Kişisel Veri Güvenliğinde Kurum Kültürü
Evet, veri sorumlusu bir kuruluş iseniz, 6698 sayılı Yasada idari ve teknik nitelikli olarak kategorize edilen tedbirleri almak zorundasınız. Aydınlatma ve açık rıza prosedürleri, veri güvenliğine yönelik bir dizi kurumsal politikalar, veri paylaşımında kullanmanız gereken aktarım sözleşmeleri, çalışanlara yönelik eğitimler, IT altyapısı ve elektronik ortamdaki iş süreçlerini ilgilendiren güvenlik tedbirleri bunlardan bazıları. Bu tedbirleri almış olmak elbette veri koruma yasalarının yaptırımları karşısında sizleri rahatlatacaktır.
Hukuksal düzeni sağlama konusunda, kurum ve bireyleri motive etmekte şüphesiz yasal normalar ve yaptırımlar en temel araçlardır. Günümüzün belki de en popüler hukuki konusu olan kişisel veri güvenliği alanında da ulusal ve uluslarası boyutta bağlayıcılığı olan düzenlemeler her geçen gün yeni bir olay vesilesiyle kendisini hissettirmekte. Ülkemizde ve dünyada veri koruma otoritelerinin (Facebook gibi) global ve önemli markalara kestiği cezalar gün geçmiyor ki haber konusu olmasın. Peki, ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere Kurul Kararları, Yönetmelikler; global ölçekte etkisi olan GDPR gibi başat düzenlemeler ve otoritelerin aldıkları kararların kuruluşlarda yönetici ve çalışaları motive etmede ne kadar etkili? Ya da tek başına yeterli mi?
Aslına bakarsanız, alınan idari ve teknik tedbirlerin veri güvenliği ihlal riskini tamamen ortadan kaldırmayacağı açıktır. Ne kadar teknoloji yoğun ve otomatize sistemleri yaygınlaştırsak da, karar alma ve uygulamaya dönük iş süreçlerinde hala “insan” unsurunun varlığını yadsıyamayız. Bu nedenle kuruluşların yönetici ve çalışanlarının, her şeyden önce kişisel veri işleme konusunda yeterli bilgi ve duyarlılığa sahip olması gerekmekte. Ayrıca, güvenliğe yönelik ihtiyaçlarını ve mevcut durumun doğuracağı riskleri tespit ederek bir veri ihlalinin olası sonuçlarını çok iyi analiz etmeleri önemli.
İşte, kişisel veri işleme süreçlerinin yönetimi konusunda çalışanların davranışlarını yönlendirecek, kurum içi alışkanlıklar ve değerler oluşturacak bir Kurum Kültürü kazandırmak da veri sorumluları bakımından diğer tedbirler kadar faydalı olacaktır. Kurumsal ölçekte bir kişisel veri güvenliği kültürü de; kuruluşun topyekün benimsediği ve güvence altına almak için gerekli kaynakları kullanıma sunduğu açıkça tanımlanmış süreçlere, iyi yönetilen teknoloji ve rasyonel bir yönetişime dayanır.
Şimdi, AB ölçeğinde de benimsenmiş Kurum Kültürü anlayışını oluşturmada önemli bazı başlıklara geçelim:
Risklerinizle yüzleşin:
İlk önce, sahanızda ne kadar tecrübeniz olsa da, yoğunluk dereceleriyle birlikte kişisel veri işlenen iş süreçlerinizi yeniden tanımlamalısınız. Departman bazında faaliyetlerinizi ve her bir faaliyetin gerektirdiği veri işleme süreçlerinde olası ihlal risklerini tanımlayıp, olasılık ve etkileriyle birlikte değerlendirerek derecelendirin.
Güvenli olmayan işlemlerin risklerinden kaynaklanan veri güvenliğine yönelik tehditler konusunda çalışanlarınızın farkındalığını artırın:
Yöneticileri de dahil ederek çalışanlarınızın, kişisel veriler ve güvenliği konusundaki mevzuat, uygulama örnekleri, güncel gelişmeler, otoritelerin kararları ve yaptırımlar konusunda verilecek periyodik eğitimlerle farkındalık seviyesini yüksek tutun. Yasal zorunluluk olduğundan ziyade, daha çok kuruluşunuzun bu konuda benimsediği bir politikanın gereği olduğu için kişisel verilerin güvenliğine önem verin.
Güvenli uygulamaların kurumsal itibarınızı daha da pekiştireceği algısını yaygınlaştırın:
Kişisel verilerin işlendiği herbir iş sürecinizde, (KVK Kurulu kararları, rehberleri gibi) düzenlemelerde tarif edilen ve uygulamada kişisel verileri güvenle işlemenizi sağlayacak idari ve teknik nitelikli tedbirleri aldığınızdan emin olun ve bu tür kurumsal uygulama ve tedbirlerin muhataplarınız nazarında marka değerinizi ve kurumsal itibarınızı artırdığını sık sık hatırlatın.
Kişisel veri güvenliğine yönelik aksiyonların artık normal grup davranışı olarak kanıksanmasını sağlayın:
Tüm iş süreçlerinizdeki veri işlemeye yönelik faaliyetlerinizde, kişisel verilerin güvenliği konusunda gösterilmesi gereken hassasiyetin, yönetici ve çalışanlarınızın tamamında bulunması gerektiğini unutmayın. Her kademedeki çalışanlarınızın, ticari nitelikli bilgi ve sırlarınızı korurken gösterdikleri ortak tutum ve refleksleri, gerçek kişi muhataplarınızın kişisel verilerinin güvenliği konusunda da göstermeleri gerektiği anlayışını yerleştirin. Aksayan ya da zaafiyet gösterenlerin de grup içerisinde uyarılmasını sağlayacak oto kontrol mekanizmaları geliştirin.
Kişisel veri güvenliğine dair uygulamaları teşvik edin, yönetim olarak desteklediğinizi hissettirin:
Günümüz için henüz yeni ve yeterince önemi algılanmamış bir konuda, kuruluş bünyenizden temin edemiyorsanız uzman kişi ve kuruluşlardan veri güvenliğine dair almanız gereken aksiyonlar konusunda destek alın. Yoğunluklu veri işlenen departmanlardaki sorumlu ve çalışanlarınızı bu konuda destekleyin, teşvik edin. Tıbbi literatürde yer edinmiş 4T (Tetkik- Teşhis-Tedavi-Takip) formülü ile de ifade edilen yol haritası ile, kuruluş olarak veri güvenliği konusunda aksayan yönlerinizi, ihtiyaçlarınızı, almanız gereken tedbirleri belirleyin. Mevzuata uyum ve Kurum Kültürünün yerleşmesi ve sürekliliğin sağlanamsı amacıyla, güncel, işlevsel ve otoritelerce önerilen idari ve teknolojik uygulamaları takip edin.
Tüm departmanlarınızda, bir bireyin yanlış ya da eksik eylemlerinin kuruluşun genelini etkileyebileceği düşüncesini hakim kılın:
Bildiğiniz gibi kişisel veri güvenliği mevzuatını belki de diğerlerinden ayıran en önemli özellik, veri güvenliği ihlali söz konusu olduğunda tüzel kişi veri sorumlusu olarak Kuruluşun kendi varlığıyla sorumlululuğunun gündeme gelmesidir. Bu nedenle, her bir yönetici ve çalışanınızın kişisel veri işleyen iş süreçlerinde grup/sosyal sorumluluk bilinciyle hareket etmesi gerektiğini sürekli hatırlatın. Olası bir veri güvenliği ihlalinin tespiti durumunda maruz kalınacak idari para cezasının yanı sıra, kuruluş ya da markanızın güven ve itibar kaybına maruz kalacağını unutmayın.