Veri gizliliğinde sektör bazlı ayrıştırma karmaşası!

Veri gizliliğinde sektör bazlı ayrıştırma karmaşası!

Geçen yıl yürürlüğe giren Kişisel Verilerin Korunması Kanunu şirketleri de yeni bir sürece hazırlıyor. Veriler noktasında daha hassas bir iş modelini beraberinde getiren kanun, firmalar için önemli bir uyum sürecinin kapılarını aralıyor. Peki, her sektörün kanun kapsamında aynı yaptırımlara maruz kalması doğru mu?
Derya COŞKUN SAYIN
Kısa bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile şirketler de müşterileri ve çalışanlarının bilgilerini koruma hassasiyetini üst seviyeye taşıdı. Nitekim Finanstan Sağlık sektörüne, Perakendeden Sigortacılığa kadar pek çok sektörü yakından ilgilendiren söz konusu kanun, verinin elde edilmesi, depolanması ve kullanılmasına kadar tüm işlemleri kapsıyor. Kanun’da ortaya çıkan en önemli ayrıntı ise henüz sektör bazlı bir ayrıştırmanın tam anlamıyla yapılamamış olması…
Peki, bir Holding çalışanı ve orta ölçekli bir firma personelini de içine alacak şekilde geniş bir yelpazeyi kapsayan kanun özelinde, şirketlerin uyum sürecinde neler yaşanıyor? Kurumlar çalışanları ve müşterileri ile bu sürecin getirilerine hazır mı? Kanun kapsamında şirketlerin iyileştirme beklediği noktalar var mı? Sektör bazlı ayrıştırılan bir kanun kurumların daha doğru adımlar atmasına yardımcı olabilir mi? Detayları kritik sektörlerin IT liderleri ile konuştuk…

Kişisel Verilerin Korunması Kanunu’nda daha hafifletici tarifler olmalı
İş Finansal Kiralama Bilgi Teknolojileri Bölüm Müdürü Murat Yıldırım, Kişisel Verilerin Korunması Kanunu’nun çıkmasından itibaren, öncelikli olarak kişisel veri envanteri çıkardıklarını belirtiyor. “Ne tip kişisel veriler var, bunlar hangi kanallardan içeri giriyor, nasıl işleniyor ve nerde saklanıyor sorularına cevaplar aradık. Kanunun getirdiği zorunlulukları dikkate alarak bu envanterde her bir veri tipi için açık rıza gerekliliği, saklanma süreleri, imha veya anonimleştirme zamanları gibi detayları çalıştık” diyen Yıldırım, detaylı bir envanter çıkarmadan yola çıkmanın sağlıklı olmayacağı görüşünde birleştiklerini söylüyor. Murat Yıldırım, “Envanterimizi çıkardıktan sonra Kişisel Verilerin Korunması Politikamızı ve buna ilişkin prosedürlerimizi yazıp hayata geçirdik. Personelin bilinçlendirilmesi adına eğitimler ve bültenler yayınlayarak sürecimizi 2016 Ekim ayında resmen başlatmış olduk. Aslında kanun sadece müşterilerin kişisel verileriyle ilgilenmiyor, çalıştırdığınız personelin şirketle paylaştığı kişisel veriler de bu kapsamda korunmalı, örneğin personelinizin verilerini hizmet aldığınız firmalarla paylaşıyorsanız bu verilerin amacı dışında kullanılmadığını garanti altına almak zorundasınız. Resmi web sitenizde ziyaretçilerden kişisel veri alıyorsanız açık rıza almanız gerekiyor. Biz kanuna uyum sağlamak adına bütün bu detayları düşünüp süreç içinde doğru kontroller yarattık ve bunların uygulanmasını sağladık ve sağlıyoruz” diyor.
Bu noktada her şirketin kişisel veri envanteri çıkarması ve her bir veri tipine göre özel kontroller koymak zorunda olduğunu kaydeden Yıldırım, müşteriler kadar personellerin de kişisel verilerinin unutulmaması gerektiğinin altını çiziyor. Yıldırım şöyle devam ediyor: “Süreçle ilgili bir diğer önemli husus da müşteriden gelecek bilgi taleplerini nasıl yöneteceği oluyor, bu konu açık rızaların alınması ne kadar önemli ve kritik aslında. Müşteri şikâyetleri bu noktada başlayabilir ve süreç can sıkıcı noktalara kadar uzayabilir. Tüm bunların dışında şirketler kişisel verilerin korunmasıyla ilgili tesis ettikleri süreçleri yılda en az bir kez gözden geçirmeli ve gerekli denetimleri yaparak her şeyin eksiksiz yürüdüğünden emin olmalılar.”
Kanun’un özellikle satış ve pazarlama alanında şirketlerin elini kolunu bağladığını kaydeden Murat Yıldırım, “Örneğin müşteriye teklif geçtiniz ve kabul edilmedi veya müşteriye ilişkin olumsuz istihbarat nedeniyle siz satışı gerçekleştirmekten imtina ettiniz. Bu aşamada iş satışa dönüşmediği için içeriye aldığınız kişisel veriyi ya silmek ya da anonimleştirmek zorundasınız. Bu durum ileride müşteriye tekrar dokunmanıza engel olabilir veya kurumsal hafızanızın kısmen silinmesi nedeniyle kredi riskinizi orta vadede artırabilir, bu nedenle özellikle finans sektörüne dönük olarak yönetmelikte daha hafifletici tarifler olmasını bekliyoruz. Kaldı ki finans ülkemizde en yoğun regüle edilen sektörlerin başında geliyor, finans kuruluşları her sene veri güvenliği ve erişimleri konusunda sıkı sıkıya denetleniyorlar. Sektörel bazda farklı uygulamalar geliştirilebilirse finans kuruluşları için daha verimli bir ortam yaratılacağı kanaatindeyim” diye konuşuyor.
Kanun kapsamında elbette çalışanlara büyük sorumluluklar düştüğünü ifade eden Yıldırım, kişisel verilerin içeri alınması, işlenmesi ve saklanması konusunda şirket politika ve prosedürlerine harfiyen uyulmak zorunda olduğunu ve kanunun yaptırımlarının firmalar için çok ağır olabileceğini dile getiriyor. Murat Yıldırım şöyle konuşuyor: “Bir diğer husus da ihlal halinde firma itibarının geri kazanılması zor kayıplar yaşama ihtimalidir. Çalışanlar kendi kişisel verileri için gösterdikleri hassasiyeti müşteri verileri için de göstermek zorundalar, kanunun ihlali durumunda sadece şirketin değil çalışanın da ceza alabileceği unutulmamalı. Kişisel verilerin saklanması ve dağıtılması herkes için çok kritik bir konu olsa da ticari hayatın devamlılığı açısından bireylerin doğru zamanda doğru firmalardan bilgi talebinde bulunmaları çok önemli. Sürekli hizmet aldıkları firmalarda kişisel verilerinin olması doğaldır, fakat SMS veya e-posta aracılığıyla hiç tanımadıkları firmalardan reklam paylaşımları almışlarsa, ilgili firmadan bilgi talep etmeli ve kişisel verilerine nasıl eriştiklerini sorgulamalılar. Eğer kişisel verilerinin üçüncü şahıslara satıldığını düşünüyorlarsa ivedilikle resmi kurumlara şikâyette bulunmalı ve konunun takipçisi olmalılar. Bireylerin sahip oldukları haklara ilişkin bilinç ve farkındalığının artması, kanununa uyumu doğal olarak yaygınlaştıracaktır.”

Kanunun sektöre göre düzenlenmesinin uyum aşamasında esneklik sağlayacağı kanısındayım
MNG Faktoring Bilgi Teknolojileri Müdürü Ozan Şimşek de Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesiyle birlikte verinin gizliliği ve korunması farkındalığının adımlarının atılmış olduğunu ifade ederek, “Bu konuda birçok toplantılar, seminerler, tartışmalar yaşadık. Şirket uyum süreçlerinde bizlerde bu farkındalığın oluşması için şirket içi duyurular ve paylaşımlar yapmaktayız. Şirketlerde başta IT, İK departmanları bu uyumluluk süreçlerini üstlenseler de büyük sorumluluk şirketteki verinin asıl sahibi personellere düşüyor. Özellikle paylaşılacak verilerin açık rıza ile alınarak aydınlatma ilkesinin uygulanması ve şirket içi Kişisel Verileri Koruma Kurulu/Sorumlusu’nu belirlemek aldığımız aksiyonlar arasında. Belli aralıklarla da tüm şirkete ilgili bilinçlendirme duyurularını yapmaktayız” diyor.
Uyum süreci noktasında şirketlerin verilerini sınıflandırarak ortaya analiz edebilecekleri veri taslaklarını oluşturmalarının onlar için ilk adım olacağını kaydeden Şimşek, şöyle konuşuyor: “Şirket içi duyurularla personeller bilinçlendirilmeli, müşteri bilgileri barındıran bir kurum ise mutlaka aydınlatma ilkesi gereği müşterilerinin açık rızasının alınması ve bu verilerinin hangi amaçlarla kullanılacağı bilgisi paylaşılmalıdır. Zaten birçok şirketimiz internet sitelerinde ilgili duyurularını yapmaktalar. Şirket içi veri sorumlusu belirlenmeli ve takibinin yapılması çok önemlidir. Diğer bir konu ise kullanılmayan verilerin anonim hale getirilmesi ya da silinmesi kanun kapsamında yer alan maddelerden birisi. Özellikle birkaç departmanın ortak bir kurul kurması büyük fayda sağlayacaktır. Çünkü verinin asıl sahibi IT ekibi harici veriyi oluşturan diğer departmanlar ve çalışanların olduğu görüşündeyim. 6698 no’lu KVKK Türkiye’de yeni yeni gündeme gelse de Avrupa ülkelerinde bu süreç çok daha geriye gidiyor. Ve şimdilerde sektöre özgü taslakları gündeme getiriyorlar. Bu çok önemli bir tecrübe gibi gözüküyor. Çünkü her sektörün veriyi kaydetme kullanma, paylaşma profilleri birbirinden çok farklı oluyor. Bu kanunun sektöre göre düzenlenmesi uyum aşamasında esneklik ve daha fazla fayda sağlayacağı kanısındayım. Öte yandan hukuki süreçlerde bazı çerçevelerin tam olarak netlik kazanmadığı görüşündeyim. Yine de önümüzdeki süreçte veri gizliliği ve KVKK’nın öneminin daha da artarak devam edeceğini düşünüyorum.”
Kanun kapsamında çalışanlardan verinin önemi ve değerinin bilinmesinin beklendiğini dile getiren Ozan Şimşek, bu farkındalıkla çalışanların artık oluşturduğu veriyi saklarken daha bilinçli yaklaşmasını gerektiğini söylüyor. Şimşek konuyla ilgili şöyle devam ediyor: “Böyle çalışanlar şirketlere güven, böyle şirketlerde müşterilere güven vermektedir. Müşteriler ise kendine ait olan veriyi paylaşırken nerelerde ve hangi amaçla kullanılacağını iyi araştırması gerekiyor. Bu şekilde şirketler ve müşteriler ileride kendileri için oluşabilecek veri kirliliğinin de önüne geçmiş olacaklardır. Kısacası; hem şirketler ve personellere hem de müşterilere bu kapsamda büyük sorumluluk düşüyor.”

Verilerin silinmesinin hangi durumlarda uygulanıp uygulanamayacağı netleştirilmeli!
Tam Faktoring İç denetim ve İç kontrol Başkanı Alp Eray Ankay ise, Kişisel Verilerin Korunması Kanunu’nun kişilere ait bilgilerin ticari ve gündelik hayatın içerisindeki yerinin ve öneminin her geçen gün arttığı ve buna paralel olarak bu bilgilerin gizliliğine ve güvenilirliğine ilişkin soru işaretlerinin ortaya çıkmaya başladığı bir zamanda gündeme geldiğini vurguluyor. Ankay, “Finans sektörü olarak kişisel verilerin gizliliği aslında bizler için yeni bir kavram değil. Gerek Türk Ticaret Kanunu gerekse Bankacılık Kanunu’nda müşteri bilgilerinin gizliliği konusunda yükümlülükler daha önceden de bulunmakta olup Tam Faktoring olarak bizim en hassas olduğumuz konuların başında gelmekte. Bununla birlikte yeni kanun birçok yeniliği beraberinde getirmiş durumda. Her şeyden önce ‘kişisel veri’ artık kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlanıyor ve böylece çok geniş bir kapsamla birçok detayı birden içerisinde barındırıyor. Tabi burada özellikle uygulama tarafında farklılıklara dikkat etmek gerekir. Maalesef mevzuat yayınlanalı 1 yıldan uzun bir süre geçmiş olmasına karşın henüz sağlık sektörü haricinde sektörel bazlı bir ayrıştırma yapılmış değil. Bu da demek oluyor ki üretim sektöründeki bir işletme de bir perakende firması da kanun kapsamında aynı derecede sorumlu. Burada belirsizliklerin giderilebilmesi için yayınlanacak sektörel bazlı alt mevzuat ile şirketlerin sorumluluklarının ve yükümlülüklerinin daha net bir şekilde belirlenmesi faydalı olacaktır. Özellikle verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili konuların hangi durumlarda uygulanıp uygulanmayacağının netleştirilmesi gerekir” diyor.
Kişisel verilerin korunması kapsamında süreçlerin etkin bir şekilde yürütülebilmesi için her şeyden önce şirket içerisinde üst yönetimin konunun önemi hakkında farkındalığının gerektiğine işaret eden Ankay, mevzuatın getirdiği yenilikler de göz önünde bulundurulduğunda bu sürecin tüm sorumluluğun tek bir ekibe verilmesinin doğru olmadığını belirtiyor. Alp Eray Ankay şöyle devam ediyor: “Başta Bilgi Teknolojileri olmak üzere Hukuk, Yasal Uyum ve müşteriler ile temas eden Satış ve Pazarlama gibi farklı birimlerin bu kapsamda ortaklaşa hareket etmeleri faydalı olacaktır. Bununla birlikte süreçlerin sağlıklı bir şekilde yürütülebilmesi ve sürekliliğinin sağlanması için iç denetim ve iç kontrol faaliyetlerinin etkin bir şekilde yürütülmesi gerekmektedir. Tam Faktoring olarak biz öncelikle kişisel verilerin korunması ile ilgili olarak yaptığımız risk analizi doğrultusunda kendimize bir yol haritası belirledik. Bu doğrultuda yeni kanun ve getirdiği sorumluluklar ile ilgili olarak tüm personelimize eğitim vererek konuyla ilgili olarak kurumsal yükümlülüklerin yanı sıra çalışanlara bireysel sorumluluklarını da aktardık. Sistem üzerinde yer alan verilere ilişkin yaptığımız envanter çalışması doğrultusunda bilgi güvenliğine ilişkin yazılı süreçlerimizi hazırladık. Bununla birlikte sistem altyapımızda bilgi güvenliği amacıyla bazı geliştirmeler yaptık. Bu kapsamda DLP uygulamamız ile veri sızıntılarını tespit edebileceğimiz ve önleyebileceğimiz bir işleyişi hayata geçirdik.”
Kişisel verilerin korunmasının şimdiden kurumsal şirketlerin önceliklerinden biri haline geldiğini kaydeden Ankay, yeni mevzuat ile kişisel verilerin gizliliği konusunda herkesin sorumluluğunun bulunduğunun da unutulmaması gerektiğinin altını çiziyor. Alp Eray Ankay, “Bu kapsamdaki ihlallerin büyük yaptırımlar ile cezalandırılabileceğini göz önünde bulundurarak bilgi güvenliği konusuna gereken önemi vermek gerekir. Tam Faktoring olarak biz müşteri bilgilerinin gizliliğinin sağlanması konusunda daha önce göstermiş olduğumuz özeni bundan sonraki süreçte kişisel verilerin korunması konusunda sürdürerek bilgi güvenliği konusunda tam kapsamlı bir güvence vermeyi amaçlıyoruz” diye konuşuyor.

Kişisel verisi işlenen kişilerin, verilerinin içeriklerine ve izinlere dikkat etmeleri gerekiyor
Creditwest Bilgi İşlem Uzmanı Sercan Koca da Creditwest Faktoring için veri güvenliğinin; gerek şirketlerinin kurumsallığa verdiği önem gerek ise içinde bulundukları sektör çerçevesinde bilginin değeri açısından oldukça önemli olduğunu kaydediyor. “Kişisel verilerin korunmasındaki yaklaşımımız da bu doğrultudadır. Kişisel verilerin korunması ile ilgili şirketimizin kurumsal politikası web sitemizde tüm müşterilerimiz, çalışma arkadaşlarımız ve diğer iş ilişkisinde bulunduğumuz gerçek ve tüzel kişilerin incelemesine sunulmuştur” diyen Koca, şirketlerin bu noktada kendilerine uzun soluklu bir yol haritası belirlemeleri ve kişisel veri akışı olan tüm sistemlerinin veri anlamında detaylı analizi ve kişisel veri sınıflandırılması, envanterinin ve akışının oluşturulması gerektiğini söylüyor. Koca, “İkinci aşama tüm ana sistemlerin ve bu sistemlerden sorumlu olacak pozisyonların, alınacak aksiyonların hızlı bir şekilde belirlenmesi. Biz bu süreçte belirlenen harita üzerinden hukuksal anlamda detaylı analiz yaparak, hızlı ve nokta atışı tespitlere ulaşıp sonuç odaklı kararlar aldık” diyor.
Sercan Koca şöyle devam ediyor: “Kanunun uygulanmasında hepimizden beklenen kişisel verinin önemi hakkında farkındalığın en üst düzeyde içselleştirilmesidir. Veri işleyen kurumların çalışanlarının bu konuda titiz, özenli ve kurum süreçlerine uygun hareket etmesi gerekmektedir. Kişisel verisi işlenen kişilerin ise bu çerçevede verdikleri verilerin içeriklerine ve imzaladıkları izinlere dikkat etmeleri gerekmekte.”

Şirketler ne kadar gelişmiş bir altyapıya sahip olursa olsun, en zayıf halka hep insan!
Turkland Sigorta CIO’su Gökmen İbişler, şirketlerinde veri koruma politikası hazırlıklarının devam ettiğini söyleyerek, veri koruma sorumlusu da belirledikleri belirtiyor. İbişler, “Kurum çalışanlarına veri koruma farkındalık eğitimleri ve bilgilendirmeleri yapılmaya başlanmıştır. Sürdürülebilir veri koruma süreçlerinin tasarlanması amacıyla ‘veri koruma komitesi’ oluşturmak için çalışma başlatılmıştır. Kişisel verilerin işlenmesi ile ilgili politikamız dâhilinde, veri sahiplerinin kolayca ulaşmaları için web sitemize ve sosyal mecralara konacak şekilde çalışma yapılmıştır. Şirket veri koruma politikasının oluşması ardından veri sahiplerinin kolayca ulaşması için web sitemizden yayınlanacaktır. Kişisel veri toplama işlemlerinde veri sahibinin açık rızasını alacak şekilde poliçe ve tekliflerimize eklemeler yapılmıştır. Kişisel veriler sadece faaliyetimiz kapsamında sunduğumuz ürünlerinin hizmet kalitesini geliştirmek amaçlı ihtiyacı karşılayacak kısmı alınmaktadır. Örneğin doğum tarihi, araç plakası gibi veriler istenmekte fakat dil, din, ırk gibi faaliyet konumuzla alakalı olmayan bilgiler süreçlerimizin hiçbir aşamasında istenmemektedir. Kurumumuzda kullanım süresi dolmuş olan veriler otomatik olarak imha edilecek süreçler çalıştırılmaktadır. Örneğin trafik online vasıtasıyla şirketimize gelen ve fiyatlama amacıyla kullanılan veriler trafik teklifi oluşturulmakta kullanılmakta ve teklifin yasal geçerlilik süresi bitiminde bu bilgiler imha edilmektedir” diyor.
Aynı zamanda kâğıt ve elektronik ortamda tutulan kişisel verilerin fiziksel güvenlik önlemlerinin de alındığını kaydeden Gökmen İbişler, “İstanbul da verilerin tutulduğu veri merkezi erişimleri yetkili kullanıcılar tarafından yapılmaktadır. Bu kullanıcıların yetkileri en az yetki prensibi çerçevesinde belirlenmiştir. İş sürekliği planımız güncel tutulmaktadır. Bu plan kapsamında felaket kurtarma merkezi Ankara Söğütözün’de oluşturulmuştur. Veri sızmalarını önlemek amacıyla düzenli olarak yetkili firmalara network sızma testleri yaptırılmaktadır. İnternet üzerinden gelecek saldırılar için hem hizmet aldığımız ISP den zero-day saldırı önleme hizmeti alınmakla birlikte, hem de iç networkte kullandığımı cihazlar güncel ve aktif tutularak sürekli veri trafiği izlenmekte” diye konuşuyor.
Finans sektöründe faaliyet gösteren firmaların uyum sürecinde, diğer şirketlere oranla daha hazır hale geldiklerini de sözlerine ekleyen İbişler, “Fakat yine de bu işin bir süreç olarak kabul edilmesi ve organizasyonlarının, yatırımlarının planlanırken gizliliği ve KVK kapsamında planlamanın revize edilmesi gerekmektedir. Öncelikle şirket bünyesinde bulunan tüm verilerin sınıflandırılmasının yapılması gerekiyor. Ardından veri komitesi ve veri koruma politikası oluşturulması gerekmektedir. Unutulmamalıdır ki şirketler ne kadar gelişmiş bir altyapı ve sürece sahip olursa olsun, en zayıf halka hep insan kaynağı olacaktır. Bu nedenle öncelikle çalışanları, iş ortaklarının eğitimler ve bilgilendirmelerle veri güvenliği konusunda bilinçli ve odaklı tutulmaya çalışılmalıdır” diyor.
İbişler’e göre, Kanun’un uygulamada getirdiği regülatif tedbirler, şirketlere maliyet ve süreç yavaşlığı getirecek. “Fakat bunun yanında kişisel verilerin koruması ve veri gizliliği adına önemli katkılar sağlayacak” diyen Gökmen İbişler, söz konusu Kanun’un uzun vadede şirketlerinin, sektörlerinin ve Türkiye’nin veri bilincinin geliştirilmesine katkıda bulunacağına inandıklarını kaydediyor. İbişler şöyle konuşuyor: “Çalışanlarımızdan beklentimiz veriyi değer olarak kabul edip, kanun kapsamında üzerlerine düşen sorumlulukları yerine getirmelidir. Uyarı, eğitim ve bilgilendirmeleri hep göz önüne alarak çalışmalarını sürdürmeleridir. Müşterilerimize KVK’nın getirdiği bürokratik işlemlerin yüklerinden dolayı anlayışlı olmalarını ve KVK kapsamında kendilerine tanınan yetkileri kullanmalarını beklemekteyiz.”

İhtiyaç duyulmayan kişisel verilerin anonim hale getirilmesi kurumları en fazla zorlayacak madde… Altyapı ve iş süreci revizesi gerekecek!
Kuveyt Türk BT Koordinasyon Müdürlüğü Kıdemli Yönetişim Mühendisi M. Şerafettin Özsoy ise, kişisel verilerin hayatın her alanında gerek kamu ve gerekse özel sektör tarafından yaygın olarak işlendiğini ifade ederek, “Bilişim teknolojilerindeki gelişmeler verinin çalınmasını, yetkisiz kişilerin eline geçmesini daha da kolaylaştırdı. Ülkemizde kişisel veriler korunmadığı gerekçesiyle uluslararası emniyet ve güvenlik teşkilatları ile iş birliği yapılamamaktaydı. Böyle bir kanunun olmayışı yabancı sermayenin ülkemize girişini zorlaştırmaktaydı çünkü faaliyet gösterilen ülkelerdeki kanun koyucular verinin Türkiye iştiraklerine aktarılmasına izin vermemekteydi. Meclisten geçerek yasalaşması beklenen Kişisel Verilerin Korunması Kanunu Tasarısı’nın yasalaşması ile bahsettiğimiz engeller aşılırken kamu ve özel sektöre de birçok görevler düşmekte. Aslında TCK’nın 135. maddesi Kişisel Verilerin Korunması ile ilgili bir anlamda bir çerçeve çizmişti ama detaylı olarak hangi şartlarda suçun oluşacağı net değildi. Bu kanun ve ardından çıkarılmaya başlanan ilgili yönetmelikler yapılması gerekenleri daha net ifade ediyor. Kanun, özellikle kişisel verilerin yoğun olarak işlendiği bankacılık sektöründe birçok sürecin değiştirilmesini ve yeni süreçlerin oluşturulmasını zorunlu kılıyor” diyor. Bankalarında tasarının kanunlaşmadan birtakım önlemler almak adına çalışmalar başlattıklarını kaydeden Özsoy, “Kanunla uyum faaliyetlerini en üst düzeyde yönetmek ve izlemek amacıyla bir proje başlatıldı ve proje stratejik seviyede izlenmekte ve raporlanmakta. Projede BT, mevzuat, hukuk, IK başta olmak üzere birçok paydaş yer alıyor. Kişisel veri envanteri ve verinin nerelerde muhafaza edildiğinin bir haritası oluşturuldu. Veriye yetkisiz erişim girişimlerinin tespit edilmesi ve incelenmesi için Bilgi Güvenliği tarafına birçok yatırım yaptık. Çalışanlarımıza düzenli olarak verdiğimiz Bilgi Güvenliği eğitimlerinde kişisel verilerin korunması ile ilgili yeni bir başlık oluşturduk. Kişisel verinin kurum dışına doğru hareketlerini takip ederek olası veri sızıntılarını anında tespit edebilmek ve engellemek amacıyla kişisel veriyle ilişkili otomatikleştirilmiş süreçlerimizi gözden geçirerek gerekli optimizasyonları yapmaktayız” diye konuşuyor.
Şirketlerin kanunla uyumu sağlamak ve idame ettirmek amacıyla ilk aşamada konuyu bir proje olarak ele almaları gerektiğinin altını çizen Özsoy şöyle konuşuyor: “Proje kapsamında kişisel veri envanterlerini oluşturarak kişisel verilerin saklama ortamlarını belirlemeli ve verinin sahipliklerini ilgili paydaşlara atamalı. Veri saklama ve işleme ortamlarını mümkün olduğu karar merkezi bir yapıda toplayıp kişisel verinin işlenmesi çalışmalarını sadeleştirmeli ve veri işleme için ihtiyaç duyulan yönetimsel, idari ve teknik önlemleri sağlamalı. Proje tamamlandıktan sonra ise sürekli eğitim faaliyetleri ile çalışanlardan kanunla uyumu idame ettirmeye yönelik faaliyetleri hakkında bilgi verilerek konunun çalışanlar nezdinde içselleştirilmesine çalışılmalıdır. Bu kanunda kurumları en fazla zorlayacak maddenin ihtiyaç duyulmayan kişisel verilerin anonim hale getirilmesi veya yok edilmesi ile ilgili madde olduğunu düşünüyorum. Bankalar, fiziksel ve dijital veri saklama altyapılarını hep kanuni saklama süresi sona eren verinin imha edilmesine odaklı olarak tasarlayıp işlettiklerinden, ihtiyaç duyulmayan ya da müşteri talebi üzerine silinmesi gereken kişisel verilerin silinmesi ve aynı zamanda kanuni saklama sürelerine uyumun sağlanması için mevcut BT altyapılarını ve iş sürecini revize etmeleri gerekecektir. Bu da haliyle hem zaman alacak hem de altyapı yatırımı gerektirecektir.”
Uyum sürecinde de çalışanların konuyla ilgili aldıkları eğitimlerin içselleştirilmesinin önemini vurgulayan Özsoy, çalışanların görev tanımları kapsamında işledikleri kişisel verilerle ilgili sorumluluklarını çok iyi öğrenmelerini, emin olmadıkları konularda fikir yürüterek aksiyon almaktan sakınmalarını ve kendilerine bildirilmiş olan ilgili departmanlara muhakkak danışmalarını öneriyor. Özsoy, “Banka müşterileri, telefon veya farklı yollarla kanunu gerekçe göstererek müşterinin kişisel verileri ile ilgili sorular soran dolandırıcılara karşı dikkatli olmalıdır” diyor.

KVKK’ya uygun süreçler oluşturulmalı ve teknolojik çözümler ile desteklenmeli
Bank Mellat Bilgi Teknolojileri Müdürü Ferhat Kaysı da Kanun’un kişisel verileri işleyen bütün sektörlerde pozitif bir hareketlilik sağladığını belirterek, “Bu konuya Bilgi Teknolojileri tarafından bir bakış açısı ile bakmaya çalışacağım. Bu noktada KVKK’yı üç ana başlıkta toplamak mümkün; hukuk, bilgi güvenliği ve veri yönetimi ile operasyon modeli ve iş süreçleri. Bu başlıkların alt başlıkları ile birlikte bankacılık kanununa bağlı kalarak çalışmalar yürütüldü. Ayrıca, Bankacılık Düzenleme ve Denetleme Kurumu, Bankacılık kanunların ‘Yönetmelik, Genelge veya Tebliğlerinin’ işletilmesi ve işletilen bu kanunların denetimi ile sektörün belirli bir olgunluk seviyesine gelmesinde büyük rol oynamıştır. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği ve tebliğin atıfta bulunduğu Cobit standartları sayesinde, KVKK süreçlerine adaptasyon hızlı oldu” diyor.
Türkiye’de hizmet veren bankaların söz konusu kanunun isteklerini karşılama noktasında diğer sektörlere göre şanslı olduğu taraflar bulunduğunu kaydeden Kaysı, Kişisel Verilerin Korunması Kanunu’nun kurumlar için bir fırsat niteliği taşıdığını belirtiyor. Ferhat Kaysı şöyle devam ediyor: “KVKK’nın etkin ve verimli bir şekilde yürütülmesi, Yönetim Kurulu başta olmak üzere üst yönetimin farkındalığı ve desteği ile mümkündür. KVKK ile ilgili uyum çalışmaları kurum içerisinde birçok farklı birimin ortak çalışması ile olacaktır. Bu bir Teknoloji çözümü değildir, çünkü birçok alternatif bulunmaktadır, sadece teknolojik yatım ile çözülemez, diğer bir etken insan tarafından bakıldığı zaman, tek başına çözüm olamayacağını göreceksiniz. Bu iki unsuru bir şekilde bir araya getirmek ve o uyumu sağlamak gerek. İnsan ile teknoloji arasında bir yaşam döngüsü vardır. Uyum için teknoloji, insan ve süreç üçlüsünü doğru bir şekilde bir araya getirmek gerekmektedir. Bu bir ekip işidir, ekiplerin ortak çalışması ile projelerin doğru sonuca ulaşma şansı artmaktadır. Kurumlar öncelikle yol haritası ile başlamalıdır. Mevcut durumun tespiti hayatı önem taşımaktadır. Yapılacak analiz çalışmalarında, Kanun kapsamına giren gerçek veya tüzel kişiler tarafından öncelikle kişiselveri envanterinde, ne tip kişisel veriler bulunduğu, bunları nerelerde tuttukları, nerelere transfer ettikleri, kimlerle paylaştıkları ve ne kadar süre ile tutmaları gerektiğini tespit edilmesi gerekmektedir.”
Verilerin işlenmesi ve risk tespiti noktasında da açıklama yapan Kaysı, “Kurumun ne tür riskleri olduğunu ve belirlenen risklerin nasıl bertaraf konusunda bir çalışma yapılmalıdır. Bu noktada teknolojik altyapı iyileştirmeleri, gerekirse danışmanlıklar ile süreçler olgunlaştırılmalıdır. Kişisel veri yönetimi ile ilgili süreçler tanımlanmalı ve kurum içerisinde uygulamaya alınmalı ve farkındalık eğitimleri ile çalışanların bilinçlendirmesi gerekmektedir. Kurum operasyon modeli ve iş süreçleri kanuna uygun olarak tasarlanmalıdır. Kritik bir diğer nokta ise kişisel veri sahiplerinden açık rızalarının alınması, bir hukuki süreçtir. Kanun’un hukukçular ile yürütülmesi gerekmektedir. Veri sahiplerinin herhangi bir bilgilendirme ihtiyacı olduğunda, KVKK’ya uygun süreçler oluşturulmalı ve teknolojik çözümler ile desteklenmelidir” diyor.
Ferhat Kaysı, kurumların Kanun’un uygulanması noktasında zorluklar yaşayacağını düşünüyor. ‘Genel anlamda kurumlar kanuna ne kadar hazır?’ diye soran Kaysı’ya göre, firmalar sistemleri adaptasyonunda yaşanacak riskleri ölçeklendirme konusunda da sorunlar yaşıyor olabilir. Kaysı konuyla ilgili şöyle konuşuyor: “Yasada Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz şeklinde bir madde vardır. Bankacılık sektörü zaten Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğinden dolayı birincil ve ikincil sistemlerini yurt içinde tutmak zorundadır. Verilerini bulut ortamında tutan diğer kurumlar, kişisel verileri saklarken müşterilerinden açık rızasını alıp verileri de yurt dışında saklayabileceğini belirtmesi gerekir. Kullanıcı verisinin saklanmasına izin verip yurtdışında saklanması noktasında izni olmaz ise problem teşkil edecektir. Ayrıca kullanılacak yurtdışı sistemler için Kişisel Verileri Koruma Kurumu’ndan onay alınması veya kanunda düzenleme yapılması gerekmektedir. ”

Kanun’da yoruma açık ifadeler olduğu için Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı bir an önce çıkarılmalı!
İstanbul Büyükşehir Belediyesi Bilgi İşlem Daire Başkanı Selim Karabulut da “Kişisel veriler ya da daha genel anlamda mahrem ve hassas verilerin toplanması, işlenmesi, yönetimi, korunması, erişim hakları ve paylaşılması gibi konular veri yönetiminin konusu. İstanbul Büyükşehir Belediyesi (İBB) olarak kişisel verilerin güvenliğinin önemini biliyor, kişisel verilere çalışanlarımızın, iş ortaklarımızın ve vatandaşlarımızın emaneti olarak bakıyoruz” derken, kişisel verilerin envanterini çıkardıklarını, elde edilen kişisel verilerin sürecini, nerede oluşturulduğunu, işlendiğini, nasıl saklandığını ve paylaşıldığını belirlediklerini söylüyor. Karabulut, “Veri güvenliği politikalarının belirlenmesi önem taşıyor; bu alanda belirlediğimiz politikalar doğrultusunda süreçlerimizi tekrardan revize ediyoruz. Prosedür ve talimatlarımızı güncelliyor, veri erişimi konusunda uygulama ve paylaşım servisleri yazıyoruz. Kullanıcıları kişisel verilere bir uygulama aracılığı ya da web servisi ile yetkilendirmelerle ve paylaşılan kadarına erişimini sağlamaya çalışıyoruz. Güvenlik büyük önem taşıyor; gizli ya da kişisel verilere her türlü erişimi ‘log’luyoruz. Veri maskeleme ile mahrem verileri saklıyoruz. Kişisel verileri tek seferde erişilebilecek şekilde tutmuyoruz. Kurduğumuz sistemi sürekli denetimlere tabi tutuyoruz. Yaşanan olumsuzlukları hemen tespit edip kök neden analizleri gibi teknik yöntemlerle inceliyoruz. Oluşturulan eylem planlarını da iç kontrol mekanizmamız ile takip ediyoruz” diyor.
Söz konusu kanunun bir milat olmadığını vurgulayan Selim Karabulut, “Türk Ceza Kanunu ve Elektronik Ticaretin Düzenlenmesi Kanunu gibi birçok kanun ve yönetmelik, kişisel verilerin korunması konusunda maddeler barındırıyor. Bu kanun çıkmadan önce ne yazık ki veri güvenliği noktasında çok üzücü olaylar yaşandı. Basından da takip ettiğimiz kadarıyla, şirketlerin müşteri verilerini ticari gelir elde etmek amacıyla kullanması, şirket müşterilerinin bilgilerini üçüncü taraflara satan ve mahrem bilgilerini paylaşan çalışanlar, kart bilgilerinin çalınmasına neden olan yetersiz güvenlik politikaları gibi durumlar gerçekleşti” diye konuşuyor.
Karabulut’a göre; üzücü durumların yaşanmaması için şirketler kanunun gereklilikleri için dönüşümü gerçekleştirirken, birinci adımda Hukuk Müşavirliği’nin, ilgili kanunu iyi yorumlaması ve yorumlarını yöneticilere ve çalışanlara aktarması gerekiyor. “İkinci adımda operasyon birimleri mevcut sistemlerini ve süreçlerini kanuna göre revize etmeli. Üçüncü adımda ise İç Denetim Birimi yasal zorunlulukları denetim programına almalı ve denetlemeli” diyen Selim Karabulut, şirketlerin; kişisel verilerin korunmasının idari ve teknik bir süreç olduğunu, operasyonel maliyet ve iş yükü getirdiğini unutmaması gerektiğini kaydediyor. Karabulut şöyle konuşuyor: “Özellikle şirketler mevcut uygulamalarındaki kişisel verilerin operasyonel süreçlerden mi kaynaklı yoksa kanunen getirilmiş bir zorunluluk çerçevesinde mi işlenip saklandığını belirlemeli. Eğer bu iki durum da söz konusu değilse, kişisel verinin alınmamasını sağlamalı, alınması önlenememişse bile kontrollerle hemen silinmesi temin edilmeli. Kurumların işlemesi zorunlu kişisel veri tiplerini, saklama sürelerini, işleme ve saklama boyutunu, miktarını vb. bilgileri ilgili mevzuatlarından derleyerek bir başlık altında güncel olarak takip etmesini içeren bir zorunluluğun Kanun’a ya da ilgili yönetmeliklere eklenmesi faydalı olacaktır. Kurumlar kendi kişisel veri saklama ve imha prosedürlerini oluşturmalıdır. Kanunda çok açık olmayan ve yoruma açık birçok ifade olduğundan, 5 Mayıs 2017 tarihinde yayınlanan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı ve benzeri ilgili yönetmeliklerin bir an önce çıkarılması, Kanunun “Geçiş Hükümleri” başlıklı Geçici 1. Maddesinin 3. Fıkrası, (Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.) belirtilen sorumlulukların bütünleşik olarak yerine getirilmesini hızlandıracak ve kurumların uyum sürecini daha kolay yönetebilmelerini sağlayacaktır.”
Bütün bunların yanında çalışanların öncelikle farkındalık eğitimi alması gerektiğini kaydeden Selim Karabulut, “Aynı zamanda bu konuda odak olarak çalışan veri sorumluları, kendilerini geliştirmek için eğitimler ile sürekli desteklemeli. Çalışanlar kanun ile ilgili yönetmelik olmasa da kanunun Kuruma ve bireye getirdiği hem operasyonel maliyetin hem de iş yükünün farkında olmalı. Kanunun 10. Maddesi gereği kişisel verilerin temini esnasında paydaşları aydınlatma yükümlülüğü ve müşterilere (ya da vatandaşlara) haklarının hatırlatılması çalışanlardan öncelikli beklenmeli. Bireyler de bu kanunda kazandıkları haklarını bilmeli ve ihtiyaçları doğrultusunda bütün bu mekanizmaları kullanmaktan çekinmemeli ve bu konuda kurumları eğitmeli” şeklinde konuşuyor.

Şirketlerde sağlıklı bir süreç adına kanunun proje olarak ele alınması faydalı olacaktır
Generali Sigorta Bilgi Teknolojileri Müdürü Kemal Yiğit; şirketlerinin yatırım ve danışmanlığının getirdiği tecrübe ve avantajı da kullanarak kişisel verilerin gizliliği ve korunmasına yönelik uyum sürecinde hem geçmişte hem de ilgili düzenlemelerin yayınlanmasından sonra geçen zamanda birçok iyileştirmeler ve geliştirmeler yaptıklarını belirtiyor. Yiğit, “Temel sigortacılık süreçlerimizden başlayarak şirketteki mevcut veri işleme süreçlerinin ve işlenen tüm verilerin genel bir resmini çıkardık ve buna göre bir durum analizi çalışması başlattık. Elde edilen bulgular doğrultusunda direkt olarak müşteriye temas eden noktalarımızdaki veri işleme onaylarını revize ettik, sistemlerimizde tutulan bilgilerde ve müşteri iletişimi süreçlerinde çeşitli revizyonlar gerçekleştirdik. Esas amacımız olan sürdürülebilir bir uyum yapısı oluşturulması ve düzenli olarak takip edilmesi konularında da çalışmalarımız devam etmektedir” diyor.
Süreç içerisinde şirketlerin önündeki en büyük engelin, iş süreçlerindeki kalıplaşmış yapıların olması ve alışkanlıkların değişmesinin uzun zaman alması olduğunu ifade eden Yiğit, artık tüm süreç değişiklikleri, sistemlerdeki geliştirmeleri ve yeni iş modellerini hazırlarken sürecin en başında veri gizliliğinin bulundurulması gerektiğinin de altını çiziyor. Yiğit, “İlgili kanuna uyum çalışmaları bütün departmanları ve süreçlerini etkilediği için daha sağlıklı bir süreç adına bu Kanun’un bir proje olarak ele alınması ve bu konuya odaklanmış bir proje ekibinin oluşturulmasının çok faydalı olacağına inanıyorum” diye konuşuyor.
Kemal Yiğit’e göre; Kanun genel olarak net ifadeler içeriyor; ancak bununla birlikte Kanun tüm kurumları kapsadığı için, özellikle sektör düzenlemelerini yönlendiren Sigorta Bilgi Merkezi gibi kurumların bu çalışma kapsamında alacağı önlemler ve kısıtlayıcı düzenlemelerin etkilerinin dikkatle incelenmesi de gerekiyor. Yiğit şöyle konuşuyor: “Kanun kapsamında şirketlerin süreçlerinde gerçekleştirilecek olan düzenlemeler ve planlamalar yapılırken düzenleyici kurumların planlamaları ve yönlendirmeleri sektör olarak sorunsuz bir uyumluluk süreci geçirmemiz için çok önemli olacaktır. Çalışanlarımız günlük işlerini yerine getirirken artık müşteri bilgilerinin işlenmesi ve paylaşılması ile ilgili detaylarda mutlaka müşterinin izninin alınmış olması gerekliliğini bilerek hareket etmelidir. Müşterilerimizin de bu konuda bilinçli davranıp internette ya da farklı ortamlarda çeşitli şirketlere ya da kurumlara verdikleri izinlerin ve onayların içeriklerini kontrol etmeleri kişisel bilgilerinin yasal olmayan yollardan işlenmesini engellemek için önemli bir katkıda bulunacaktır.”

Sektörlere özel iyi uygulama rehberlerinin yayımlanması uyum sürecini hızlandıracaktır
Yapı Kredi Süreç ve Program Yönetimi Grup Direktörü Önder Haydaroğlu, “Kişisel verilerin korunması konusunda Türkiye’de 2008 yılından beri çalışmalar yapılmasına karşın AB uyumu kapsamında Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihinde yürürlüğe girmiştir. Regüle bir sektörde faaliyet gösterdiğimiz için kanunun yürürlüğü girmesinden önce de kişisel verilerin işlenmesi ve güvenliği konusunda önemli hassasiyetlerimiz bulunmaktaydı. İlgili kanunun yürürlüğe girmesiyle birlikte kanunda ön görülen yükümlülüklere uyum konusunda gerekli çalışmalar yapılmış olup 07.04.2018 tarihine kadar uyum süreci tanınan konular için çalışmalarımız plan çerçevesinde yürütülmektedir” diyerek, bu noktada uyum sürecindeki firmalar için en önemli konunun kişisel verilerin korunmasına ilişkin bir kurum kültürü oluşturulması ve bu yapıda faaliyetlerini sürdürebileceği bir ortamın hazırlanması olduğunu düşündüklerini belirtiyor.
Kanun’un kişisel verilerin işlendiği ve paylaşıldığı tüm sektörleri kapsadığını hatırlatan Haydaroğlu şöyle konuşuyor: “Sektörlere özel iyi uygulama rehberlerinin yayımlanmasının uyum sürecini hızlandırması açısından faydalı olacağını düşünmekteyiz. Bunun yanında, AB düzenlemelerinde yer alan ancak kanunumuzda yer almayan veri sahibinin meşru menfaati kapsamında verilerin açık rıza olmadan işlenebilmesine yönelik düzenleme yapılmasının gerek veri sahipleri gerekse veri sorumluları açısından önem arz ettiği düşünülmekte. Çalışanlarımızdan beklentimiz kişilerin temel hak ve özgürlerini koruyan söz konusu düzenlemeyle ilgili olarak gereken önemi ve saygıyı göstermesi, müşterilerimizden beklentimiz ise kendilerini daha güvende hissetmeleri ve kanundaki hakların kullanılması sırasında firma faaliyetlerini zorlaştırmayacak şekilde bilinçlenmeleridir.”

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*