Verilerin Korunması Kanunu’na tam uyum sağlayın
24/3/2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu`nda, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu sektörü tarafından çeşitli amaçlarla sıkça toplanıp işlenerek, paylaşılıp saklanıyor. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi bazen de kuruluş çalışanının verisi olabiliyor.
Kişisel veriler, asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme geliyor. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturup kuralları tanımlıyor.
Kurum ve kuruluşları ilgilendiren temel soru ise: “Vatandaştan, müşterilerimizden ve çalışanlarımızdan emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurum ve kuruluşlar, Kişisel Verilerin Korunması Kanunu`na da uyumlu oluyor.
Olarak özetleyebileceğimiz Kişisel Veri Yönetimi çalışmalarının uygulanmasına bağlı... Yukarıda özetlenen kişisel veri yönetim çalışmaları ile ilgili temel ilkeler, BS 10012 Kişisel Bilgi Yönetim Sistemi Standardında tanımlanıyor. Bu standarda uyum, Kişisel Verilerin Korunması Kanunu'na uyum sağlamayı amaçlayan kurum ve kuruluşlara, kişisel veri yönetimi çalışmalarını uygulama yolunda rehber oluyor.
Kuruluşun iş süreçleri incelenerek, BS 10012 Kişisel Bilgi Yönetim Standardı gerekliliklerine ne derece uyum sağlandığı tespit ediliyor. Uyumun gereken düzeyde bulunmadığı alanlarda, tespit edilen eksiklikler ve bu eksikliklerin standarda uyum sağlamak amacıyla nasıl giderileceği konusunda çözüm önerileri sunuluyor. “BS 10012 Kişisel Bilgi Yönetim Sistemi standardına şu anki durumumuz ne derece uygundur?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmeti kapsıyor.
Kuruluşun iş süreçleri incelenerek, kişisel bilgiler ve hassas kişisel bilgiler tespit edilir. Bu bilgilerin: Hangi süreçte kullanıldığı, hangi ortamlarda saklandığı, kimlerin erişim yetkisi olduğu, yedeklerinin nasıl alındığı, nasıl arşivlendiği, nasıl imha edildiği gibi soruların cevapları tespit edilir. “İş süreçlerimizde hangi kişisel bilgileri kullanıyoruz?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.
Kuruluşun kişisel bilgilerinin, bulunduğu tüm ortamlarda, gizlilik bütünlük ve erişilebilirlik gereksinimleri göz önünde bulundurularak, bu bilgileri etkileyebilecek tehditler, tehditlerin gerçekleşmesine zemin hazırlayan zafiyetler tespit ediliyor. Tehditlerin gerçekleşmesi durumunda iş süreçlerine etkisi ve tehditlerin gerçekleşme olasılığı belirlenerek kişisel bilgi risk seviyeleri hesaplanıyor. Azaltılması kararlaştırılan riskler için aksiyon planları hazırlanır. “Kişisel bilgi güvenliği risklerimiz nelerdir, bu riskleri nasıl yönetmeliyiz?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmeti içeriyor.
Kuruluşun kişisel bilgi yönetimini sağlamak ve Kişisel Verilerin Korunması Kanunu`na uyum çalışmalarını kolaylaştırmak amacıyla BS 10012 standardına uygun bir yönetim sisteminin kurulması çalışmasını içeriyor. “Kişisel bilgi yönetimini iyi uygulamalar ve standartlara uygun olarak uçtan uca nasıl yapmalıyız?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmeti kapsıyor.