Kişisel Verilerin Korunması Kanunu yürürlüğe girdikten sonra, kişisel verilerin işlenmesi ile ilgili olarak veri sorumlularına oldukça geniş sorumluluklar yüklenmiştir. Bu kapsamda, verilerin hukuka aykırı olarak elde edilmesi ve saklanmasını önlemek için teknik ve idari tedbirlerin alınması gerekmektedir. Ancak iş hayatı içinde işletmelerin ve şirketlerin ticari faaliyetlerinin gerektirdiği ihtiyaçlar değişebilmekte, örneğin dijital pazarlamada yeni yöntemler ortaya çıkabilirken eskileri ortadan kalkabilmektedir. Ticari hayatta olağan olan bu değişiklikler devam ederken, veri sorumlularının verilerin güvenliğine ve muhafazasına yönelik sorumlulukları da devam edecektir. Veri koruma yönetiminde, sürdürülebilirliği sağlamak söz konusu senaryolarda olası sorunları ve ihlalleri önlemek için önemlidir. Sürdürülebilirlik bu anlamda finansal etkiler ve hedeflerin ötesindeki çözümleri göz önüne almayı gerektirmektedir. Bu açıdan, veri korumadaki maliyetler sadece finansal olarak değerlendirmeye alınmayacak, toplum ve çevre açısından etkileri daha önemli hâle gelecektir.
Veri koruma yönetiminde ilk konu, veri sorumlusu organizasyonun veri koruma ile ilgili hedeflerini belirlemesi olacaktır. Bunların nasıl ticari süreçlere dönüşeceği, sunulan mal ve hizmetlere ve bilişim sistemlerine hangi şekillerde yön vereceklerini belirlemek ise bir sonraki adım olacaktır. Yönetim kademesi ve verilerin muhafazası ile ilgili görevleri bulunanların organizasyonu, operasyonel rolleri ve sorumlulukları, Kişisel Verilerin Korunması Kanunu’na uyumlulukları için yürütmeleri gereken görevler açık ve net bir şekilde ortaya konmalıdır.
Veri Korunmasına Yönelik Bir Politikanın Belirlenmesi
Veri korumada hem ticari hayatta verimliliği arttırmak hem de olası ihlallerin önüne geçmek için, işlemleri yürütecek kişilere yönelik olarak önceden bir politikanın hazırlanması ve hesap verilebilirliği geliştirmek açısından söz konusu politika ile ilgili olarak çalışanların eğitilmesi gerekmektedir. Teknik anlamdaki güvenlik duvarına benzer olarak çalışanların oluşturacağı bir güvenlik duvarı bu konuda birçok fayda getirecektir. Siber güvenliğin sağlanması gibi birçok önlem alınırken veri muhafazasında uyulması gereken yükümlülükleri uygulayacak çalışanların eğitilmesi de son derece önemli olacaktır.
Çalışanları genel bir sürdürülebilir iş modeline dâhil etme çabalarında olduğu gibi kişisel verilerin korunmasına yönelik verilecek eğitimde de benzer aşamalardan geçilmesi öngörülebilir. İş tanımları, hizmet sözleşmesi gibi araçları içeren resmî aşamalar, çalışanların veri korumaya yönelik performanslarını arttıracak ödüllendirme ve hedefler belirleme gibi araçları içeren psikolojik aşamalar ve genel olarak veri korumada korunan değerleri anlatacak toplumsal aşamalar ile çalışanların şirket içindeki kurumsal kültürü benimsemesi sağlanabilir.
Bu aşamada şirketin faaliyeti ile ilgili olarak toplanan kişisel verilerin hassasiyetlerine göre sınıflandırılması ve olası ihlal durumlarında bunlar için geliştirilecek aksiyonun belirlenmesi gerekecektir. Hangi verilerin işlendiği kadar bu verilerin ne için işlendiği de önemli olacaktır. Sadece kişisel verisi işlenen ilgili kişilere hesap verilebilirliğin sağlanması için değil çalışanların da bu yolla neden ve nasıl söz konusu veri koruma yönetim modeline uyacakları hakkında farkındalığa ulaşmalarını sağlamak için verilerin sınıflandırılması ve gerekli önlemlerin alınması faydalı olacaktır. Bu farkındalığın yanı sıra, veri koruma sorumluluğu sürekli devam ettiği için, şirket içi denetim mekanizmalarını oluşturmak başka bir adım olacaktır. Kişisel Verilerin Korunması Kanunu’na uyumluluğu sağlayacak iç mekanizmaların oluşması hem gizliliğin ihlal edilmesini önleyecek hem de ekonomik olarak daha verimli bir iş modelinin oluşmasını sağlayacaktır.
Bu açıdan irtibat kişisi, veri işleyen ve ilgili kişilerle yapılan sözleşmelerin izlenmesi, takip edilmesi ve organizasyonu önemli olacaktır. Veri korunması için geliştirilen sistemde, görevli kişilerde olan değişikliklerin takibi ve bunlara ilişkin bildirimde bulunmak için oluşturulacak bir organizasyon planı ile bu konularda Kişisel Verilerin Korunması Kanunu’na aykırılıktan doğacak yaptırımların önüne geçilebilecektir.
Ticari faaliyetle ilgili farklı müşteri gruplarına yönelik toplanacak verilerin sınıflandırılması ile bunlara yönelik yükümlülüklerin neler olacağının belirlenmesi ayrıca önem kazanmaktadır. Aydınlatma yükümlülüğünde ve verileri muhafaza etmeye yönelik yükümlülüklerde meydana gelecek olası değişiklikler önceden tespit edildiğinde ve bu konuda çalışanlar ve verilerin işlenmesiyle ilgili sorumluluk taşıyan kimselere eğitim verilmesi, veri koruma yönetiminde sürdürülebilirliğin sağlanması için mühim olacaktır. Bu görevlilerin veri korunmasına ilişkin mevzuat ve uygulama hakkında bilgiye sahip olması, veri sorumlusu olan organizasyonun veri işlemeye dair işlemlerini iyi anlaması, bununla ilgili teknolojik altyapıyı iyi bir şekilde bilmesi ve Kişisel Verilerin Korunması Kanunu‘na göre haklarını kullanmak isteyen ilgili kişilerin taleplerine cevap vermeye hazır olması gerekecektir.
Görev ve sorumlulukların dağıtılmasının ardından, kişisel verilerin mahiyeti, kişisel verilere erişim sağlayan ve bunlarla ilgili ticari faaliyet çerçevesinde işlem yapan görevliler ve yaptıkları işlemler hakkında kayıtlar tutulmalıdır. Bunlar, hesap verilebilirlik ve sürdürülebilirlik açısından zorunlu olacaktır. Verilerle yapılan işlemlerin veri sorumlusunun faaliyetlerini yürütmesi için ne kadar gerekli olduğunun değerlendirilmesi ve elde edilecek menfaate oranla ne kadar orantılı olduğu, kişisel verisi işlenen kişilerin hak ve özgürlüklerine yönelik olası bir riskin tespit edilebilmesini, buna uygun aksiyonların alınabilmesini sağlayacaktır. Özet olarak, kişisel verilerin işlenmesinden önce uygun teknik ve idari tedbirlerin alınması, bu kapsamda çalışanların eğitilmesi ve bu farkındalık içinde söz konusu süreçlere katılımları, aydınlatma yükümlülüğünü yerine getirme gibi farklı görevlerin kimlere ait olduğunun belirlenmesi ve bu süreçlerin nasıl işleyeceğinin tanımlanması ve Kişisel Verilerin Korunması Kanunu’na uyumluluğu takip edecek, genel olarak veri koruma yönetimi hakkında değerlendirmede bulunacak iç denetim mekanizmalarının kurulması, sürdürülebilir bir veri koruma yönetiminin köşe taşları olacaktır.
