Proje Deneyimleri

Kişisel Verilerin Korunması Kanununa Uyum Projesi Deneyimi

Posted by

7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla çıkarılmıştır.

KVK Kanunu kapsamında veri işleyenlerin (kurumların) idari ve teknik tedbirler kapsamında sorumlulukları bulunmaktadır. Bu sorumlulukların dışında Kişisel Verilerin Korunması Kurumu tarafından sağlanan Veri Sorumluları Sicil Bilgi Sistemi’ne ilgili kurumların kayıt olma zorunluluğu bulunmaktadır. Her ne kadar kanun yürürlüğe girdikten sonra cezai yaptırımları başlamış olsa da maalesef çoğu kurum bu konudaki hassasiyetini VERBİS kaydının son tarihine göre planladı.

Bu yazımda Kişisel Verilerin Korunması Kanunu ile ilgili detaylardan ziyade, kurum özelinde gerçekleştirdiğimiz Kişisel Verilerin Korunması Kanununa Uyum Projesi deneyimiyle dikkat edilmesi gereken bazı noktaları Proje Yönetimi bakışıyla paylaşacağım. KVKK Projesi’nin temelde sistemler gereği Bilgi Teknolojileri Projesi gibi algılansa da aslında tam merkezinde Hukuk birimi olduğunu paylaşmakta fayda var.

Eğer kurumunuzda ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulumu başarı ile tamamlandıysa, KVKK ile ilgili biraz daha hızlı hareket edebilirsiniz. KVK Kurumunun beklediği tedbirleri ISO 27001 ile kısmen tamamlamış olmanız beklenir. Çalışanların da Bilgi Güvenliği anlamında belli bir düzeyde farkındalığının oluşması gibi.

Teknik Tedbirlere Örnekler?

  • Kullanıcı Hesap Yönetimi
  • Yetki Matrisi
  • Erişim Logları
  • Uygulama Güvenliği
  • Şifreleme
  • Veri Maskeleme
  • Yedekleme
  • Ağ Güvenliği
  • Saldırı Tespit ve Önleme

İdari Tedbirlere Örnekler?

  • Kişisel Veri İşleme Envanterinin Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler
  • Gizlilik Taahhütnameleri
  • Risk Analizleri
  • Eğitim ve Farkındalık Faaliyetleri
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİRS) Bildirim

Teknik ve İdari Tedbirler örneklerini paylaştıktan sonra Kişisel Verilerin Korunması Kanununa Uyum projemiz kapsamında nasıl ilerlenebilir bahsedebiliriz.

Temelde böyle bir projeyi aşağıdaki başlıklarda toplamak iyi olacaktır diye düşünüyorum;

  1. Hazırlık Aşaması
  2. Boşluk Analizi ve Planlama Aşamaları
  3. Eğitim & Üst Yönetim Bilgilendirme Faaliyetleri
  4. Uygulama ve İyileştirme Faaliyetleri
  5. Dokümantasyon Çalışmaları
  6. Gözden Geçirme ve Kontrol Aşamaları
  7. İç Denetim Faaliyetleri
  8. Final Çalışmaları

Projenizin hazırlık aşamasında mutlaka temel proje yönetiminde olan paydaşlarınızı çok iyi belirlemeniz gerekmektedir. Paydaşlarınızı belirlerken kişisel veri girişi olan departmanları tek tek ele almanız değerli olacaktır.

Hazırlık aşamasında sonra Proje Başlangıç toplantısında ya da sonrasında bütün ilgili paydaşlara proje ile ilgili eğitim verilmesini öneririm. Paydaşlar, kişisel veri, özel nitelikli kişisel veri gibi terimleri bilerek Envanter çalışmasında size daha fazla katkı sağlayacaktır. Eğitim vermeden direk Kişisel Veri Envanteri Hazırlama sürecine girilmesinin yapacağınız olası çalıştayların yetersiz olmasına sebep olacağını düşünüyorum. O yüzden KVK ile ilgili Eğitim çalışmasına ilk başta yer vermeniz sağlıklı olacaktır.

Eğitim çalışmasını tamamladıktan sonra, boşluk analizi faaliyetlerini yürütmek anlamında paydaşlarınızdan nerelerden, ne tarzda verileri, nasıl aldıklarını sorabileceğiniz bir çalışma yürütebilirsiniz. Aslında bunu şöyle açabilirim. Elimde müşteri, tedarikçi, çalışan vb. verileri var ve bu verileri şu ortamlarda tutuyorum bilgisinin tespitinin bu boşluk analizinde yapıyorum.

Boşluk analizi ile aldığım veri ve kullandığım uygulama bilgileri, kişisel veri envanteri çalıştaylarında çalıştaya katılan ilgili birimlerin atladığı noktalara vurgu yapma açısından önemli olacaktır.

Eğitim ve boşluk analizi çalışmaları sonrasında elinizde yeterli yetkinlikte ekip ve bilgi ile Kişisel Veri Envanteri çalıştaylarına ilgili birimlerle başlayabilirsiniz. Kişisel Veri Envanteri, KVKK projenizin temel yapı taşlarından biri olan doküman/bilgi setidir.

Kişisel Veri Envanteri’ni aşağıdaki başlıklara göre oluşturmanız değerli olacaktır;

  • Süreç: Departmanlarda yürütülen faaliyetler/süreçler, faaliyeti bildiren kişi ve bu faaliyet verinin kuruma ilk giriş noktası mıdır belirlemeniz gerekir.
  • İşleme: İşleme esnasında hangi veriler, nasıl toplanıyor ve bu veriler hangi işlenilen veri kategorisinde yer almaktadır. Ayrıca veri işleme amacınız ve varsa hukuki dayanağını da eklemeniz iyi olacaktır.
  • Saklama: Veri hangi ortamda (fiziksel, uygulama), ne kadar süreyle ve kaç kişinin erişimiyle saklanmaktadır.
  • Paylaşma: Veri paylaşımı gerçekleştirdiğim yerler var mı? Hangi sebeple, ne tür bir paylaşım metodu ile paylaşıyorum. Paylaştığım yerler yurt içinde mi, yurt dışında mı?

Eğer Kişisel Veri Envanterini başarılı bir şekilde oluşturursanız, projenizin temel taşını oluşturmuş ve bunun üzerine inşaata başlayabilirsiniz diyebilirim. Buradan elde edilecek bilgiler ile Doküman Setleriniz, Açık Rıza, Aydınlatma metinleriniz ortaya çıkacaktır.

Kişisel Veri Envanterinin yaşayan bir doküman olması açısından bunun merkezi bir birim tarafından ve bir sistem üzerinden yapılması sürecin devamında yürümesi açısından işinizi kolaylaştıracaktır.

Kişisel Veri Envanterine iş birimlerinizle birebir çalıştaylarda yapacağınız görüşmelerle girdi sağlayabileceğiniz gibi, hali hazırdaki veritabanlarında kişisel verileri tespit edecek tarama çalışması da bir girdi sağlayabilir.

Kişisel Veri Envanteriniz oluştuktan sonra nerelerde Açık Rıza, Aydınlatma çalışmaları yapmanız gerektiği çok rahat ortaya çıkacaktır. Bu noktada birkaç örnek paylaşmam faydalı olabilir;

  • Çalışanlarınızın Aydınlatma ve Açık Rızalarını Alma
  • Çalışan Adaylarınızın Aydınlatma ve Açık Rızalarını Alma
  • Emaillerin imzasında yer alacak Aydınlatma
  • CCTV Kamera Uyarı Levhası
  • Kişisel Veri Saklama ve İmha Politikası

  • İnternet Erişim Aydınlatma -> Kurumunuzun dışından kişiler internet ağınızı kullanmadan önce kişisel verilerini alıyorsanız, aydınlatma metni eklemeniz gerekir.
  • Ziyaretçi Aydınlatma
  • Bilgi Edinme Başvuru Formu -> Veri sahiplerinin kişisel verileri ile ilgili bilgi alabilmesi için Bilgi Edinme Başvuru Formu’nun kurumunuzun web sitesinde yayınlanması gerekmektedir
  • Çerez Politikası
  • Kişisel Verilerin Korunması Politikası
  • Özel Nitelikli Kişisel Verilerin Korunması Politikası
  • Müşteri vb. iletişimde olduğunuz diğer kişilerin Aydınlatma ve Açık Rızalarını Alma

Kişisel Veri aldığınız yerde Aydınlatma Yükümlülüğünüz, Özel Nitelikli Kişisel Veri aldığınız yerde Açık Rıza Alma yükümlülüğünüz bulunmaktadır. KVK Kanunu kapsamında her durumda Açık Rıza almanıza gerek yok, fakat bunu durum bazlı değerlendirmeniz gerekmektedir. Aydınlatma ve Açık Rıza metinleri süreç/durum bazlı değişebilir.

KVK projesinde dokümantasyon çalışmalarına girdiğinizde elinizde çok fazla doküman seti oluşacaktır. Bu dokümanların izlenebilirliğini sağlamanın en güzel yolu sistemlerde takibi olacak mekanizmaları kurmaktır. Bunu birkaç örnekle açıklayabilirim;

  • Çalışan Aydınlatma ve Açık Rıza: Kurum bünyenizde hali hazırda bir İnsan Kaynakları sisteminiz varsa çalışanlarınızın bu sistem üzerinden onay vermesi hem izlenebilirlik hem de gereksiz dokümantasyondan sizi kurtaracaktır.
  • Çalışan Adayı Aydınlatma: Kurumunuzda çalışan adaylarının cvlerini merkezi bir sistemden almanız ve orada sadece aydınlatma onayı vermelerini istemeniz sizin için süreci kolaylaştıracaktır.

Dokümantasyon çalışmalarını kurumunuza nereden kişisel ya da özel nitelikli kişisel veri giriyor bilgisine bağlı matris ile yönetmenizi tavsiye edebilirim. Böylelikle hangilerini tamamladığınız kontrol edebilirsiniz. KVK projesi devam eden bir süreç gerektirir, o yüzden planlı gitmek işinizi kolaylaştırır.

Ek olarak, eğer kampanya vb. süreçleri yürüten bir organizasyon iseniz, mevcut müşterilerinizden ve bundan sonraki olası müşterilerinizden iletişim geçme yöntemlerinizle ilgili onay almanız gerekmektedir. Eğer onların onayı olmadan bir iletişime geçmeniz söz konusu ise, şikayet durumunda ceza yemeniz olasıdır.

Bahsettiğim matrisi oluşturarak Gözden Geçirme ve Kontrol aşamalarınızı tamamlayabilirsiniz.

KVK ile ilgili yaygınlaştırma faaliyetlerini tamamladıktan sonra İç Denetim Faaliyeti yürütmenin faydalı olacağını düşünüyorum. Eğer yaygınlaştırmayı yapmadıysanız, bu çalışmayı ertelemeniz faydanıza olacaktır. Yaygınlaştırma da az önce bahsettiğim gerekli doküman setlerinin mümkün mertebe sistemler üzerinden yaşayan bir organizmaya dönüştürülmesi, eğitim ve farkındalık çalışmalarının paralel de kurumunuza yaygınlaştırılması önemli olacaktır.

Eğitim ve Farkındalık çalışmalarında, kurumunuzda Mailing, Afiş, Webinar gibi etkinlikler de katma değer sağlayabilir.

Projenin aşamalarını yukarıda plan anlamında paylaşmış olsam da temel faaliyetleri aşağıdaki şekilde özetleyebiliriz;

  1. Keşif – Kişisel Veri Taraması ve Ham Veri Listesinin Çıkarılması
  2. Süreç – Amaç ve Prosedürlerin Belirlenmesi
  3. Azaltma – Veri ve Yetki Azaltması
  4. Kişisel Veri İşleme Envanterinin Oluşturulması
  5. Aydınlatma ve Açık Rıza Yönetimi
  6. Silme – Anonimleştirme & Periyodik İmha
  7. Uçtan Uca Yönetim

Her şeyi başarıyla tamamladıktan sonra İç Denetim Faaliyeti ile kontrollerinizi gerçekleştirebilirsiniz. Mümkünse bu faaliyeti bu konuda deneyimli farklı bir gözden istemeniz daha iyi olacaktır.

En kısa şekliyle Kişisel Verilerin Korunması Kanuna Uyum projesinde dikkat etmemiz gerekenleri paylaşmaya çalıştım, umarım faydalı olmuştur 🙂 Burada bahsettiğim kadar kısa soluklu bir proje olmadığını, emek ve titiz çalışma gereken bir proje olduğunu paylaşmakta fayda var 🙂

Sorularınız için lütfen iletişime geçiniz…