“İlgili Kişi Raporu” hazırlamak neden bu kadar zor ?
Yazımıza İlgili Kişinin Hakları ile başlayalım:
Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Kaynak: KVKK Kurumu
Bu haklardan dolayı şirketler/kurumlar kişisel verinin sahibi olan “İlgili Kişi”lere bilgi vermek zorundadırlar.
Gizlilik uyumluluğu için bir İlgili Kişi Raporu oluşturmak zor ve karmaşık bir iş olabilir. Peki neden zor bu raporu oluşturmak ? Maalesef aşağıda sayacağım maddeler de dahil olmak üzere bir çok nedenden dolayı “İlgili Kişi Raporlarını” oluşturmanın kolay bir yolu yoktur:
Beraber inceleyelim :
Veri Karmaşıklığı: Verilerin karmaşıklığıyla başa çıkmak, “İlgili Kişi Raporu” raporu hazırlamanın en zor kısımlarından biridir. Kişisel bilgiler farklı sistemlere, formlara ve yerlere dağılmış olabilir, bu da bilgileri mantıklı bir şekilde toplamayı ve birleştirmeyi zorlaştırır.
Manuel Süreçler: Bir “İlgili Kişi Raporu”nun hazırlanmasında genellikle önemli verilerin bulunması ve çekilmesi, özel bilgilerin çıkarılması ve raporun düzenlenmesi gibi çok sayıda insan adımı yer alır. Bu uzun zaman alabilir ve hatalara yol açabilir.
Yasal Gereklilikler: “İlgili Kişi Rapor”ları, veri sahibinin kişisel bilgilerine erişimini sağlamak, bilgilerin doğru olduğundan emin olmak ve başkalarının gizliliğini korumak gibi bir dizi yasal gerekliliği karşılamalıdır. Özellikle farklı veri güvenliği kurallarına sahip birden fazla yerde çalışan işletmeler için bu standartları karşılamak zor olabilir.
Standardizasyon Eksikliği: Şu anda “İlgili Kişi Rapor” ları için standart bir stil bulunmamaktadır, bu da grupların hem tek tip hem de eksiksiz raporlar hazırlamasını zorlaştırmaktadır. Bu aynı zamanda bilgileri toplanan kişilerin farklı gruplardan gelen hesapları karşılaştırmasını ve incelemesini de zorlaştırmaktadır.
Şirketler zor olanın şirket içinde bir kişiye ait olan kişisel veriyi bulmanın asıl amaç olduğuna inansa da, eksik hatta yanlış biliyorlar. Elinizde ilgili kişiye ait hangi bilgiler olduğunu bilmek işin sadece başı. Asıl işin en zor kısmı şu üç soruyu cevaplamaktır. Yasal uyumluluk için asıl bu soruların cevapları şirket içindeki her bir kişisel veri için cevaplanmalıdır.
Nereden buldun bu veriyi ? (Kimden ve yasaya uygun mu aldık?)
Neden bu veri elimizde ? (Yasal dayanağımız ne?)
Daha ne kadar tutabilirim? (Ne kadar süre tutacağıma söz verdik?)
Geleneksel veri envanteri ve veri sınıflandırması bir “İlgili Kişi Raporu” hazırlamak için yeterli olmayabilir çünkü bunlar veri yönetiminin teknik yönüne odaklanma eğilimindedir ve “İlgili Kişi Raporu”’ların özel ihtiyaçlarını ve veri sahibi haklarını dikkate almaz.
Geleneksel veri envanteri ve sınıflandırması genellikle verilerin türleri, biçimleri ve konumları gibi veri yönetiminin teknik kısımlarına odaklanır. Bunlar iyi bir veri yönetimi için önemli olsa da, tutulan kişisel verilerin tam türleri, işleme için yasal dayanak veya verilerin hangi amaçlarla kullanıldığı gibi bir “İlgili Kişi Raporu” için gereken tüm bilgileri içermeyebilir.
Ayrıca, standart veri envanteri, veri keşfi ve veri sınıflandırması her ne kadar pek çok konuya cevap veriyor gibi görünse de çok da yeterli değildir. Mesela veri sahiplerine kişisel verileri hakkında bilgi sahibi olma imkanını sağlamaz veya verilerinin üçüncü taraflara verilip verilmediğini veya silinmesi taleplerini yerine getirmeyi sağlayamaz. Yani bu teknolojiler “İlgili Kişi Rapor’larına yazılacaklara veya veri sahibinin haklarının özel gereksinimlerini yerine getirmede çok katkı sağlamaz. Elinizde ne olduğunu bilmek onun hesabını verebileceğiniz anlamanı gelmez.
Bu sorunları aşmak için kuruluşlar, veri sahibi erişim taleplerine (“İlgili Kişi Rapor’ları) ve veri sahibi haklarına odaklanarak veri envanteri ve sınıflandırmasına daha kapsamlı bir yaklaşım benimsemelidir. Bu, “İlgili Kişi Raporu” için gereken tüm bilgileri içeren “İlgili Kişi Raporu”na özgü bir kişisel veri envanteri oluşturmak ve “İlgili Kişi Raporu” envanterinde listelenen kişisel veri türleriyle eşleşen veri sınıflandırma yöntemleri oluşturmak anlamına gelebilir. Bu, “İlgili Kişi Raporu” dosyalarındaki verilerin doğru, eksiksiz ve veri sahibi hakları ile kanun gerekliliklerine uygun olduğundan emin olunmasına çok yardımcı olur.
Yardımcı bilgiler : GovernID tarafından sunulan bir gizlilik düzenleme çözümü, diğer birçok işlevle birlikte self servis ilgili kişi raporu (DSAR/SRR) için benzersiz bir çözüm sunar.
Mustafa Özçakır
Girişimci ve Kurucu, CDPSE (ISACA), Pilot — EASA CPL(A)
