18 Ekim 2017
A-
A+
Kişisel Verilerin Korunması Kanununa (“KVKK”) dair uygulama ve uyum çalışmaları pek çok şirkette başladı ve devam ediyor.
Kişisel Verileri Koruma Kurulu (“Kurul”) göreve geldikten sonra, yoğun çalışmaların sonucunda 2 mühim yönetmelik taslağını yayınladı ve ilgililere yol göstermeyi amaçlayan soru-cevaplar ile bazı broşürler hazırladı. Uyum programlarının yönetimi açısından, KVKK, taslak yönetmelikler ve bilgi notları doğrultusunda şirketler ve danışmanları yapılması gerekenleri tespit etmeye ve uygulamaya çalışıyorlar.
Peki uyum programları yürüten şirketlerin en çok zorlandıkları hususlar ne?
Uyum programları genel olarak ana iki fazdan oluşmaktadır: 1) detaylı şirket incelemesi ve durum tespiti ve 2) uygulama.
Detaylı inceleme ve durum tespiti aşamasında, öncelikle şirketler verinin giriş ve çıkış noktalarını belirlemekte zorlanıyorlar. Kurul düzenlemeleri uyarınca şirketlerin verilerin ne zaman ve kimlerden toplandığını, verinin ne şekilde kullanıldığını, depolandığını, devredildiğini ve imha edildiğini gösteren bir envanter oluşturulması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekiyor. Bu çalışma için veri sorumluları, her bir iş sürecini belirleyip, organizasyonel yapılarını ve kimlerin kişisel verilere eşimi olduğunu tespit etmeliler. Buna paralel olarak, veri güvenliği uzmanları tarafından kişisel verilerin güvenliğine dair mevcut güvenlik kontrollerinin analizinin de yapılıyor olması şart. Veri sorumlusunun bünyesinde kişisel verilerin korunması amacı ile uygulanan manuel ve bilgi teknolojileri bazlı alınmış önlemler belirlenerek uygunluklarının test edilmesi gerekiyor. Bu değerlendirmenin sonucunda kişisel verileri işleyen, aktaran, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme yollarının belirlenmesi çok önemli.
Uygulama aşamasında ise şirketler kendi stratejilerini belirlemek ve kendi şirketleri özelinde süreç ve uygulamalara uygun politikalar tasarlamakta zorlanıyorlar. Bu durumda da rakiplerin ya da başka kurumların politikalarından ödünç alınan metinler ortaya çıkıyor. Bu şekilde ‘ödünç alınan’ bir metin, başka bir şirketin ihtiyaçlarına göre hazırlanmış olacağından aslında bunun yarardan çok zarar getireceğinin unutulmaması gerekir.
Envanter hazırlığı ile ilgili bilinmesi ve dikkat edilmesi gerekenler neler?
Uyum komiteleri ne yapar?
Uyum komitelerinde kimler olmalı?
Kişisel Veri İşleme Politikası Nedir?
***
Blog'a dön