Hergün milyonlarca kişinin verisi parekende satış noktaları başta olmak üzere bir çok yerde kurumda işleniyor. Peki bu veriler hangi amaçla işleniyor? Nerede kayıt altına alınıp hangi nedenle saklanıyor? Kişisel verilerimiz 3.taraflarla paylaşılıyor mu?

Hızla gelişen teknolojinin birçok olumlu yönünün yanında maalesef ki olumsuzluklarını da yaşamaktayız. Buna teknolojiyi olumsuz yönde kullanan kötü niyetli, insanlarında etkisi çok fazladır. Dijital Dönüşümü destekliyoruz ama başımıza gelebilecekler hakkında bilinçli olmak gerekiyor.

Kişisel Verilerin Korunması Kanunu, 24/03/2016 tarihinde TBMM Genel Kurulunda kabul edilerek 07/04/2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel veri; gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Aşağıda yer alan bilgiler ve benzerleri kişisel veri bilgileridir.

Adı-soyadı, Telefon numarası, Adres bilgisi, TC kimlik numarası, Doğum tarihi, Doğum yeri, Nüfusa kayıtlı olduğu yer, Nüfus cüzdanı seri numarası, Pasaport numarası, SGK numarası, Kredi kartı bilgileri, Banka hesap numaraları, Faturalar, Özgeçmiş, Nüfus cüzdanı fotokopisi.

Kişisel verileri işlemek demek, kişisel verilerin üzerinde yapılan her türlü işlem demektir.

Bütün şirketlerin ve özel veya kamu kurumlarının kişilere ait bilgileri dijital ortamda saklarken kurallara uygun şekilde koruması zorunludur.

KVKK Kurumu kişinin haklarını korumak amacıyla kimler hangi verileri ne sebeple işliyor, saklıyor, 3.taraflarla paylaşıyor diyerek firmaların bunları beyan etmesini istemektedir. İşletmelerin bu sürece uyum sağlaması pek de kolay olmadığından, sektörün uzmanları süreci yönetecek yazılımlar geliştirmiştir. Dijital Dönüşümün bir parçası olan XANTHOS KVKK yazılımını sizler için araştırdım.

XANTHOSSOLUTİONS Yazılım DAnışmanlık Eğitim Ticaret LTD.ŞTİ nin kurucu ortaklarından Kuzey Aksu ile görüştüm.

Kuzey Aksu kimdir? Kendinizden bahseder misiniz?

Bilgi Teknolojileri ve Bilgi Güvenliği konularında 25 yılı aşkın tecrübeye sahibim. Kariyer yolculuğum boyunca birçok çok uluslu firmada çalıştım. Hali hazırda CISM, CDPSE, ITIL, CEH, ISO 27001 Bilgi Güvenliği Baş denetçisi, ISO 27701 Kişisel Veri Yönetim Sistemi Baş Denetiçisi, Bilgi ve İletişim Güvenliği Uyum Denetçisi D1 ve D2 sertifikalarına sahibim. Yönetim Bilişim Sistemleri ve Siber Güvenlik konularında 2 ayrı yüksek lisansım bulunmaktadır.

KVKK Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Kişisel verilerin işlenmesini disiplin altına alınarak, ilgili verilerin sınırsız biçimde ve gelişi güzel toplanması yetkisiz kişilerin erişimine açılması , ifşası veya amacı dışında yada kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesini amaçlamaktadır.

Şirketler, Kurumlar KVKK hakkında işletmelerinde neler yapmalıdırlar?

Öncelikle ilk adım kurumlar şirketler bünyelerindeki tüm süreçleri dökümante etmelidirler.

İkinci adım bu süreçler içinde kullandıkları kişisel verileri belirlemelidirler.

Üçüncü adım olarak bu kişisel veriler içerisinde veri sadeleştirilmesi yapmalıdırlar.

Peki veri sadeleştirmesi nedir? Biraz açabilir misiniz ?

Veri sadeleştirmesi firmaların süreçleri dahilinde almış oldukları fazla kişisel verilerden kurtulmalarıdır. Bunu bir örnekle açıklamak gerekirse; bir e-ticaret firması müşterisi ile iletişime geçebilmek ve ürün gönderebilmek için isim soy isim, adres bilgilerine ihtiyaç duyarken daha fazla kişisel veri istememeli ve kayıt altına almamalıdır.

Dördüncü adım olarak firmalar işledikleri kişisel verilerle alakalı çalışanlarına, müşterilerine, tedarikçilerine, çalışan adaylarına, ziyaretçilerine vb.ilgili kişilere bilgilendirme metni göndermelidirler.

Bu bilgilendirme metni ile kişilerin hangi kişisel verilerini topladıklarını, bu verileri hangi kanallar ile topladıklarını, bu verileri hangi amaçla topladıklarını, eğer paylaşıyorlarsa hangi 3.taraflarla bu verileri paylaştıklarını ve kişilerin işlenen verileri ile ilgili hakları hakkında bilgilendirmelidirler.

Önemli bir diğer konu bu bilgilendirme kişilerin verilerinin işlenmeye başlanmadan yapılmalıdır.

Dördüncü adımla alakalı bir diğer konuda eğer kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gerekiyorsa bu açık rızalarda ilgili veriler işlenmeden önce kişilerden alınmalıdır.

Beşinci adım olarak kişisel veri envanteri hazırlanmalıdır.

Altıncı adım olarak ise KVKK Kurumunun ilgili rehberinde belirtmiş olduğu teknik ve idari tedbirler firmalar tarafından hayata geçirilmelidir.

Burada gözden kaçırılmaması gereken en önemli konu kişisel veriler kanuna uyum çalışmaları bir defa yapılıp sonrasında geriye dönüp bakılmayacak bir çalışma değildir.

Tüm süreçlerimizde sürekli işletmemiz gereken ve süreçlerimiz her değiştiğinde yada firmamıza yeni süreçler eklendiğinde mutlaka gözden geçirmek zorunda olduğu bir yapıdır.

Hangi sektörlerin bu yazılımı kullanmasını tavsiye edersiniz? Kimler uygulamalıdır?

Kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. Diğer bir deyişle özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları KVKK’nın kapsamı dahilindedir. Hastaneler, Bankalar, Özel okullar ve kurslar , E-ticaret firmaları, üretim yapan firmalar, Belediyeler, Perakende satış noktaları bunlara örnek olarak verilebilir.

XANTHOS KVKK yazılımı bize hangi kolaylıkları sağlıyor?

Bu yazılımı oluştururken amacımız yukarıda bahsettiğimiz süreçleri tek bir platform üzerinden yönetilmesini sağlamaktır.

Detaya inmek gerekirse XANTHOS KVKK yazılımı ile tüm bilgilendirme, açık rıza, veri envanteri oluşturma, eğitim ve veri ihlal bildirimi süreçlerinin tamamı tek bir platform üzerinden yönetilebilmektedir.

Bilhassa açık rıza ve bilgilendirme metinlerinizi ilgili taraflara gerek sms gerekse e-posta aracılığı ile paylaşabilir ve onların vermiş oldukları yanıtları platform üzerinden takip edebilirsiniz.

Normal şartlarda hali hazırda kurumların manuel olarak farklı farklı tablolar da ve teks dökümanları ile takip ettikleri bu süreci tek bir platform üzerinden yönetmelerini sağlamayı hedefliyoruz.

Vermiş olduğu bilgiler için Kuzey Aksu’ya teşekkür ediyoruz.

Hukuka aykırı kayıt tutulması durumunda kimlik hırsızlığı, kişisel bilgilerin kopyalanması, sahtecilik ve hatta işlenmiş bir suçu başkasının üzerine yıkma gibi birçok durumla karşılaşılabilir. Bu nedenle KVKK kapsamında bilgilerin korunması ve işlenmesi son derece önemlidir. Kişilere ait veri güvenliğinin sağlanmasını amaçlayan bu uygulamaların yaygın ve etkin olarak kullanılmasını, kişisel hakların ihlalini önlemek ve ortaya çıkan güvenlik açıklarının önüne geçilmesi için her işletme ve kurum da tedbirlerin alınmasını ümit ediyoruz.