Şirketinizin Veri Güvenliğini Kime Emanet Edersiniz?
Veri Koruma Görevlisi — Data Protection Officer — DPO
Özellikle iş dünyasında veri güvenliği ve veri gizliliği terimlerini genellikle birbirinin yerine kullanılması eğilimi vardır. Ancak bu iki kavram arasındaki önemli fark; veri gizliliği, verilere kimin erişimi olduğunu tanımlarken, veri güvenliği, verilere erişimi fiilen kısıtlamak için araçlar ve politikalar tarafından sağlanır.
Veri güvenliğine ilişkin hukuki düzenlemeler, kullanıcıların gizlilik taleplerinin şirketler tarafından yerine getirilmesini sağlamaya yardımcı olur ve şirketler kullanıcı verilerini korumak için önlemler almaktan sorumludur. Eğer kişisel verilerin korunması hususunda, ülkemiz ve içinde büyüdüğümüz sıcak kanlı coğrafyamız için benimsenmesi en zor gereksinime gelirsek, işte o zaman mahremiyet kavramı karşımıza çıkıyor.
Belli bir miktarda mahremiyet, güvenlik duygumuzu ve akıl sağlığımızı korumamıza yardımcı olabilir. Ama söz konusu yazılı olmayan kurallar ve dijitalleşme adı altında internet alemi olduğunda mahremiyet bireyler için bir lüks olarak kalıyor.
Bilişim ve iletişim teknolojilerinin hayatın her alanında egemenliğini ilan eden dijital dönüşüm, bu teknolojiler karşısında bireyi ve verilerini korumaya yönelik taleplerin artmasına, bu alanda yeni bir regülasyon dalgasının başlamasına sebep oluyor. Devletler, vatandaşlarının dijital mahremiyetlerini en üst düzeyde korumak için yasal düzenlemeler yapmak, mevcut düzenlemelerini mevcut risklere göre güncellenmek ve bu alanda kurallarını uluslararası standartların ve özellikle ticari anlaşmaların ışığında mümkün olduğunca yaygınlaştırmaya çaba gösteriyor.
Tüm yaşanan gelişmeler ve kişisel verilerin dijital seyahatinin kolaylaşması sonrasında, ülkemizde geç kalınmış bir karar ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmesi aslında özellikle hukuk çevrelerinde uzunca zamandır beklenen bir gelişmeydi. KVKK ile Türkiye’de kişisel veri olarak değerlendirilen verilerin kullanılması, işlenmesi, paylaşılması, saklanması gibi her türlü veri ilişkili faaliyetin sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmesi ve güvence altına alınması amaçlandı ve dünya pazarında varlığını sürdürebilmesi için önemli bir adım atılmış oldu.
Dünya genelinde veri güvenliği konseptinde gerçekleşen gelişmelere bakıldığında ise, her geçen gün daha da önemsenmeye devam ediyor. Sıklıkla gündemi meşgul eden veri güvenliği ihlal vakaları son yıllarda giderek artıyor. Kişisel verilere ilişkin farkındalığın ilk gündeme gelişi, Avrupa Birliği (AB) kapsamında Türkiye’den yılar önce, 1953 yılında yürürlüğe giren İnsan Haklarının Korunmasına ve Temel Özgürlüklere İlişkin Avrupa Konvansiyonu ile oldu. Son olarak AB Komisyonu tarafından kabul edilen Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR-General Data Protection Regulation) 25 Mayıs 2018‘den itibaren yürürlüğe girdi. GDPR‘ın yürürlüğe girmesi ile veri işlenmesi sırasında göz önünde tutulacak hesap verilebilirlik, privacy by design, one-stop shop mekanizması, veri koruma sorumlusu atanması ve risk tabanlı yaklaşım gibi yeni ilkeler getirilmiş oldu.
Kişisel veri güvenliği konusunda hala gelişmeye açık ve zaman zaman sorunlara sebep olan konu ise GDPR ve KVKK arasında bazı önemli farklar bulunmasıdır. GDPR, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları (lokasyonları) fark etmeksizin GDPR uyumluluğu ile yükümlülerdir. Ayrıca, KVKK’da ‘veri sorumlusu’ kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulurken, GDPR’da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda ‘Principles of Data Protection-Veri Kontrolörü’ kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. Ülkemizde yapılan çalışmalarla veri güvenliği yolculuğuna bizden önce başlamış olan ülkelerle paralel yapılar hedeflense bile özellikle dijital imza, bulut bilişim (cloud computing), yapay zeka (AI) vb. başlıklar hala çözüm bekliyor.
Günümüzde veri ihlalleri, yalnızca etkilenen şirketler için değil, aynı zamanda bu şirketlerin müşterileri için de büyük sorunlara neden oluyor. Veri güvenliğine yeterli özenin gösterilmemesi ya da ilinçli çıkarlara bağlı olarak, şirketlerin imajlarına önemli ölçüde zarar verebiliyor.
Dünya genelinde oluşan veri güvenliği ekosisteminin bir parçası olabilmenin en önemli noktalarından biri ise mahremiyet kavramıdır. Sosyal medya, e-ticaret, veri madenciliği vb. sektörlerden firmalar kişisel verilerimizi büyük veri (big data) kazanlarında data analytics yöntemleri ile dünya pazarına yön verecek tabaklarda sunarken verilerimizin güvenliğini sağlamak biraz da biz son kullanıcılara düşüyor. Mahremiyet ise kişilerin koydukları sınırlardan öteye geçmemek anlamında coğrafyalar arasında şekilden şekle girebiliyor.
Yazılı kuralların/yasaların yanına yazılı olmayan kültürel alışkanlıklar/kültürel farkındalık eklenebilirse veri güvenliği dizaynının parçaları yerine oturuyor. Kültürel alışkanlıklar ise ancak zamanla kendini yenileyebiliyor. Mahremiyet kültürü, ayaküstü kahve sohbetlerinde üçüncü şahıs verilerini paylaşırken mahremiyet filtrelisini veya açık perdeli bir evin önünden geçerken mahremiyet gözlüğünü kullanabildiğimizde toplumsal bir harekete dönüşebiliyor.
Veri ihlalleri şirketleri maddi ve itibari olarak etkilerken şirketlerin almaları gereken en önemli aksiyonlardan biri nedir?
Bir Veri Koruma Görevlisinin (Data Protection Officer - DPO) gerektirdiği nitelikler ve uzmanlık düzeyi, yeni Avrupa Genel Veri Koruma Yönetmeliği’nde (GDPR) kesin olarak tanımlanmamıştır. Yönetmeliğe göre, bir DPO uygun bir uzmanlık düzeyine, profesyonel niteliklere sahip olmalı ve görevlerini yerine getirebilmelidir.
“Bir DPO’da aranacak özellikler…”
1. Kağıt üzerinde ve uygulamada GDPR’nin sağlam bir şekilde hakim olması: Her şeyden önce, DPO’nun hem GDPR’nin içeriği hem de yorumları konusunda rahat olması gerekir. Kanunun ne dediğini bilmek yeterli değildir; adayın ayrıca yasanın pratikte ne anlama geldiğini kavraması gerekir. Unutulma hakkı veya veri taşınabilirliği hakkı gibi şeyleri nasıl işler hale getiriyorsunuz?
2. Teknoloji, güvenlik ve dijital dönüşüm yaklaşım ve uluslararası standart, çerçeve vb. uygulamalar hakimiyetive uygulamaları yerine getirebilmesi: Daha önce en azında ISO 27001 münasebeti olan bir DPO şirketlerin veri güvenliği algısında en azından hijyen şartını sağlayacaktır.
3. Hem dış taraflarla (düzenleyiciler gibi) hem de iç paydaşlarla iyi iletişim becerileri: Veri Güvenliği - GDPR/KVKK uyumluluğu, IT, Pazarlama, Operasyonlar ve diğer birçok departmanı içeren bir takım sporudur.
4. Personeli veri koruma bilinci konusunda eğitme becerisi: GDPR/KVKK’nın ortaya çıkardığı veri koruma ve gizlilik yeteneği için çılgın bir çizgi göz önüne alındığında, bu tür bir operasyonel geçmişe sahip hazır adayların olmaması mümkündür. Bu nedenle, GDPR’nin rol için ana görevlerine bakmak faydalı olacaktır: DPO, şirkete GDPR uyumluluğu konusunda tavsiyede bulunarak, yerel düzenleyici ile birlikte çalışarak ve veri koruma bilinci için kuruluş personeli eğitimler verebilir.
5. Kuruluşun operasyonları ve endüstrisi hakkında kendine güven ve sağlam farkındalık: Aday, organizasyonun en üst seviyelerine rapor vermekte ve veri kullanımı için üst düzey fikirleri geri vermekte rahat mı? Aday, bir düzenleyici kurumla çalışmanın nüanslarını anlayacak ve kırmızı bayrakları yükseltmeden uyum konusunda netlik kazanacak kadar bilgili mi? Aday, büyük insan gruplarını eğitmek ve karmaşık fikirleri basitleştirmek konusunda rahat olan türden biri mi? Bunlar, bir DPO rolünü doldurmak isteyen herhangi bir İK yöneticisi için en önemli hususlardır. Sözde yumuşak beceriler, pazardaki herhangi bir bilgi veya deneyim kadar önemli olabilir.
Bir çalışanı veya üçüncü bir tarafı DPO’nuz olarak atayabilirsiniz, ancak bu kişi, ihlaller ve uyumsuzluk endişeleri konusunda dış yetkililerle çalışırken bağımsız olmalıdır. GDPR ayrıca DPO’nun görevlerini bağımsız olarak yerine getirebilmesi gerektiğini ve bu görevleri yerine getirdiği için “görevden alınamayacağını veya cezalandırılamayacağını” belirtir.
GDPR yalnızca bir IT sorunu olmadığından ve kurumsal iş modellerini birçok yönden etkileyebileceği için, DPO’nuzun uyumluluğu sağlamak için çeşitli departmanlarla çalışması gerekebilir. Bu nedenle, liderlik becerileri ve bir grubun parçası olarak iyi çalışma yeteneği, DPO’nuzun rollerinde başarılı olması için çok önemli olacaktır.
DPO’nuz ayrıca herhangi bir soruları olması durumunda müşterileriniz veya halk için irtibat noktası olacaktır. Bu nedenle, güçlü iletişim becerileri ve bir düzeyde halkla ilişkiler bilgisi de yararlı bir profesyonel kalite olabilir.
Doldurmak istediğiniz herhangi bir pozisyonda olduğu gibi, faaliyet gösterdiğiniz sektör hakkında bilgi ve işinizin nasıl işlediğine dair bir anlayış avantajlı olacaktır, ancak mutlaka gerekli değildir.
Kuruluşunuz bir kamu kurumu veya kuruluşuysa, DPO’nuz da idari kurallar ve prosedürler hakkında sağlam bir bilgiye sahip olmalıdır.
DPO esasen bağımsız hareket etmesi gereken bir uyum görevlisi olduğundan, görevleri yerine getirme ve kendi inisiyatifiyle çalışma yeteneği çok önemlidir. Belirli bir sonuca nasıl ulaşılacağı konusunda hiçbir şekilde talimat verilemezler; bir dizi veri koruma hedefi oluşturma ve bunlara en iyi nasıl ulaşılacağına karar verme becerisine sahip olmalıdırlar.
DPO’nun atanmasının zorunlu olmadığı durumlarda, iyi uygulama ve uygunluk göstermesi açısından yönetmelik tarafından teşvik edilmektedir. Bu rol dünyadaki ve ülkemizdeki birçok kuruluş için yeni olduğundan, tüm niteliklere sahip uygun bir aday bulmak zorlu bir görev olabilir.
Yukarıda açıklanan geniş beceri setine ek olarak, DPO adayları ayrıca bir dizi önemli yönetsel niteliklere sahip olmalıdır. Her şirket ve aday farklıdır, ancak başarılı olmak için gerekli becerilere sahip olup olmadıklarını belirlemek için DPO adaylarına sormanız gereken önemli sorulardan birkaçı:
- Siber güvenlik konusundaki deneyiminizi anlatın. Orada ne gibi zorluklarla karşılaştınız?
- Hangi AB veri koruma hukuku deneyimine sahipsiniz?
- Hangi denetim/değerlendirme deneyiminiz var?
- Hangi siber güvenlik araştırmalarına katıldınız?
- Herhangi bir AB veri koruma sertifikanız var mı (IAPP — CIPP/E veya CIPM, CIPT, ISO 27701)? Sizi bu sertifikaları almaya iten ne oldu?
- Gizlilik etki analizi (Privacy Impact Analysis - PIA) yaptınız mı?
- Veri gizliliği ve koruma politikalarını tanımlama ve bunları şirketin geri kalanının anlayabileceği şekilde ifade etme konusunda nasıl bir deneyiminiz var?
Son soru özellikle önemlidir. Bir adayın kendisini yalnızca “Hayır, bu şekilde yapamazsınız” diyen birinin aksine, işin kolaylaştırıcısı olarak görüp görmediğini belirlemek için sorular sormanız gerekir. “İçinde bulunduğumuz kısıtlamalar ve düzenlemeler göz önüne alındığında, işimizde ilerlemenin en iyi yolları burada” diyen birini istiyorsunuz.
DPO’nuzun işinizde sizinle ortak vizyonda hareket etmesi - sunduğunuz değeri ve müşterilerin bu değeri nasıl gördüğünü anlaması ve daha sonra bu değerlerle daha geniş düzenleyici ortamı sağlaması ümidimizi yaşatacaktır.
