CIO Kahvaltıları Devam Ediyor…

CIO Kahvaltıları Devam Ediyor…

Hewlett Packard Enterprise (HPE) ev sahipliğinde ve CIO Dergisi desteğiyle gerçekleşen CIO Kahvaltıları etkinliğinde, IT liderleri ile bir araya gelen Hewlett Packard Enterprise, Nisan 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun getirdiği sorumluluklarla, kurumlara ve kişilere ait olan verileri korumak için alınabilecek önlemler konusundaki vizyonunu paylaştı.
Kişisel Veri Nedir? ve ‘nasıl bulunacağı ile korunacağı’ sorusu yaklaşık bir yıldır Türkiye’deki şirketlerinde gündeminde. Kısaca kanunun tarihçesini hatırlatmak gerekirse; Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmasının ardından, 7 Ekim 2016 tarihinde şirketlere verilen uyum süresi doldu. Bu yasaya göre yükümlülüklerini yerine getirmeyen kurumlar gerek para gerekse hapis cezalarını içeren yaptırımlar ile karşı karşıya kalacaklar.

Bütün bunlarında yanında; KVKK’nın yanı sıra, Genel Veri Koruma Regülasyonu (General Data Protection Regulation – GDPR)’ndaki Avrupa Birliği üyesi ülkelerinde ikamet eden kişilere ilişkin düzenlemeler de sadece Avrupa Birliği üyesi ülkeleri değil tüm ülkeleri kapsamakta.
HPE de bu kapsamda; Avrupa Birliği ile veri paylaşımı azami düzeyde olan havacılık, telekomünikasyon, eğlence ve bankacılık gibi sektörlerin, GDPR’a uyumlu hareket etmeleri gerekeceğinin altını çizerek, aksi halde çeşitli yaptırımlar ile karşı karşıya kalınabileceğini ve Avrupa Birliği üyesi ülkeler ile olan ticaret ilişkilerin yıkıcı etkilere maruz kalabileceğini vurguluyor.
Gerek KVKK gerekse GDPR için çoğu organizasyonun ilk yaklaşımının; güvenlik ve kullanıcı yönetimi perspektifinde hali hazırda edindikleri kabiliyetleri ve geçmiş tecrübeleri sebebiyle uyumun kolaylaşacağı yönünde olduğunu kaydeden HPE yetkilileri, “Ancak kanunun getirdiği bazı hususlar, her iki kanuna da uyumun bu denli kolay olmayacağını gösterir nitelikte” diyor. Bu noktada HPE söz konusu farklılıkları şu şekilde sıralıyor:

Yönetişimi açısından;
*Veri sorumlusunun atanması ile birlikte bu çerçevede denetim gerçekleştirmek, kurul ile iletişimi sağlamak ve oluşturulan yapının devamlı iyileştirilmesini sağlayacak bir yapının olması;
*Organizasyonun süreçleri açısından kişisel verilere ilişkin süreçlerin incelenerek hangi aksiyonların, nasıl ve kimler tarafından alınacağına dair prosedürlerin oluşturulması ve bu prosedürlerin uygulanması;
*Gerek kişi gerekse kurulun istemi doğrultusunda kişisel veriye ilişkin çeşitli raporlama kabiliyetlerinin sağlanması;
*Organizasyon içindeki gerek teknoloji gerekse iş süreç değişikliklerinin kişisel veri’ye olacak etkisinin göz önünde tutulmasının sağlanması;

Veri Yaşam Döngüsü açısından;
*Gerçek kişilerin açık rızalarının alınması, saklanması ve kişiler ile iliştirilmesi;
*Kişisel verinin tespiti, nerede saklandığı, nasıl dönüştüğü, aktarıldığı ve kimlerin bu verilere ulaştığı;
*Verinin yaşlandırılması ve arşivlenmesi;
*Kullanım amacı bittiğinde verilerin silinmesi, anonimleştirilmesi

Güvenlik açısından;
*Herhangi bir sızıntı yaşanması durumunda, sızan kişisel verilerin tespiti ve kurula bildirimi için yapının oluşturulması;
*Kişisel verinin sistemler arasında aktarımı sırasında güvenliğinin sağlanması

Organizasyonların bu kapsamda uyumluluk sağlaması için her geçen günü iyi değerlendirmeleri gerektiğinin herkes tarafından kabul gören bir husus olduğunu belirten HPE yetkilileri, “Belirsizliklerin ortadan kaldırılması ile birlikte beklenenin çok üstünde iş yükü ile şirketlerin karşı karşıya kalması muhtemel. Bu sebeple şirket süreçlerinin gözden geçirilmesinin bir an önce tamamlanması ve hali hazırdaki durum tespiti ile birlikte ihtiyaçların gerek insan gerekse teknoloji olarak ortaya konması hayli önem taşıyor” diyor.

Categories: ETKİNLİKLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*