Yıllarca süren bekleyişten sonra 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak Türk Hukuk mevzuatına giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yasada belirlenen özel geçerlilik tarihlerini de tamamlayarak 8 Nisan 2018 tarihinde tüm gerekleri ile hayatımıza girmişti. Yasanın getirdiği yeni yükümlülükler ve işlemler ile özellikle Yönetmeliklerle düzenlenen konular açısından tüm gerçek ve tüzel kişileri kapsayan bu konular, son 2 yıldır kurumların ve şirketlerin önünde yeni iş paketleri ve yönetimsel süreçler yaratmıştır.
Kamu kurumlarında bu süreçlerin nasıl uygulanacağı ve yönetileceği anlamında süren belirsizliklerin yanında pek çok özel şirketin de kendi alanlarında kapsam olarak ilgilendikleri ya da ilgili oldukları(nı düşündükleri) konularda çalışmaları devam etmektedir. Kişisel Verileri Koruma Kurulu’nun halen mevzuat geliştirmeye, bilgi birikimi ve içtihat oluşturmaya ve herkesi bilgilendirmeye devam ettiği bu ortamda bazı belirsizlikler de doğal devam etmektedir. Özellikle “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” olarak ifade edilen Kişisel Veri ve bu verinin sahibi Gerçek Kişilerin KVKK ve ilgili yönetmelikler ile gelen hakları konusunda genel bilgi, farkındalık ve algı seviyesinin tam olarak oluştuğunu söylemek çok zordur. Yıllarca her türlü ortamda ve şekilde kişisel verilerin kontrolsüz ve bilinçsiz paylaşımının getirdiği alışkanlıklar ve daha da kötüsü kurumların/şirketlerin yaptıkları işlemlerde çok rahat bir şekilde gereğinden fazla (kişisel) veri toplamaları KVKK’ya uygun bir yaşamın başlamasını da ciddi olarak etkilemektedir. Hatta pek çok kurum/şirket yasada açıkça yasaklanmasına rağmen “açık rıza ile verilmek istenmeyen kişisel veriler nedeniyle” taahhüt ettiği hizmeti vermeyeceğini de ifade etmekten çekinmemektedir. Kişisel verilerin değeri henüz olgunlaşmamış toplumumuzda da bu tür zorlamalar “ne olacak canım, işimiz aksamasın” yaklaşımı ile belki biraz sitem edilse de sorgulanmadan kabullenilmekte ve “Açık Rıza” gibi yorumlanacak şekilde karşı tarafa verilmektedir. Zamanla bu “gereksiz ve kullanılmayan” verilerin varlığı, onu alan/saklayan tarafı daha çok rahatsız edecek ve kendi kendine onlardan kurtulmaya çalışacak olsa da toplumda bu bilincin doğru bir şekilde oluşması gerekmektedir, ama bu zaman alacaktır.
Kurumlar/Şirketler açısından aslında süreç biraz daha karışık durumdadır. Öncelikle KVKK konusunda Yasanın (öncesinde ve sonrasında) getirdiği yeni durumların ve kapsamının (yasal gereklilik, veri disiplini ve işleyiş-politika) değerlendirmesi ile başlamak; kurumun/şirketin ihtiyacına ve mevcut kapasitesine (potansiyel kişisel veri envanter kaynakları, ilgili birimlerin rolleri ve liderlik vasıfları, genel istatistikleri, personel, yerleşke, doğrudan çalışacak birim-eleman durumu, vb.) göre oluşturulacak yol haritası ile pilanlama yapmak gerekmektedir. Bu gereklerin yerine getirilmesi için yetkili birimlerin belirlenmesi ve yöneticilerin ortak hareket etmesini sağlama konusundaki üst yönetim iradesinin açık ve tam olması da çok önemlidir. Kurumun/Şirketin sahip olduğu yönetimsel sertifikalar (ISO ve benzerleri) ve kurum kültürü oluşturmuş iş süreçlerini yöneten birimler (Kalite, İK, BS, Hukuk, Pazarlama vb.) var ise kurum/şirket içindeki etkileri ve söz hakları, sözlerini genele dinletebilme becerileri ve üst yönetim katındaki ağırlıkları ölçüsünde sürece katılımları başarılı sonuçlar alınmasını sağlayacaktır.
KVKK açısından normalde bugüne kadar tüm kurum ve şirketlerin yönetimsel işlemler ve yasal yükümlülükler açısından tüm şartları yerine getirmiş olması zaten gerekmektedir, ancak hali hazırda yasa koyucu konumunda olan Devletin ve onun adına yasanın yürütmesini yapan Kişisel Verileri Koruma (KVK) Kurumu’nun yönetmeliklerini, iç süreçlerini, yasa işletmesini ve VERBİS gibi teknik altyapılarını tamamlamamış olması ortamda ciddi bir boşluk yaratmaktadır. Bu boşluğun yarattığı belirsizliklere rağmen kurumlar/şirketler yasal yükümlülüklerini yerine getirmek zorunda olduklarından dolayı kendileri için en doğru olduğunu düşündükleri çözümleri uygulamaktadır. Her ne kadar KVK Kurumu’nun eksikliklerin yarattığı belirsizlikler olsa da bu alanda en sağlam ve güvenilik kaynaklar yine KVK Kurumu’nun yayınladığı kılavuzlar olmaktadır. Zira, bu boşluğu kapatmak için aktif olan “Danışmanlık” firmaları, çoğu zaman eksik, yanlış ya da yanlı yorum ve yönlendirmeler ile tarafların kafalarının daha da çok karışmasına neden olmaktadır. Hukuk yönü güçlü ve dengeli tavsiyelerin teknik yönden yanlışlar içermesi (veya tam tersi!) ya da kurum/şirket kültüründen habersiz yapılan genel tavsiyelerin pek çok gereksiz iş yükü ve angarya süreç oluşturması kaçınılmaz bir sonuçtur. Bu nedenle kurumların/şirketlerin kendi yapılarına uygun bir gereksinim analizi yaptıktan ve yasanın getirdiği yükümlülükleri değerlendirdikten sonra bir yol haritası oluşturması en doğru yaklaşımdır. Bunu yaparken de ilk olarak KVKK işlemlerinde liderlik yapması gereken birimin belirlenmesi ve (yasada bir şart olmamasına rağmen) büyük kurumlarda/şirketlerde süreçleri belirleyecek, gerekli işlemleri yapacak ve yönetimsel kararları alacak bir yürütme kurulunun oluşturulması yararlı olacaktır. Bu kurulun kurum/şirket içinde kişisel veri toplayan, işleyen ve yöneten ekiplerin ilgili birim yöneticilerinin katılımı ile oluşturulması da son derece önemlidir. Bu aşamada dışarıdan alınması gereken danışmanlık ihtiyacı kurumun/şirketin zayıf olduğu (teknik, hukuk, süreç yönetimi, vb.) yönlerde ağırlık kazanmalıdır. KVKK içinde belirtilen, Yönetmelikler ile detaylandırılan ve Kılavuzlar ile örneklendirilmeye çalışılan hukuki süreçlerin ve teknik tanımların/işlemlerin gereklerini yerine getirmek için önce tam olarak ne ifade edildiğinin anlaşılması, bu bilgi ile kurum kültürünün ve kişisel veriler açısından çalışma şeklinin yorumlanması ve en sonunda gerekli adımların atılması gerekmektedir. Veri Sorumlusu, Veri Sorumluları Sicili, Veri Sorumlusu Temsilcisi, Kişisel Veri İşleme Envanteri, Veri Kategorisi, Veri Konusu Kişi Gurubu vb. benzer kelimelerden oluşan, ama ciddi farklar taşıyan tanımlar açısından anlaşılmayan ya da yanlış anlaşılan bir sürecin ya da işlemin doğru yapılması da mümkün değildir. Ayrıca, KVK Kurumu tarafından yayınlanmış Yönetmeliklerde belirtilen ve Kılavuzlarda örneklenmeye çalışılan bazı teknik işlemlerin (sistem/bilgi yedeklerin durumu, veri silme ile yok etme arasındaki tanım hataları/farklar, yeni nesil donanımsal-yazılımsal yetenekler nedeni ile yasanın teknik yorumlarının sürekli geride kalması, bulut çözümlerinin belirsizlikleri vb.) bilişim teknolojileri açısından olanaksız olmalarından dolayı bu tür konularda süreçlerin yeniden düzenlenmesi ihtiyaçları da halen bulunmaktadır.
Gerçek anlamda KVKK okunması ve anlaşılması kolay bir yasal metindir. İlgili Yönetmelik ve KVK Kurumu’nun yayınladığı kılavuzlarla da desteklendiğinde daha kolay uygulama ve takip şansı vardır. Bu aşamada en zorlu durum, eğer bir kurum ya da şirketin Kalite Yönetim Sistemi (KYS) ya da Bilgi Güvenliği Yönetim Sistemi (BGYS) gibi bir kültürü yoksa bu yasal süreci doğru bir şekilde kurgulaması, kurması ve işletmesi pek olası değildir. Çünkü, yasa anlaşılması kolay cümlelerden oluşsa bile uygulamaya başlandığında ciddi bir yönetimsel disiplin, veri envanter yönetimi ve bilgi güvenliği gereksinimlerinin karşılanmış olmasını beklemektedir. Bu açıdan bakıldığında KVKK’ya uygun bir yapının kurulması ve işletilmesi için öncelikli başka yönetimsel ihtiyaçların karşılanması gibi daha da zorlu iş başlıkları çıkacaktır.
Kurumsal süreçlerini oturtmuş, danışmanlık alarak ya da iç kaynakları ile KVKK’ya uyumluluk adımlarını atmış kurum ve şirketler açısından da sıradaki konular yazılı mevzuatın eksiklerinin tamamlanmasını, Kişisel Veri İşleme Envanterinin detaylarının açıklanması ile Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’nin kullanıma açılmasını beklemek olacaktır. KVK Kurumu’nun yaptığı açıklamalara göre halen test işlemlerinden ve güvenlik taramalarından geçirilen VERBİS, yasada istisna verilmiş olanlar hariç tüm Veri Sorumlularının kayıtlı olacağı ve Sicile ilişkin ilgili işlemlerde kullanacakları, İnternet üzerinden erişilebilen bir bilişim sistemi olacaktır. Bu nedenle açıldıktan sonra tüm kurum ve şirketlerin bu sistem üzerindeki ekranlara atayacakları bir “ İrtibat kişisi” ile erişmeleri, kaydolmaları ve Kişisel Veri İşleme Envanteri olarak oluşturdukları verilerini VERBİS ekranlarında gösterilen şekillerde girmeleri beklenecektir. VERBİS üzerindeki bu veri kategorilerinin neler olduğunun, sınıflandırmanın, formatlarının, detaylandırmalarının ve yasada 30 gün olarak verilen kayıt süresinin nasıl işletileceğinin belirsiz olması sorun yaratmaktadır.
Ek olarak tüm bu süreç içerisinde tüm Avrupa Birliği ülkelerini kapsayacak şekilde uyum süreci tamamlanarak 25 Mayıs 2018’de resmen yürürlüğe giren ve kişisel verilerin korunmasında daha sağlıklı, uyumlu, etkin ve tüm üye ülkelerin hukuki olarak aynı dili ve kuralları ortak paydada buluşturacağı, bireysel hakları daha koruyucu bir düzenleme olan General Data Protection Regulation (GDPR)’ın yarattığı etkilerin de dikkatle takip edilmesi gerekmektedir. GDPR’ın içeriğinin KVKK ile örtüşen ya da çelişen noktalarda tekrar yorumlanması ve KVKK’da AB mevzuatı ile uyum sağlayacak yeni düzenlemelerin de olması kuvvetle muhtemeldir. Çünkü, Avrupa Birliği ülkesi olmasak bile GDPR’ın kapsamına giren ülkelerle, kurumlarla, şirketlerle veya gerçek kişilerle veri ilişkisi kurmamak ya da yasal/ticari bağlantılar içinde olmamak günümüz Türkiye’sinde mümkün değildir.
KVKK ile gelen kişisel verilerin yönetim sürecinin tek seferlik bir kur-bırak işlemi olmadığını, düzenli olarak takip ve işletme gerektiren bir süreç yönetimi olduğunu bilmek de çok önemlidir. Yasal mevzuatın, kurumun/şirketin görevlerini ve yükümlülüklerini yerine getirdiğinin ve genel olarak KVKK’nın takibinin sağlanması için kalıcı bir yürütme yapısının kurulu olması ve işletilmesi de tüm taraflara şiddetle tavsiye edilmektedir.
Fotoğraflar www.pixabay.com
Volkan Evrin
ISACA Ankara Chapter – Yönetim Kurulu Üyesi, Sayman
CISA, CEHv9, ISO 27001 LA, BiH