Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemlerin neler olduğuna ilişkin Kanunun ilgili maddeleri kapsamında hazırlanan Karar, The Privacy Enthusiast’s için günlerine biraz daha keyifli başlamalarına neden olacak niteliktedir.

Her ne kadar uluslararası teamüller ve sözleşmeler ile özellikle avrupadaki kurulların kararları ve rehberleri bizler için önemli olsa da Türkiye Cumhuriyeti yasalarına dayanarak görev yapan ve normlar hiyerarşisine göre belirli bir düzeyde bağlayıcılığı bulunan Kurulumuzun kararları daha fazla dikkatimizi celb etmektedir.

Bu ve gelecekteki benzeri kararları ve rehberleri sadece hukuk alanına ilgi duyanların değil, finans, insan kaynakları, sağlık, teknik alanlar, bilgi teknolojileri, pazarlama ve unuttuğum diğer tüm konularla münasebeti bulunanların yakından takip etmesi ve incelemesi kendilerinin ve toplumun geleceği adına önemlidir.

Notlarım:

1-Kurul Kararının sistematiği;

a-yeni bir politika ve prosedür hazırlama vazifesinin çerçevesinin çizilmesi

b-Kanundaki ve Karardaki hususlara uyumlu olabilmek için çalışanlar özelinde neler yapılması gerektiği

c-Özel nitelikli kişisel verilerin işlendiği ortamlara odaklanarak, elektronik ve fiziksel olmasına bağlı olarak hangi tedbirlerin alınacağının belirlenmesi

d-Bu verilerin aktarılması gerekiyorsa nelere dikkat edilmesi gerektiği ve

e-Kurul’un diğer yayınlarından hangisinin de beraberinde göz önünde bulundurulması gerektiği şeklindedir.

2-Önceki hazırladıklarımızdan ayrı olarak özel nitelikli kişisel verilerin güvenliğine(!) dair yeni bir politika ve prosedür hazırlanması gerekecek.

3-KVK eğitimlerine hususi bölümlerin eklenmesi,

4-Çalışanlarla KVK ek protokolü ve ayrı olarak gizlilik sözleşmesinin imzalanması,

5-erişim matrisi hazırlanması ve periyodik denetlenmesi,

6-Görev değişikliği olan veya işten ayrılan kişilerin yetkilerinin kaldırılacağına ilişkin prosedür ve talimatlarda düzenleme yapılması,

7-

Çalışanlara tahsis edilen veri envanterinin iade alınması

. Takdir edersiniz ki bu husus oldukça zor olacaktır. Ancak başlangıçta verilere erişim ve muhafazasına ilişkin süreçlerin doğru bir şekilde tasarlanması iade edilmesi sürecinde sorun yaşanma riskini azaltacaktır. Bring your own device (BYOD), e-posta ve usb bellekler konu ile ilgili bazı kavramlardır.

8-Elektronik ortamdaki verilerin şifrelenmesi ve şifrelerin gerekli tedbirler alınarak saklanması,

9-Verilerin üzerindeki tüm hareketlerin işlem kaydının loglanması,

10-Güvenlik güncellemelerinin yapılmasının IT birimleri bulunmayan müesseselerde cihazı kullanan çalışanların sorumluluğunda olacağının kendilerine yazılı ve sözlü olarak bildirilmesi,

11-DLP çözümleri, verilere erişimde kullanılan yazılımlarının Kanunla uyumunun denetlenmesi, (Kanun ile uyumlu şirketlere ihale verilmesinden sonra artık Kanun ile uyumlu yazılımların Kamu Kurumları ve özel teşebbüslerde kullanılmasının denetlenmesini yakın gelecekte görmeyi beklemekteyiz)

12-Verilere uzaktan erişim ile kastedilen home office veya başka bir firmadan erişim olarak algılanabileceği gibi yurt dışından erişim de anlaşılabilir. Hukuki olarak nasıl anlaşıldığını gelecekteki Kurul ve mahkeme kararları ile anlayabileceğiz.

13-Veri aktarımında şifreleme çözümlerinin bu karardan sonra daha fazla rağbet göreceği beklenecektir.

14- 5(c)’de geçen farklı fiziksel ortamlardan kastedilen; aynı bina içindeki farklı fiziksel ortam mı yoksa farklı tesisler veya farklı organizasyonların yerleşkeleri midir? VPN veya sFTP ile tavsiyeler sınırlandırılmıştır. sFTP daha önceki projelerde yaptığımız denetimlerde eksikliğini tespit ettiğimiz konulardan birisidir.

15-5(ç)’deki fiziksel dökümanlara ilişkin önlemlerde yine çalışanların bilinçlendirilmesi, eğitilmesi ve iç düzenlemelerle aydınlatılması sonucunda bir kültürün oluşmasıyla ancak başarılabilecek türdendir

16-Eksik kalan hususların veya muğlak ifadelerin anlaşılabilmesi için Kişisel Veri Güvenliği Rehberine atıf yapılmıştır.

Sonuç:

Veri sorumlularının yapacağı hukuki değişikler, alacağı teknik ve idari tedbirler ancak sorumluluklarını yerine getirdiğinin ispatı açısından önemlidir. Ancak Kişisel Veri güvenliğinin sağlanması açısından organizasyonlarda kültürün ve hassasiyetinin oluşturulması adına atılacak adımların etkisi göz ardı edilmemelidir.

Kişisel verilere uyum projesi başlatan ve devam eden organizasyonların kendilerine sormaları gereken önemli bir soru bulunmaktadır.

Bu projenin sonucunda şirket veya marka ne gibi kazanımlar elde edecektir?

Sorunun cevabı sadece hukuki açıdan ispatın sağlanması ve yükümlülüklerin yerine getirilmesi olacak ise resmin büyük bir bölümü net olarak görülemiyor demektir.
Dünyadaki privacy, data protection ve compliance alanındaki gelişmelerde ortak olarak gördüğümüz; lawfulness, fairness, transparency, accountability gibi ilkeler ulaşılması gereken kavramlar arasında olmalıdır.
Muhataplar ile güven ilişkisinin tesisi, sadık müşterilere sahip olmak isteyen organizasyonların bu kişilere dürüst bir şekilde ne yaptıkları hususunda bilgi vermesi de diğer önemli noktalardır
Sevgiler ve saygılarımla,

Av. Oğuz Kartöz,

Posted by Oğuz Kartöz

Oğuz Kartöz, Marmara Üniversitesi Hukuk Fakültesinden mezun oldu. İstanbul Üniversitesi'nde Kamu Hukuku alanındaki yüksek lisans eğitimine devam ediyor. Kişisel Veriler, Mülkiyet Hakkı, AYM ve AİHM, Siber güvenlik, E-ticaret ve Sözleşmeler Hukuku alanlarıyla ilgilenmektedir. 2012 yılında Genç Fütüristler derneğinin üyesi olarak çeşitli projelerin kurucu ekipleri arasında yer alma fırsatı bulmuştur. Genç Fütüristler Yönetim Kurulu üyesi olarak görev yapmaktadır. Gelecek trendlerinin ve teknolojik gelişmelerin felsefi, sosyal ve hukuksal yönleriyle ilgilenmektedir.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir