Open menu
04Kasım2020

Veri Korumada Sürdürülebilirlik

Veri Korumada Sürdürülebilirlik

Gerek Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve gerekse Avrupa’da Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ile ilgili mevzuat kapsamında veri sorumluları, veri gizliliği ve veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla yükümlü tutulmuştur. Bu tedbirler sınırlı sayıda belirtilmemiş; fakat veri sorumlularının "gerekliliğe" yönelik ihtiyacını belirlemesi öngörülmüştür. Bu gereklilik ise her bir faaliyet özelinde farklılaşmaktadır.

Bununla birlikte, organizasyonun iş faaliyetlerinde kişisel verilerin yaşam döngüsü zaman içinde değişmektedir. Örneğin, mevcutta olmayan bir pazarlama veya çalışan memnuniyeti faaliyeti ortaya çıkabilmekte, var olan bir süreç sonlanabilmekte, müşteri portföyü yurt içinden yurt dışına genişleyebilmekte, tedarikçilere şahıs şirketleri eklenebilmektedir.

İş hayatının olağan akışı, veri koruma mevzuatlarına uyumluluğu yaşayan bir süreç hâline getirmektedir. Öyle ki, veri sorumlularının belirli bir süre için süreçlerini gözden geçirerek uygulamalarını iyileştirmesi, veri koruma mevzuatına uyumluluğun ilk adımını oluşturmakta; fakat gelecekteki uygunsuzlukları bertaraf etmemektedir. Bu nedenle veri sorumluları, iş faaliyetlerine eklenen veya sonlanan her bir süreç için veri koruma mevzuatlarına uyumluluğunu sürdürülebilir kılmalıdır. Sürdürülebilirlik organizasyon içerisinde, işleyen bir veri gizliliği ve güvenliği sisteminin tesis edilmesi aracılığıyla gerçekleşir.

Sürdürülebilirliğe Neden İhtiyaç Var?

Veri koruma kuralları, çoğunlukla öz-denetleyici mekanizmalar öngörmektedir. Başka bir deyişle veri korumaya ilişkin kurallar, kuralların muhataplarının kendi kendilerini denetlemesine, uyumluluğu bizzat kendilerinin sağlamasına yönelik yükümlülükler getirmektedir. Bunun sebebi, organizasyonların iç ve dış tüm iş faaliyetlerinde kişisel veri işlemenin bulunması ve dışarıdan sürekli bir gözetim ve denetime tabi olmanın operasyonları aksatacağı, zaman kaybı, işgücü gibi pek çok maliyeti getireceği endişeleridir.

Ayrıca kişisel veri işleme süreçlerine ilişkin en iyi ve kapsamlı bilgiye veri sorumlusu bizzat sahip olduğundan, öz denetim veri korumanın etkinliğini artıracaktır. Böylece, veri koruma mevzuatları veri sorumlularının kendisini denetlemesini ve mevzuat gerekliliklerine yönelik hedeflerine ulaşmak için uygun önlemler ile kendi ihtiyacını kendisinin karşılamasını gerektirmektedir.

Öz denetime açıklayıcı bir örnek olarak veri sorumlusunun veri işleyenleri için yürüteceği süreçler verilebilir. Öyle ki yeni bir veri işleyen ile sözleşme imzalanmadan önce sözleşmeye konu olan veri işleme faaliyetlerinin gerektirdiği ölçüde uyumluluk denetimleri yapılmalı, kimi zaman sertifikasyonlar talep edilmeli veya sözleşme öncesi yazılı taahhütler alınmalıdır.

Veri sorumluları uyumluluk için genellikle hesap verilebilirliğe yönelik dokümanlar hazırlamalı, bunları kayıt altında tutmalı, gerektiğinde ilgili kişilere veya otoritelere sunmalıdır. Ancak bu tür belirli evrakları hazırlayıp kayıt altına almak, öz denetimin doğası gereği, veri koruma mevzuatına uyumluluk için yeterli değildir. Örneğin, ilgili kişiden gelen işlenen verilerine ilişkin bilgi talebi organizasyonda mevcut olan ve sonlanan süreçlerin farkında olmadan karşılanamayacaktır; kaldı ki bu talepler için en kısa sürede cevaplama yükümlülüğü bulunmaktadır. Başka bir örnek olarak, istihdam edilen yeni çalışan için farkındalık eğitimi ve gizliliğe yönelik kurum kültürünün baştan tesis edilmesi gerekecektir.

Sonuç olarak veri sorumluları, sürekli değerlendirmeler yaparak veri işleme faaliyetlerine eleştirel bir şekilde bakmalı, faaliyetlerini tespit ettiği ihtiyaçlar doğrultusunda iyileştirmelidir. Riskler güncel durum için belirlenmeli, veri koruma için en uygun yöntem tespit edilerek sisteme entegre edilmelidir. Veri sorumlularının bu kapsamdaki yükümlülüğünün, bir veri koruma otoritesine atfedilen görevlere benzer görevleri kurum içinde gerçekleştirilmesini sağlamak olduğunu söylemek yanlış olmayacaktır.

Sürdürülebilirlik Ne Sağlar?

Sürdürülebilirlik, her şeyden önce yasal güvence sağlar. Bu kapsamda:

  • KVKK, GDPR ve ilgili veri koruma mevzuatlarına uyumluluğu sağlar.
  • Veri gizliliği ve güvenliği ihlal tehlikesini bertaraf eder.

Sürdürülebilirliğin en önemli etkilerinden biri ise organizasyona ticari açıdan da katkı sağlamasıdır. Bu kapsamda:

  • Rekabetçi bir farklılık yaratır.
  • Kullanılan verilerin değerini ve niteliğini artırır.
  • Çalışan, müşteri ve diğer kişilerin açacağı davaları, talepleri ve bunlara yönelik maliyetleri azaltır.
  • Ticari bağlantıların beklentilerini karşılamayı, bu bağlantılarla güven ilişkisini güçlendirmeyi sağlar.
  • Organizasyonun iyi bir kurumsal vatandaş olmasını sağlar, kamu güvenini güçlendirir.
  • Veri akışına yönelik iş süreçlerinin ve organizasyon şemasının düzenli takibi ile kurumsallaşma yönünde artı değer sağlar.
  • Yukarıdaki sebeplerle global düzeyde iş süreçlerinin yürütülmesini, sınırlar arası satış faaliyetlerini, elektronik doğrudan pazarlama da dahil pazarlama faaliyetlerini geliştirir ve iyileştirir; öte yandan yeni piyasalara girişi kolaylaştırır.

Sürdürülebilirlik Nasıl Sağlanır?

Her şeyden önce organizasyon içerisinde kısa ve öz, tüm bağlantılı kişilere duyurulabilecek bir gizlilik vizyonu ve misyonu belirlenmelidir. Ardından, bu vizyon ve misyon ışığında bir veri koruma yönetim modeli kurgulanmalıdır. Bu modelin kapsamı ve sürdürülebilirliğine ilişkin usul ve esaslar belirlenmeli, uygulanmalı ve düzenli olarak uygulanması denetlenmelidir.

Bu yönetim modeli, organizasyonun tüm süreçlerine etki eder, bu nedenle kapsamlı bir değerlendirme gerektirir. Öncelikle yapılması gereken, operasyonlar dahilindeki veri işleme faaliyetlerinin kapsamını tayin etmek, muhatap olunan mevzuatları belirlemek, bu çerçevede olası zorluklar ve aksaklıkları resmetmek ve organizasyon özelinde uygun aksiyonlar alınmasını sağlamaktır. Örneğin; bir iş süreci için uçtan uca veri yaşam döngüsünü belirlemek, bu veri işleme süreçleriyle bağlantılı olarak gerek lokalde gerek globalde ticari hayatın ve kültürel çerçevede kişilerin beklentilerini tespit etmek, yasal zorunlulukları değerlendirmek, bu tespit ve değerlendirmeleri şirket için özelleştirmek iyi bir uygulama olacaktır.

Veri koruma konusunda sürdürülebilirliği sağlamak ve daha detaylı bilgi almak için bizimle iletişime geçebilirsiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/legislation/item/sustainability-of-data-protection

Diğer Mevzuatlar