1. Dünya Gazetesi
  2. Yazarlar
  3. Serbest Kürsü
  4. Veri koruma ve kişisel verilere dair yasalar

Veri koruma ve kişisel verilere dair yasalar

Serbest Kürsü
Serbest Kürsü

CÜNEYT KIRLAR - Deloitte Türkiye Risk Danışmanlığı Ortağı

“Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016’da Resmi Gazete’de yayımlanarak yürürlüğe girdi ve Kurul üyeleri de Cumhurbaşkanı, Bakanlar Kurulu ve TBMM tarafından seçilerek görevlerine başladılar. Bu kanuna uyum şu anda Türkiye’de faaliyet gösteren şirketler için en sıcak gündem maddelerinden birisidir. Kanuni yükümlüklerin başlamış olmasına rağmen firmaların olgunluk seviyesinin genellikle düşük olduğu değerlendirilebilir. Alt sektörler bazında bakıldığında, finansal hizmetler ve telekom sektörleri farkındalık ve yasaya uyum anlamında çok daha hazırlar, çünkü zaten hâlihazırda bu konuda çeşitli düzenlemelere tabi durumdalar. Ancak bu şirketlerin de tam uyum için atmaları gereken adımlar bulunmaktadır. Yasaya uyumun hukuksal boyutunun yanı sıra bilgi teknolojileri, özellikle de siber güvenlik boyutunun olduğunu unutulmamalıdır. Bu doğrultuda çok uluslu şirketler ve büyük firmalar; hukuk, IT danışmanlığı ve veri koruma teknolojisi alanlarında veri mahremiyeti açısından gerekli yatırımları yapacak bütçeleri ayırdıkları gözlenmektedir.

Üçüncü taraflarla çalışma

Kişisel verilerin korunmasına dair yürürlüğe giren kanun, kişisel verilerin üçüncü tarafl ara aktarımına dair şartları ve kişisel veri işleyenlerin sorumluluklarını ortaya koymaktadır. Üçüncü taraf kullanımı bugün iş dünyası değer zincirinin ayrılmaz bir parçasıdır ve üçüncü taraf riski firma tarafından çok hassas bir şekilde yönetilmelidir. BDDK bankacılık sektöründeki destek hizmetleri kullanımını düzenlemiştir ve bankacılık sektörünün uyması gereken kontrol çerçevesini belirlemiştir. Diğer sektörler için ise böyle bir düzenleme bulunmamaktadır. Sözleşme yönetimi veri korumasının veri işleyici konumundaki üçüncü tarafın etkin yönetimi için hayati önem taşımaktadır. Yasa ile belirlenen güvenlik kontrollerinin uygulamaya konulduğundan emin olunması için sözleşmelerdeki gizlilik maddesi, veri koruma sorumluluklarının üçüncü taraflara aktarımı konusunu da içerecek şekilde yapılandırılmalıdır. Bundan sonraki dönemde beklentimiz, veri koruması ihlallerinden doğabilecek itibar riskinin, şirket yönetim kurullarının yüksek öncelikli gündemi haline geleceğidir. Son dönemde yaşanan vakalar, veri ihlali söz konusu olduğunda bunu kısa sürede belirleyebilmenin, herhangi bir anomali ya da ihlali hızlıca teşhis edebilecek yetkinlikleri geliştirmenin muhtemel saldırılar ile mücadelede hayati önemi olduğunu göstermektedir.

Firmaların, doğabilecek yükümlülüklere karşı alabilecekleri önlemler

İnsan faktörü, risk yönetiminin ayrılmaz bir parçasıdır ve ek olarak, veri koruma konusunda çalışan farkındalığını arttırmaya yönelik ihlallerle mücadelede büyük önem taşımaktadır. Çalışanlar, yeni Kişisel Verilerin Korunması Kanunu ile kendilerine tanınan hak ve yüklenen sorumluluklardan net bir şekilde haberdar edilmelidir. Gizlilik sözleşmeleri ve çalışanların kontratlarında mahremiyet ile ilgili maddeler olmalı, firma cihazları, yazılım ve verilerinin kullanım şartları açık ve net bir şekilde belirtilmelidir. Çalışan eğitimlerine ek olarak, firmalar kişisel verilerin sızdırılmasını önlemek maksadıyla, otomatik kontrol sistemlerini devreye almalıdır. Bu otomatik kontrollerin hayata geçirilmesinde ilk adım kişisel veri envanterinin oluşturulması olmalıdır. Erişim kontrolü, şifreleme, veri sızıntısını önleme yazılımları ile otomatik kontroller hayata geçirilerek kişisel verilerin korunması mümkündür.

Firmalara, mevzuata uyum konusunda öneriler

Türkiye’deki firmaların mevzuata uyum seviyesinin arzu edilenin altında olduğunu ancak firmaların uyum için yapılması gerekenleri belirleyerek süreç, teknoloji ve insan gücüne yatırım yapmak yoluyla farkı kapatmaya çalıştıklarını görmekteyiz. Yeni alt mevzuatlar hazırlık aşamasındadır ve bunlar yürürlüğe girdiğinde şu anda muğlak gibi görülen konular biraz daha netlik kazanacaktır. Firmaların kişisel veri envanterlerini tanımlaması, ana veri akışlarını çizmesi, temel riskleri belirlemesi ve bunlara göre de gerek otomasyonlu gerek manuel kontrol sistemleri kurarak veriyi güvenceye alması gerekmektedir. İç denetim bölümleri yıllık iç denetim planlarında kişisel verilere ilişkin kontrolleri de denetim sürecinin bir parçası olarak ele almalı ve firmanın, Kişisel Verilerin Korunması Kanunu’na uyumu konusunda yönetim kuruluna güvence verebilmelidir. Veri koruma alanında sürdürülebilir bir uyum programının oluşturulması için, mahremiyet temelli bir tasarım anlayışı benimsenmeli, mahremiyet konusu proaktif bir şekilde tasarım, IT sistem işleyişi, altyapı network ve genel iş uygulamalarına entegre bir şekilde çerçevelendirilmelidir.

Yazara Ait Diğer Yazılar Tüm Yazılar
Bankacılıkta karşılıklar, zorunlu mu sorunlu mu? 26 Kasım 2024
Hatay, yeniden umutsuzluğa terk ediliyor  22 Kasım 2024
Deprem bölgesindeki esnafın zorlu mücadelesi devam ediyor 30 Ekim 2024
'Gıda Hakkı' için kollektif eyleme ihtiyaç var 15 Ekim 2024
Son pişmanlık işe yarar! 11 Ekim 2024
Siber güvenlik farkındalık ayında dijital dünyayı güvence altına almak 10 Ekim 2024
Yeni ekonomi bölgeleri için ulaştırma altyapısı güçlü olmalı 20 Eylül 2024
'Ai'kolizm Dijital çağın yeni bağımlılığı 20 Eylül 2024
Küresel ekonomideki dönüşümler 20 Eylül 2024
Enflasyon paraya yolunu şaşırtır! 19 Eylül 2024