KVKK Envanteri Yönetişimi Nasıl Olmalı?
KVKK uyum programlarının başarısı iyi bir veri envanteri yönetişiminden geçmektedir.
Bir önceki yazıda veri envanterlerinin, yönetim sistemlerinin omurgası olduğundan ve sağlam bir omurga olmadan bu omurgadan beslenen hiç bir süreç ya da sistemin sağlıklı işlemesinin mümkün olmayacağından bahsetmiştik. Ayrıca en önemli veri envanterlerinden olan kişisel veri envanteri ile ilgili örnek çalışma için bu yazıyı adreslemiştik. İlk yazıya burada yer veriyorum.
Kişisel verilerin korunması, bilgi güvenliği yönetişiminin bir alt kümesi aslında. Bu süreçleri birbirinden ayrı düşünmek ve etkileşim noktalarını kaçırmak ve izlememek çok büyük bir hata olur.
Kişisel verilerin korunması 2016 yılında hayatımıza girdi, birçok Kurum bu işi bir yönetişim ve süreç olmaktan ziyade Hukuk Birimi’nin ilgilenmesi gereken, politika ve aydınlatma metni hazırlamaktan ibaret bir iş olarak tanımladı.
Bu nedenle;
- Aynı bilgi güvenliği politika metinlerinin birçok Kurumun web sitesinde yayımlandığını gördük.
- Aydınlatma metni ile süreç ilişkisi kurulmadan yapılan; genel ve hukuken tüm durumları kapsayacak metinlerin tüm süreçler için standart bir metin olarak kullanılmasına tanıklık ettik.
- Aydınlatma metni ile açık rıza alınması yükümlülüklerinin aynı metinde tek seferde — tek süreçle karşılanmaya çalışıldığını gördük.
- Açık rıza erek olmayan süreçlerde, her ihtimale karşı alınan açık rıza onayları alındı.
- Aydınlatma ve açık rıza metinleri ile kişisel veri envanterleri arasında uyumsuzluklara rastladık.
- Birtakım envanterlerin VERBİS’e kayda imkan vermediğini keşfettik.
Uygulamada yaşanan tüm bu yanlış anlaşılma ve sorunların her birinin yayımlanan Kişisel Verilerin Korunması Kurulu (KVKK) karar, açıklama ve idari ceza uygulamaları ile açıklanmasını izledik.
Bu süreçte öğrendiğimiz ise, yine tüm yönetişim sistemlerinde olduğu gibi bu işin de bir matematiği olduğu ve envanterin de bu sistemin başlangıç ve en önemli noktası olduğuydu.
- Envanter kapalı bir sistem olarak yönetildiği sürece entropiye uğrama ihtimali de yüksek olacaktır. Envanteri açık bir sistem olarak diğer süreçlerden besleyecek şekilde tasarlamalıyız: bilgi varlığı envanterinin alt kümesi olarak görerek bu envanterle ilişkilerini tanımlamak, satın alınan bilgi varlıkları ile ilişkilerin kurulması, yeni süreç tanımları ile ilişkilerin kurgulanması vb.
- “VERBİS giriş kayıtları KVKK envanterinin özet tablosudur” demek sanırım yanlış olmayacaktır. KVKK envanterinden beslenmeyen ve ayrı düzlemlerde yönetilen bir VERBİS girişinin sağlıklı ve güncel olması beklenemez. Envanterde yapılan her değişikliğin VERBİS girişinde düzenleme-değişiklik gerektirip gerekmediğini kontrol etmeyen ve ilgili uyarıları üretmeyen bir sistemin sağlıklı işletilmesi de mümkün olmayacaktır.
Bu işin en etkin yolu kullanılan yazılımların VERBİS ile entegre bir şekilde kurgulanması aslında, ancak KVKK’nın herhangi bir Kuruma henüz bir entegrasyon olanağı sağlamadığını da biliyoruz.
- Aydınlatma metni içerikleri KVKK envanterinden beslenir. KVKK envanterinde yapılan değişiklikler, aydınlatma metinindeki değişiklikleri otomatik olarak beslemeli ve süreçlerde güncellemelidir.
- İdari ve teknik tedbirlerin süreçlerle ve verilerle ilişkilendirilmesi sağlanmalıdır.
- Açık rıza almadığınız süreçlerde hukuki gerekçeleriniz kayıt altına alınmalı ve uyum-hukuk birimleriniz tarafından onaylanmalıdır.
- İhlal olaylarında ya da veri sahipleri tarafından yapılan başvurularda envanter etkin bir şekilde kullanılmalıdır.
Envanter çıktılarının VERBİS girişi, süreç bazlı aydınlatma metinleri ve açık rızalar olarak değerlendirildiğinde; doğru çıktı üretmek için doğru kaynakla beslemenin önemini tekrar hatırlatmakta fayda var.
Konunun önemi anlaşıldıkça birçok farklı yetkinliğin bir arada kullanılması gereken önemli bir yönetişim süreci olduğunun daha çok anlaşılacağı ve hazır yazılımların da bu yönde kendini geliştirerek ve veri keşfi araçları ile zenginleştirilerek daha fazla fayda sağlayacağını söylemek yanlış olmaz.
