Top

İdeal KVK Danışmanı Kimdir?

İdeal KVK Danışmanı Kimdir?

Bu aralar bir şekilde kişisel veri konusuna temas etmiş herkesin aklındaki soru kuruluşlar için en iyi çözümü üretebilecek kişinin yani KVK danışmanının kim olabileceği? Ama aslına bakarsanız çok disiplinli bir alan kişisel verilerle ilgili sorulması gereken asıl soru, kimin değil nasıl bir ekibin ideal bir KVK danışmanlığı yapacağı olmalı. 

6698 sayılı KVK Kanununun getirdiği kişisel veri rejimi incelendiğimizde ve konunun kapsamını tam olarak anladığımızda görüyoruz ki kişisel veriler alanı  hukuk, bilişim, eğitim, denetim ve yönetim tecrübelerine sahip insanlara  ihtiyaç duyulan çok disiplinli bir alan olarak ortaya çıkıyor.

Dolayısıyla kişisel verilerin güvenliği; ancak farklı meslek ve profesyonel tecrübelere sahip insanların bir arada önceden belirlenmiş bir çerçevede etkin bir şekilde iletişimi ve ortak çalışması ile sağlanabilir.

İdari ve Hukuki Yeterlilikler


KVK Kanununun gerektirdiği idari tedbirlerin önemli bir kısmı sözleşmeler ve taahhütnameler gibi temel hukuksal belgelerin üretilmesini gerektiriyor. Bu bakımdan bu tür temel belgelerin hizmet alan tarafı en uygun şekilde koruyabilmesi bir hukukçunun mesleki tecrübesine bağlı. Bu duruma dayanarak bazı hukukçuların, tüm kişisel veri alanının spesifik olarak hukukçulara ait olduğu ve farklı mesleklerden kişilerin bu alana müdahale edemeyeceğini düşündüklerini duyuyoruz. Ancak sözleşmeler ve taahhütnameler idari tedbirlerin ve bir kuruluşun oluşturması gereken kişisel veri sisteminin yalnızca bir parçası olduğunu gözden kaçırmamak gerekiyor. Öte yandan kişisel veri rejiminin bir kanunla oluşturulmuş olması tabiidir ki konuyu tek başına ve spesifik olarak bir hukuk alanı yapmaya yetmemektedir.

Kuruluş için doğru aydınlatma metinlerinin, bilişim politikası dahil temel kural setlerinin üretilebilmesi kuruluşların bir mekanizma olarak nasıl çalıştığını ve kuruluşun bünyesindeki rol paylaşımlarının ne olduğunu ve kapsamını anlamayı, yönetim fonksiyonundan da  haberdar olmayı gerektiriyor. Kişisel veri korumanın bu boyutu, ideal durumda spesifik olarak yönetim tecrübesine sahip profesyonellerin bulunmasını gerektiriyor. Şunu unutmamak gerekiyor ki bir kuruluşun elinde konuyla ilgili hazırlanmış aydınlatma metinlerinin, sözleşmelerin veya politika belgelerinin bulunması tek başına o kuruluşu kişisel veri risklerine karşı korumaya yetmiyor. Bunun sebebi kişisel veri yönetiminin, bir kuruluşun tüm faaliyetlerine ve iş kanallarına etki eden, bütün kılcal damarlarına her an etki eden ve sonuç doğuran bir alan olması. Bu canlı ve dinamik sürecin yönetilebilmesi yine kaçınılmaz olarak kuruluş çalışanlarının sürece dahil edilmesini gerektirecek ve bu sebeple çalışanların eğitimine ihtiyaç duyulacaktır. 

Kişisel veri korumanın iki önemli bileşeninden birisi olan idari boyutun gerektiği gibi çözümlenebilmesi için gerekli bir başka uzmanlık alanı ise şüphesiz denetimdir. Bunun sebebi sonuçta ağır cezalar bulunan ilgili kuruluşun ciddi mali ve itibar kaybına uğramasına sebep olabilecek kişisel veri süreçlerinin aslında bir risk yönetimi olmasıdır. ISO 27001 ve ISO27701 gibi bilgi güvenliği yönetim sistemlerinde de sistemin dayandığı temel bileşenin risk analizi ve denetim olduğunu düşünürseniz kişisel veri koruma ve güvenliğine de aynı açıyla bakmak gerekeceği görülecektir. Bu sebeple ideal bir kişisel veri danışmanlığında bu işi yapacak kişinin veya ekibin denetim beceri ve tecrübesine sahip olması da gerekecektir.

Kuruluşun özel durumlarını ve ihtiyaçlarını göz önüne almadan, kuruluşların idari ve teknik ihtiyaçlarını anlamadan pek çok kişi için soyut bilgiler olan kanundaki kavramlar üzerinden anlatılması da hizmeti alan kuruluşa tam olarak yarar sağlamayacaktır. Bu sebepledir ki bir kuruluşa KVK danışmanlığı veren kişinin veya ekibin eğitim boyutuyla da bir tecrübeye ve eğitim içeriği hazırlama becerisine sahip olması daha iyi olacaktır. 

Teknik Yeterlilikler


Gördüğünüz gibi her ne kadar idari tedbir denilince hukuk tecrübesi yeterli imiş gibi gözükse de aslında çok farklı beceri ve tecrübelere ihtiyaç duyulmaktadır. Şüphesiz ki bu becerilerin tamamına sahip olan, aynı zamanda hukukçu olan kişiler olacaktır. Ama bu istisnalar bütün bir alanı münhasıran hukuk alanı yapmaya yetmeyecektir. 

İdari alandan daha kolay bir şekilde ayrıştırılan ve net bir şekilde bilişim ve teknoloji tecrübesi gerektiren alan sizin de kabul edeceğiniz üzere teknik tedbirler alanı. Teknik tedbirler söz konusu olduğunda tartışmasız bir şekilde sızma testi, veri maskeleme, yazılım güvenliğinden veya ağ güvenliği gibi konuların ancak bu tecrübeye sahip insanlar tarafından çözümlenebileceğini söyleyebiliriz.

Yabancı Dil Yeterliliği


Kişisel Veri alanı bizim icat ettiğimiz, ülkemize ait bir alan değildir. Bir KVK Kanununa ve kişisel verilerin korunmasının Anayasal bir hak haline gelmesinin sebebi Avrupa Birliğini uyum sürecidir ve kişisel veri alanı onyıllardır Avrupa ülkeleri ve Avrupa Birliğinde gelişen ve oturmuş bir alandır.  Avrupa Birliği kişisel veri mevzuatı olan GDPR’a kıyasla kanunumuzdaki bariz eksiklikleri ve Kişisel Verileri Koruma Kurulu’nun kararlarında sürekli GDPR ve AB uygulamaları bu alanda çalışan kişilerin alanın kaynağını yani Avrupa Birliği karar ve süreçlerini takip edebilmesini de gerektirmektedir. Teknolojinin her gün değişen şartlarının da benzer şekilde kaynağını takip edebilmeyi ideal durum haline getirdiğini düşünürsek, her ne kadar öncelikli koşul olmasa da kişisel veri danışmanlığı yapacak kişinin yabancı dil biliyor olmasının veya danışmanlık hizmeti veren ekipte yabancı dilde hukuk ve teknoloji tecrübesine sahip kişilerin olmasının önemli olduğunu söyleyebiliriz. 

Veri Koruma Sorumlusu?


Türkiye’de KVK Kanunu ile oluşturulan kişisel veri rejiminin AB kişisel veri rejiminden en önemli farklarından ve eksikliklerinden birisi de kişisel verinin ayrı bir uzmanlık alanı olarak tanımlanmamış olmasıdır. GDPR’da detaylı bir şekilde tanımlanan ve kişisel veri riskleri yüksek olan kurumlara mutlaka bünyelerinde çalıştırmaları veya dışarıdan spesifik olarak hizmet almaları önerilen Veri Koruma sorumluluğu, aslında yukarıda saydığımız tüm disiplinleri içeren bir eğitim sürecinin sonunda ulaşılan bir uzmanlık alanıdır. Hukuk, bilişim ve denetim alanlarında mevcut uzmanlığa sahip kişilerin diğer alanlarda da eğitilmesi ile bizzat kişinin kendisinin çok disiplinli bir beceri setine sahip olması sağlanmaktadır. 

Bu alanda ortaya çıkan ve giderek artan ihtiyaçla doğru orantılı olarak ülkemiz kişisel veri rejiminde de Veri Koruma Uzmanlığının ayrı bir meslek olarak ortaya çıkmasının kaçınılmaz olduğunu şimdiden söyleyebiliriz.

Sonuç


Sonuç olarak kişisel veri koruma ve güvenliği konusunda çözüm arayan kişi, kurum ve kuruluşların; KVK Danışmanlık hizmetini alırken ve kimlerden böyle bir hizmet alabileceklerine karar verirken olası riskleri en iyi şekilde tespit edip, gerekli çözümleri üretebilmek için alanın çok disiplinliğini dikkate alarak hareket etmelerini tavsiye edebilirim. 

İdeal bir KVK danışmanında olması gereken özellikler hakkında siz neler düşünüyorsunuz?
Yorumlarda paylaşabilirsiniz.

Harun Doğan
Harun Doğan
Yorum Bulunmuyor

Yorum Yapın