KVKK nedir? Kişisel verileri kim koruyacak?

Müşteri bilgilerini kim koruyacak?

AVM’de çocuğunuzu bindireceğiniz salıncağın başında iki kişi kayıt alıyor. Oyuncağı kullandırmadan önce doldurulan formda çocuğunuzun ismi ve yaşını alırken, velisi olarak sizin telefonunuzu ve yaşadığınız semti yazıyor.

Bir sokak önce hizmet aldığınız yere verdiğiniz bilgilerle, bir sokak öteye geçer geçmez benzer şeylerin izinsiz reklam mesajı geliyor.

Kişisel bilgiler ülkemizde o kadar yayıldı ki, anlam veremediğimiz ve yönetilemeyecek pazarlama piyasası oluştu. Banka ve telekomünikasyon müşterilerinin bilgilerinin dahi fütursuzca CD’lerde gezdiği bir ortam var.

Bu bilgileri kim alabiliyor, nasıl alabiliyor bilmiyoruz. İçeriden birileri mi alıyor, dışarıdan birileri mi içeri sızıyor bu da belli değil.

Bilişim altyapınızda teknik açıklarınız da olabilir, süreçlerinizin zafiyetinden de kaynaklanabilir.

Sağlık kuruluşları, sigorta şirketleri, araç kiralama şirketleri, okullar mecburi de olsa hep kişisel bilgiler topluyor. Bugüne kadar, kardeşim sen bu bilgileri topluyorsun ama nasıl koruyorsun bunları diyen yoktu. Artık var.

Müşteri verileriyle ilgili yeni bir dönem

Bu kesinlikle bir kerelik iş değil. Bu bir yeni dönem başlangıcıdır. Bundan sonra kişisel veriler toplayarak iş yapan şirketler sürekli olarak bu uygunluğu korumak zorundalar.

Devlet bu konuda “Kişisel Verileri Koruma Kurumu”nu oluşturdu bile. (Bkz. http://www.kvkk.gov.tr ) Bu kurum, yarın çeşitli denetleme metotlarıyla kanuna uygunluğu sürekli kontrol altında tutacaktır.

Bunun şirketinize etkisi şu olacak: Süreçleriniz her değiştiğinde kurumun ortaya koyduğu kriterlerin yazdığı kara kaplı defteri açıp bir kere kontrol edip değişiklikler öyle uygulanacak.

Bir mobil uygulama yaparken dahi topladığınız bilgileri kontrol etmeniz gerekecek. Belki de tüm süreçlerde önce şirketin “veri sorumlusu” onayı sözkonusu olacak.

Veri kullanımıyla ilgili de bir döngü süreci oluşacak. Dönemsel olarak biriken veriler için; eğer onlara ihtiyacınız yoksa anonimleştirmeniz gerekebilir. Bu döngü şirketten şirkete değişiklik gösterir.

  •  Topla ve Kontrol Et
  • Kullan ve Kontrol Et
  • Arşivle ve Kontrol Et
  • Anonimleştir ya da İmha et

Hangi departmanda olmalı?

Bu konunun sorumlusu olarak şirketinizde bir “Veri Sorumlusu” rolü atanmalıdır.

Artık nurtopu gibi bir tartışma konusu doğdu.

“Veri sorumlusu” rolü, şirketin hangi departmanında yer almalı?

IT departmanında mı yer almalı, yoksa Stratejik Planlama Departmanında mı yer almalı, yoksa Süreç Geliştirme departmanında mı yer almalı?

(Bence yüzyüze tartışalım) :))

Patronların Sorumluluğu Nedir?

Bunun için tüm gerekli altyapıyı ve denetimleri yapmak ve sürdürülebilirliğini sağlamak da şirketin sorumluluğudur.  Maalesef tüm yasalar gibi bu yasa da topun ağzında patronlar bulunuyor.

Şirket (tüzel kişiliği), temel olarak aşağıdaki maddeleri sağlamakla sorumludur. Müşterilerinizden topladığınız tüm kişisel verilerle ilgili olarak;

a.      Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek zorundasınız,

b.     Kişisel verilere hukuka aykırı olarak erişilmesini önlemek zorundasınız,

c.      Kişisel verilerin muhafazasını sağlamak zorundasınız,

Bu işte hukuk bürolarının rolü nedir?

“Kişisel Verileri Koruma Kanunu” geçen yıl meclisten geçti. 2018 Nisan ayında da yürürlüğe girecek.

Bu konuya kayıtsız kalan şirketlere ağır cezalar gelebilir.

Kanun, bu bilgileri nasıl koruyacağınızı sorguluyor ve öğretiyor.

Önce iş analistleri ve süreç danışmanlarıyla süreçlerinizi kanuna göre analiz ediyor ve ardından çalıştığınız hukuk bürosundan “uygunluk görüşü” alıyorsunuz.

Uyanık patronlara uyarı: Her formu doldurmadan önce “bilgilerimin alınmasını kabul ediyorum.” imzalatmak ya da online sözleşmelerde “kabul ediyorum” kutucuğunu işaretletmek sizi kurtarmıyor. Kanun, bunu nerelerde yapacağınızı ve yapamayacağınızı da belirlemiş.

Bu işte süreç danışmanlarının rolü nedir?

Sizin süreçlerinizin uygunluğu bir hukukçu ve bir süreç danışmanının birlikte çalışmasıyla ortaya çıkabiliyor.

Süreç danışmanlarınızın IT kökenli olması sizi hukuk bürosuyla yaşayacağınız git-gel sürelerini minimuma indireceğinden çok önemli.

Aynı zamanda şöyle bir durum var; bu iş nedeniyle süreçlerinizi masaya yatırmış olacaksınız. Eğer halka açık büyük bir firma değil iseniz süreçlerinizle ilgili sürekli çalışma yaptığınızı düşünmüyorum.

Benim tavsiyem, bu konuda iki fayda gözetmelisiniz. Verilerle ilgili iş süreçlerinizi bir kere inceledikten sonra onları revize etmeye de açık olursanız,  süreç kaynaklı kayıplardan kurtulmuş olursunuz.

Bu şekilde kanunun şirkete getirdiği yük ekstra bir yük olmaktan çıkar. Size kazanç sağlayan bir çalışmaya dönüşür.

Bu konudaki tüm değerli soru ve görüşleriniz için md@mustafadisci.com adresine ulaşabilirsiniz.

Şirketinizin süreçlerini inceleyip sizin risk analizini gerçekleştirebiliriz.