Kişisel Veri Envanteri Çıkardım, Ancak Elimde Excel Tablosundan Başka Birşey Yok. Süreci Nasıl Yöneteceğim? KVKK Uyum Süreçlerinin Gerçek Uygulamalarına Dair...
"Kişisel Verilerin Korunması Kanunu uyum çalışmaları ile ilgili şu ana kadar gözlemlediğim ve incelediğim çalışmalar genellikle salt hukuki bakış açısıyla konuyu ele alıyor. Hukuki metinlerin düzenlenmesinin yanısıra en fazla bir veri envanteri çıkarıldığını görüyorum. Ancak bu veri envanterlerinin çoğu en iyi deyimiyle VERBİS uyumlu olmadığı gibi, günün sonunda gerçek hayatta bir kişinin talebinin yerine getirilmesi gibi somut bir sorumluluk ortaya çıktığında herhangi bir operasyonel imkan sağlamayan dökümanlardan başka bir hale dönüşmüyorlar. Oysa şirketin gelen talebe cevap vermesi, örneğin başvuran kişinin hangi verilerini tuttuğunu, bunları nerede tuttuğunu, hangi iş süreçlerinde işlediğini ve kimlerle paylaştığını cevaplayabilmesi gerekir. Uygulamada yaşanan örneklerde şu anda en iyi ihtimalde birkaç günden önce bu cevapların verilemediği bir gerçek. Oysa örneğin beş milyon müşteriniz varsa ve bunlardan sadece bin tanesi aynı anda 6698 sayılı Kanun kapsamındaki verinin silinmesini isteme gibi bir talepte bulunsa şirketin kilitleneceği ve Kanun'da öngörülen süre içinde talepleri cevaplayamayacağı çok net. Şu ana kadar bu tür bir gerekliliği yerine getirmeye hazır herhangi bir şirkete rastlamadım.
Veri Sicil Yönetmeliği taslağında çok açık bir şekilde oluşturulacak kişisel veri envanterinin iş süreçlerine bağlı ve ilişkili bir veritabanı olması gerektiği belirtiliyor. Buna rağmen, uzun vakit, emek ve para harcanarak yapılan çalışmalar neticesinde buna uygun bir envanter üretilmediğini görmek üzücü.
Biz kendi yaptığımız uyum süreci projelerinde konuyu iki fazda ele alıyoruz. İlk fazda, gönderdiğimiz soru setlerinden sonra birimler bazında toplantılar yaparak verilerin giriş kanallarını, süreçler içinde ne şekilde ve ne amaçla işlendiklerini ve verilerin kimlerle paylaşıldığını tespit edip, bunları veri akış diyagramlarına döküyoruz. Ardından ilişkili veritabanı, yani bir yazılımın anlayabileceği şekilde kodlanmış excel tabloları olarak kişisel veri envanterini oluşturuyoruz. Bunu aslında bir kitabın indeksi olarak düşünmeniz gerekir. Yani indekse baktığınızda o kavramın kitap içeriğinde nerede olduğunu nasıl buluyorsanız, ilişkili veritabanı şeklindeki kişisel veri envanterinize bakıp verilerin şirketinizin hangi veritabanlarında (fiziksel ortamlar da dahil olmak üzere) olduğunu bulmanız gerekiyor. Daha sonra ise bu envanteri kendi geliştirdiğimiz ve kendi içinde iki modülden oluşturan yazılımımız ile konuşturuyoruz. Yazılımın ilk modülü ©TALPAX DPO modülü ile Veri Sorumlusu Temsilcisi'nin kişisel veri envanterini yönetmesini sağlarken (hatta soru setlerinin girişini bu modül üzerinden yaptırıyoruz, böylece sürecin tamamını yazılımın içine alıyoruz), © TALPAX GRC modülü ile de özellikle veri sahiplerinin 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un 11. maddesindeki veri sahibi haklarının kullanılmak istenmesi durumunda taleplerin yerine getirilmesi için kullanıyoruz. Böylece günler süren çalışma sürelerini saniyelere indirmiş ve tüm süreci tek elden yönetir hale geliyoruz.
Uyum süreci çalışmalarını salt hukuki çalışmalara indirgemek o sürecin yönetilemeyecek bir hale getirilmesi ve ilgili kamu otoritesinin yapacağı denetimlerde veya şikayet incelemelerinde veya yargı organları önünde şirketin öngörülen yaptırımlara maruz kalması demektir. Tüm dünyada mali alandaki uyum süreçlerine; örneğin FATCA, MiFID gibi düzenlemelere veya farma/sağlık sektöründe HIPAA gibi düzenlemelere uyum hukuk, teknik altyapı, risk yönetimi ve süreç yönetiminin içiçe geçtiği bir uyum sürecinde yönetilir ve yönetilmek zorundadır. Bir bankanın genel müdür yardımcısının sınırlarımızdan çok ötedeki bir ülkede tutuklanması, ülkemizin bir bakanının hakkında yine çok uzaklarda bir ülkeden tutuklama kararı çıkarılması gibi uygulamalar dünyanın hiç de yabancı olduğu uygulamalar değildir ve giderek dünya daha fazla regüle edilen ve ülkelerin egemenlik haklarının sınırlarının belirsizleşmeye başladığı bir yer haline dönüşmektedir. ABD'nin Avrupalı bankalara, otomobil üreticilerine verdiği uyum sürecine aykırılık cezaları, AB'nin ABD'li şirketlere verdiği yine uyum süreçlerine aykırılık cezaları, ABD'nin long arm jurisdiction (elim her yere uzanır) doktrini ile AB'nin örneğin Mayıs 2018'de yürürlüğe girecek veri korumaya dair GDPR düzenlemesinde, düzenlemenin AB dışındaki şirketlere de uygulanacağı yönündeki hükmü hep bu belirttiğimiz sürecin en yakın ve en canlı yansımalarıdır. Türkiye de bu gelişmelerden muaf değildir ve eninde sonunda, dünyanın uyguladığı uyum süreçleri yönetim sistemlerine geçmek zorundadır."
Hiç yorum yok:
Yorum Gönder