3 minute read
Ne Nedir?
Her Kesimin Bilmesi Gereken KVKK Nedir? Bölüm 2 KURUMSALLIK İÇİN TERCİH EDİLEN YÖNTEMLER
Kurumsallık için öncelikle kaliteli yönetim sistemi politikası, teşkilatlanması, talimatlar ve kayıtlar üst yönetim tarafından sağlanması sistemi kurulmalıdır. Uluslararası standartlara uygun kaliteli sistemle çalışmak üzere ISO9001 kalite yönetim sistemi prosedürleri uygulayan kurumsallaşmış firmalarda KVKK işlemleri daha kolaydır.
Advertisement
KVKK SÜRECİ NASIL BAŞLAMALI
Üst yönetimle toplantı yaparak, organizasyon şemasına göre veri girişi ile ilgili bölümlerle görüşerek, en az 2 ile 6 ay arasında kurumun büyüklüğüne ve toplantıların sıklığına göre danışmanlık alarak KVKK sistemi kurulabilir. Tercihen KVKK otomasyon programı kullanarak daha kısa zamanda tamamlanabilir. Yılda en az 1-2 defa KVKK bilinçlendirme eğitimi tüm çalışanlara verilip, veri ihlaline dikkat etmeleri hatırlatılmalıdır. Verilerin muhafazası, silme, imha, karartma, anonimleştirme, unutulma hakkı gibi konularda Abdullah Özdemir prosedürler hazırlanmalıdır.
VERİLERİN MUHAFAZASI NASIL YAPILMALI
Veri sorumlusunun, bu verileri muhafaza etmesi hakkında politika yazılması gerekir. Örneğin; AVM’ler kamusal alandır, kamera amacı güvenliktir, kamera kaydı yapıldığı uyarısı olmalı ve kayıt belirli süre sonunda silinmelidir. İdari yönden kişisel veri muhafazası prosedüründe fiziki dolap, vb. evraklar için sınırlı erişim yöntemi ve sır saklama sözleşmesi olmalıdır. Teknik yönlerden dijital
donanım da yeterli olmalıdır. Örneğin; Spor salonları zincirlerinde şifre ve ayrıca avuç içi veya parmak izi alınması gerekmez. Yine de kullanılmak istenirse, önce aydınlatma metni ve açık rıza onayı alınmalı ve yine de bu veri işlenmemeli ve kayıt edilmemelidir.
VERİ SİLME POLİTİKASI
Verilerin silinmesi, imha ile yok edilmesi ve anonim hale gelmesi hakkında yazılan bir prosedürle belirlenir. Veri erişim yetkisi matrisi tablosuna göre, veri silebilecek ve tekrar kullanabilecek kişi, veri silme, aktarma, düzenleme yetkisi prosedürle tanımlanır. Çalışan işten ayrılınca, silme prosedürüne göre teknik işlemlerle, email, şifre vs. erişilmez şekilde yapılır.
VERİ YOK ETMEK/ İMHA POLİTİKASI
Kişisel veriyi sadece çöpe atmak değil, kağıt üzerindeyse dilme makinesiyle dikey ve yatay dilimlemek veya yakmak suretiyle tekrar erişilemez şekilde imha etmektir.
VERİLERİN KARARTILMASI
Araç satışı vb. işlemlerde kimlik kopyası alınırken
ISO9001 kalite yönetimi avantaj sağlıyor
üstündeki gereksiz bilgi, sayı ve harfler başkası tarafından kullanılmaması için veri sorumlusu tarafından kısmen karalanır.
VERİLERİ ANONİMLEŞTİRMEK
Yaş, boy, şehir vb. birçok veri, belirli bir kişiye ilişkilendirilmesini ve erişilmesini sağlamayacak şekilde istatistiki genelleme için, çapraz silme yapılarak kullanılabilir. Ancak işveren, Korona hastası birinin bilgisini, diğer çalışanların anlayacağı şekilde paylaşmamalıdır. Geçen hafta bir personelimiz hastalandı derse, kişi belirlenmiş olur.
UNUTULMA HAKKI
Daha önceki yıllarda internet üzerindeki eski fotoğraf vb. çalışmaların silinmesi/ kaldırılması veya erişim engellenmesi mahkemeden yapılırdı. Şimdi ise, KVKK ile kurul tarafından gizlilikler veri sorumlusuna yaptırılır hale geldi. 1998 yılında İspanya’da, AHİM kararı ile 15 sene önceki vergi kaçakçılığı bilgisi kaldırılmıştır. Veri işleyen yalnızca hukuka uygun aydınlatma metni ile güncellemeleri yapar.
VERİ İŞLEYEN
Bir başkası adına, veri sorumlusu veya tüzel kişi yerine veri işleme faaliyeti yapandır. Verinin doğruluğu ve güncelliğinden sorumludur. “Veri sorumlusu” adına hizmet veren çağrı merkezleri, ‘veri işleyen’ durumundadır. Ayrıca, sicile kayıtlı veri sorumlusu dışında şirket
VERBİS kayıtları mutlaka dikkate alınmalı
yetkililerinden biri, irtibat kişisi olabilir ve VERBİS’e kayıt edilir. Takriben 400.000 firma tüzel kişi olarak VERBİS kaydı beklenmektedir. Teknik ihlalleri önlemek için, 50.000100.000TL gibi (server) sunucu cihazları almak yerine, (bulut) hizmet sağlayıcısı denilen, başka yerdeki toplu büyük sunucu teknik hizmeti alınabilir. Ancak bulut hizmeti veren sunucunun, ülke içinde olması ve dışarı
bilgi sızmaması sözleşmesi yapılmalı ve güvenliği denetlenebilir olmalıdır.
VERBİS KAYIT İSTİSNASI OLAN KURUMLAR
Kurulca bazı veri sorumluları için sicile kayıt yükümlülüğüne istisna getirilmiştir. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, noterler, dernekler, vakıflar, sendikalar, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler, yeminli mali müşavirler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri
Kamusal alanın güvenlik kontrolüne çok dikkat edilmeli
işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür. Bununla birlikte, sicile kayıt yükümlülüğünden istisna olma durumunun Kanun hükümlerinden de istisna olmak anlamına gelmediği unutulmamalıdır.
