Kişisel Verilerin Korunması Kanunu’na (“Kanun”) göre her veri sorumlusu:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü teknik ve idari tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır.
Veri sorumlusunun tüm yükümlülükleri için ilgili yazımıza göz atabilirsiniz.
Kişisel Verileri Koruma Kurumu (“KVKK”) Kişisel Veri Güvenliği Rehberi’ni (“Rehber”) yayınlayarak veri sorumluları tarafından alınması gereken idari ve teknik tedbirleri belirtmiştir. Rehber uyarınca veri sorumlusunun alması gereken idari tedbirlerden biri de veri güvenliği ile ilgili kurumsal politikaların hazırlanması ve uygulanmasıdır.
Rehber’de kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürlerin gerekli olduğu belirtilmiş, ancak bu politikanın ne şekilde hazırlanması ve uygulanması gerektiği belirtilmemiştir. Aşağıda veri sorumlusu şirketlerin hazırlaması önerilen politika ve prosedürleri bulabilirsiniz.
Burada öncelikle belirtmek gerekir ki; veri sorumlusu olarak her şirketin, kurumun farklı boyutta ve önemde verileri bulunmaktadır. Bu nedenle hazırlanacak politikaların nevi, içeriği her şirket, kurum için farklı olmalı ve o şirkete, kuruma özgü olarak hazırlanmalıdır.
1. KVKK Politikası
Öncelikli olarak her veri sorumlusu tarafından bir KVKK Politikası hazırlanması önerilmektedir. Bu politika; şirketin veya kurumun KVKK ve veri güvenliği konularında en üst normu olacak ve adeta veri güvenliği ile ilgili bir anayasa gibi işlev görecektir.
Bu politikada genel olarak şirketin/kurumun veri güvenliği ile ilgili aldığı önlemler, işlenen veriler, aktarılan veriler, şirket/kurumun bu konudaki yaptığı ve yapacağı çalışamalara yer verilmelidir.
2. Veri Saklama ve İmha Politikası
KVKK Politikası’nın eki ve ayrılmaz bir parçası olarak düzenlenmesi önerilen veri saklama ve imha politikası ise mevzuatta; “Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika” olarak tanımlanmaktadır.
Konuyla ilgili daha fazla detay için ilgili yazımıza göz atabilirsiniz.
3. Verilere Erişim Politikası/Prosedürü
Veri sorumlusu tarafından hazırlanan veri güvenliğine ilişkin iç disiplin hükümlerinin ve diğer politikaların sağlıklı bir şekilde yürümesi için görev tanımları ve verilere erişimi olacak pozisyonlardaki kişilerin net bir şekilde belirlenmesi gerekmektedir. Burada kişi (isim/soyisim) bazlı bir tanımlama yerine pozisyon gereği bir tanımlama yapmak işin sürekliliğine daha uygun olacaktır.
Örneğin insan kaynakları yöneticisi pozisyonundaki bir kişinin erişebileceği veriler ile insan kaynakları elemanı pozisyonundaki bir kişinin erişebileceği veriler farklı olabilir. Yönetici pozisyonundaki kişiye daha çok veriye ulaşma yetkisi verilebilir.
Ayrıca bu politika ile verilerin fiziksel ve dijital olarak bulunduğu ortamlara giriş çıkışlar ve bu konudaki yetkilendirme de düzenlenebilir.
4. Acil Durum Prosedürü
Son olarak hazırlanacak Acil Durum Prosedürü ile veri ihlali, veri ihlali teşebbüsü, bilgilerin ifşası gibi acil durumlarda yapılması gerekenler belge altına alınabilir. Kanun gereği bir veri ihlali durumunda veri sorumusu durumu Kişisel Verileri Koruma Kurulu’na ve ilgilisine bilgilendirmekle mükelleftir.
Bu kapsamdan alınacak tedbirlerin önceden belirlendiği bir acil durum prosedürü çalışanlar üzerindeki baskıyı azaltacaktır.
Son olarak bu politika ve prosedürde yapılacak önemli değişikliklerle ilgili olarak ilgili çalışanlara eğitim verilmesi gerekmektedir.
