Başta Türkiye’deki 6698 Sayılı Kişisel Verilerin Korunması Kanunu olmak üzere, GDPR ve diğer kişisel verilerin korunması mevzuatlarının birincil hedefi gerçek kişilerin verilerinin korunmasıdır. Hem KVKK hem de GDPR bu bağlamda bazı ilkeler benimsemiştir ve bu ilkelerin uygulanması yönünde de şartları vardır. KVKK ve GDPR gereksinimlerine bakıldığında birçok noktada benzerlikle karşılaşılacaktır. Gerek idari tedbirler anlamındaki (aydınlatma, açık rıza vb.) gereksinimler gerekse teknik tedbirler kapsamında alınması gereken bilişim güvenliği önlemleri çokça benzerlik gösterir. Yaşanan ihlalin otorite ve ilgili kişilere bildirilmesi için belirlenen 72 saat süresi bile aynıdır.
Süreç ve Sürdürülebilirlik
Konuyu KVKK açısından ele alacak olursak, KVKK uyumu İdari Tedbirler ve Teknik tedbirler olmak üzere iki ana başlıkta değerlendirilmektedir. Gerek İdari tedbirler olsun gerekse teknik tedbirler olsun bir kez yapılıp bırakılacak işler değil, süreç bazlı işletilmesi gereken konulardır. KVKK tarafında yapılan çalışmalar tamamlandığında çoğu firma tabir-i caizse havlu atıyor. Ancak unutulan şu ki yapılan envanterler, risk analizleri ve diğer çalışmalar aradan zaman geçtikçe güncelliğini yitirmektedir. Bu nedenle uyumu süreç bazlı değerlendirip, sürekli iyileştirme prensipleri doğrultusunda işletmek gerekmektedir.
Kişisel Verilerin Korunmasına Yönelik Yönetim Sistemleri
Kişisel verilerin korunmasına yönelik yasal şartları yerine getirebilmek için uluslararası standartlardan faydalanılmasında yarar vardır. BS 10012 – Personal Information Management System ve ISO 27701 – Privacy Information Management System standartları bu bağlamda iyi birer referanslardır.
BS 10012 Standardı Nedir?
Orijinal adı BS 10012 – Personal Information Management System olan Kişisel Bilgi Yönetim Sistemi, Kurumsal ve Kişisel verilerin korunmasına yönelik hazırlanmış bir İngiliz Standardıdır. Türkiye’nin KVKK hazırlığı aşamalarında dikkate aldığı AB Veri Koruma Direktifi 1995’in baz alınarak hazırlanan “Data Proetection Act 1998” İngiliz veri koruma yasasına yönelik hazırlanmış bir standarttır. DPA 1998 Bilgisayarlarda veya basılı ortamda saklanan kişisel verileri korumayı amaçlayan bir kanundur.
On madde ve üç ekten oluşan standartta Planla, Uygula, Kontrol Et, İyileştir çevirimini tamamlayacak şekilde içerik yer almaktadır. İdari tedbirler açısından detaylı önerilerde bulunan standart teknik konularda ise ISO 27001 standardına atıfta bulunur.
Dikkate aldığı yasal gereksinim ve bu yasal gereksinimler doğrultusunda önerdiği çözümlere bakıldığında BS 10012 standardı KVKK Uyum sürecinde fayda sağlayabilecek bir standart olduğunu rahatlıkla söyleyebiliriz. ISO 27701 Standardını yayınlamadan önce BS 10012 bu konuda alternatifi olmayan bir konumdaydı. Standart yapısı itibariyle diğer ISO standartlarıyla entegre olabilecek Anex SL yapısını sağlamaktadır.
ISO 27701 Standardı Nedir?
Orijinal adı ISO 27701 Privacy Information Management olan Gizli Bilgi Yönetim standardı Uluslararası Standardizasyon kurumu ISO tarafından Ağustos 2019 da yayınlanmıştır. Standart AB Veri koruma regülasyonu GDPR gereksinimlerini karşılamayı amaçlamaktadır.
GDPR Gereksinimlerini Veri Kontrolörü (KVKK’daki Veri Sorumlusu) ve Veri işleyen nezdinde ayrı ayrı ele almaktadır. ISO 27001 ve ISO 27002 standartlarının Kişisel Verilerin Korunması kapsamında genişletilmesi için kılavuzluk eder. Anex-SL yapısına uygun olan bu standartta ISO 27001 ve ISO 27002 standartlarının her bir maddesi için 27701 entegrasyonunun nasıl olacağı açıkça belirtilir. BS 10012 standardına göre çok daha detaylı ve içeriği zengin olan ISO 27701 Standardı, uygulanması halinde başta GDPR olmak üzere KVKK gereksinimlerini de karşılayacak niteliktedir.
Neden Yönetim Sistemi?
Veri Sorumlusu veya Veri işleyen konumunda olun Hazırlamış olduğunuz envanteriniz güncel mi? Veri işleme öncesinde aydınlatma ve açık rıza işletiliyor mu? VERBİS bildiriminiz doğru ve güncel mi? İlgili kişinin başvuru yapacağı başvuru mekanizması doğru ve zamanında işliyor mu? gibi birçok soruya cevap vermek zorundasınız.
Yönetim sistemleri süreçleri Planla, Uygula, Kontrol Et ve İyileştir adımları ile bütünsel yaklaşımla ele alır. Böylece uyum süreçlerinde gerçekleştirdiğiniz faaliyetlerin planlanması, uygulanması ve belirli arlıklarla kontrol edilerek eksiklik görülmesi halince iyileştirilmesini sağlar. Böylece yasal uyumunuzun sürdürülebilirliğini koruyabilirsiniz. Dolayısıyla süreci yönetim sistemi ile yürüttüğünüz takdirde yukarıda saydığımız soruların yanıtları düzenli olarak bağımsız belgelendirme kuruluşlarınca kontrol edilir.
Bununla birlikte, 6698 Sayılı kişisel verilerin korunması kanunun 12/3. Maddesi gereksinimi olan “Veri Sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır” sorumluluğunuzu yerine getirmiş olursunuz.