis formları,  özlük dosyaları, hasta onam formları ve benzeri gibi rutin belgelerin ilgili kanun ve yönetmeliklerin istediği niteliklere haiz düzenlemelerin bir kez yapılması ve iş akış süreçlerine dahil edilmesi yeterli olacaktır.
Kanunun ilgilendiği temel unsur olan “Kişisel Veri” ve “Nitelikli Kişisel Veri” kavramları, anlık değişim gösteren dinamik süreçler içerisindedir. Günümüz teknoloji kullanımının geldiği noktada; verilerin, toplanma, saklanma, iletilme, paylaşıma açılma süreçlerinde dijital teknolojilerin kullanımı %80’leri aşmıştır. Bu nedenle KVKK ve ilgili yönetmelikler çerçevesinde  dijital veri güvenliğinin sağlanması öne çıkmaktadır. İşte bu noktada BİLİŞİM ve DİJİTAL GÜVENLİK SEKTÖRÜ oyuna dahil olmaktadır.

VERBİS beyanları ile  açık bilgi kaynaklarında detaylı olarak duyurulan  ve internet erişimi olan herkesin erişebildiği, kişisel verilerinizin hangi işletme veya kurumda, hangi şekilde ve ne amaçla toplandığını, ne kadar süreyle saklanacağını, sizden hangi onaylar alınarak hangi koşullarda ne şekilde yayınlanabileceğini vs gibi daha detaylı bir çok konuyu her bir işletme bazında inceleyebilirsiniz (Şimdilik belli büyüklükte işletme  ile sınırlı da olsa, kapsama alanı hızla genişleyeceğini biliyoruz)

Çok farklı işletme yapılarında çok farklı özellikler gösteren “Kişisel Veri” veya “Nitelikli Kişisel Veri” için ortak bileşenleri şu temel başlıklarda özetleyebiliriz.

1. Verilen Toplanması :
- Amacına uygun özelliklerde toplanması
  (Örnek: sadece fatura keseceğiniz şahıstan anne kızlık soyadını istemeyeceksiniz)
- Amacı dışında kullanılmaması
  (Örnek : Fatura kesmek için aldığınız bilgiler ile, kişi, kurum veya firmanın onay beyanı olmadan referans listenize eklemeyeceksiniz, yayınlamayacaksınız)
- Kullanımı bittikten sonra anonimleştirilmesi
   (Örnek: İşletmenize gelen kapı müşterisinin kişisel bilgilerini o hizmet için kullandıktan sonra VERBİS de beyan ettiğiniz saklama süresi sonunda anonimleştireceksiniz)
- Saklanması gerekiyorsa, gerekli koşulların sağlanması
   (Örnek : İşletmenizin devamlı müşterisinin kişisel verilerini, sürekli hizmetlerde kullandığınızı ve beyan ettiğiniz yasal saklama süreleri içinde saklamanın teknik koşullarını sağladığınızı da beyan edeceksiniz)

2. Verileri Saklanması/Korunması
   - Saklama gerekçeleriniz ve saklama sürelerinin beyana uygunluğu
   - Saklama yöntemleriniz ve teknik koşullarınızın uygunluğu
   - Olası saldırı durumlarına hazırlıklarınızın beklenen standartlara uygunluğu
   - İşletme içi ve işletme dışı veri ortamlarınızın teknik uygunluğu
   - Çalışanların eğitimi ve sorumluluk bilgilendirmeleri
   
   3. Verilerin Paylaşılması / Paylaşılmaması
   - Zorunlu paylaşım kriterleriniz ve sınırlarınızın belirlenmesi, yetki seviyesi kontrolleri
   - Beyan edilen ve izin verilen paylaşım gerekçeleriniz ile uygulamaların uyumunun denetlenmesi
   
   4. İdari ve Teknik Tedbirlere Hazırlık
   - İhtiyaç tespit analizi
   - Görev dağılımı ve iş süreçlerinin belirlenmesi
   
   5. İzleme ve Raporlama
   - Hukuki uyum güncellemeleri
   - Kişisel veri envanteri hazırlama
   - Yasal bildirimler ve ihtiyaç halinde ilgili otoritelere raporlama altyapısının oluşturulması
   
   Ana başlıkları ile özetlemeye çalıştığım KVKK süreçlerinin her bir işletme için farklı ihtiyaçlar içerdiğini ve en ufak nüans farklarının uygulama ve yorumlarda inanılmaz derinlikler yarattığını unutmamak gerekir. Örneğin, sadece birkaç kalem ürün satan ve müşterilerinin  fatura başlık bilgisi toplayarak bunların saklanması temel koşullarını yerine getiren bir işletme (TC kimlik numarası, Vergi numarası gibi kişisel veri olarak sınıflandırılan bilgiler ile sınırlı)  ile aynı işi yapan ancak işyerine girişte personelini parmak izi okuma cihazı ile takip eden komşu işletme nitelikli kişisel veri sınıfına geçtiği için  idari ve teknik tedbirleri çok farklı boyutlarda olacaktır.
   
   İdari tedbirler, hukukçular, mali müşavirler ve danışmanlık hizmet üreticilerinin düzenleyip (ihtiyaç halinde) güncelleyecekleri konular. Bu makalenin başında da belirttiğim gibi; ilgili kanun ve yönetmeliklere uygun temel hazırlıklar bir kez yapılıp, genel eğitimler bir kez verildikten sonra küçük güncellemeler ile devam edilebilir.
   Bilişim ve Dijital Güvenlik Sektörü oyuna teknik tedbirler ile birlikte giriyor ve hiç çıkmıyor.
   6698 sayılı kanun detayları, VERBİS nedir, veri sorumlusu nedir/kimdir, idari sorumlu nedir/kimdir ve daha birçok soru ve cevapları açık kaynaklarda mevcut.  https://www.kvkk.gov.tr/  bu konuda oldukça yeterli bilgilere yer veriyor.
   
   Bizim ilgilendiğimiz ve detaylandıracağımız konular ise ağırlıklı olara teknik tedbirler kısmında Bilişim ve Dijital Güvenlik Sektörünün rolü ve  hukukçular, mali müşavirler ve danışmanlar  ile olması gereken ilişkiler zinciri.
   
   Bu konunun derinliği ve süreçleri bir makaleye sığmayacak kadar uzun. Bu nedenle kısa bazı başlıklar ile giriş yapacağım ve her bir aşamayı sonraki makalelerimde ayrı ayrı ele alacağım.
3. 6698 Sayılı KVK Kanunu anlamak ve hizmet verdiğimiz işletmelerin hayatına neleri değiştireceğini kavramak, müşterilerimize doğru bilgilendirmeyi yapmak,
4. VERBİS ve KVKK farklarını ve ilişkisini anlamak,
5. İdari Tedbirler ve Teknik Tedbirleri doğru anlamak,
6. Sorumluluk matrisinde bizim yerimizi doğru anlamak
7. Yapılması gereken hazırlıklar konusunda doğru planlama yapmak.
   
   
   Soner ALTUN
   30 Ekim 2020
   Samsun