Bu yazının ilk bölümünde kişisel verilerin korunması yolculuğumuzun yeni başladığından bahsedip, yazıyı bu yolculukla ilgili bazı sorulara da bir sonraki yazımda cevap vermeye çalışacağımdan bahsederek bitirmiştim. Bu bölümde de “Doğru yaklaşım nedir?” ve “Teknoloji tek başına bir çözüm mü?” sorularına elimden geldiğince cevap vermeye çalışacağım.
Kanun yayınlandıktan sonraki aylarda konu hakkındaki bilgilendirici etkinliklere ve bu etkinliklerin kimler tarafından düzenlendiğine baktığımızda bu alandaki yaklaşımları da görme şansı bulduk. Birinci grup konuya hukuk gözlüğü ile bakıyordu ve konunun sadece hukuki boyutlarını irdeleyip, çözümü burada arıyordu. İkinci grup ise konuya tamamen teknoloji gözlüğüyle bakıp, çözümü teknolojide arıyordu. Hukuk ve teknoloji, kişisel verilerin korunması için vazgeçilmez iki temel bileşen olsa da, bence kişisel verilerin korunmasına bir hukuk projesi ya da teknoloji projesi olarak bakmak yapılacak en büyük yanlış olacaktır. Peki, doğru yaklaşım nedir?
BURAK SADIÇ’IN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ
Bu yolculuğa bizden on, yirmi hatta otuz sene önce başlamış tüm ülkelere baktığımızda doğru yaklaşımın bu ve benzeri kanunlara uyumu “bir uyum projesi” olarak değerlendirip öyle yaklaşmak olduğunu görüyoruz. Evet, hukuki uzmanlık ve ilgili teknolojiler de bu projenin çok önemli parçaları, ama projeye bir uyum projesi olarak bakılmazsa önemli eksiklikler olması kaçınılmaz.
Konuya bir uyum projesi olarak yaklaşıldığında ilk adımın ne olduğu da önemli bir soru işareti. Tüm uyum projelerinde olduğu gibi bu projenin de ilk adımı tespit aşaması, başka bir deyişle kurum içindeki tüm kişisel veri işleme süreçlerinin tespiti olmalı. Eğer ne gibi kişisel verileri, hangi süreçlerle işlediğimizi bilmiyorsak, bu konuda hukuki ya da teknolojik önlemler almamız kendimizi kandırmak ya da göle maya çalmaktan çok da farklı değil. Tespit aşamasında kurumdaki tüm süreç sahipleri ile görüşülüp, aşağıdaki soru silsilesinin cevapları alınmadıkça da bu aşamanın gerektiği şekilde tamamlandığını söylemek doğru olmayacaktır.
Neymiş bu sorular?
“İlgili süreçte, hangi veriler, hangi kaynaklardan elde edilerek, hangi amaçlarla, hangi birimler tarafından, hangi teknolojilerle, kiminle paylaşılarak, hangi hukuki dayanaklarla, ne süreyle işlenmektedir” ve tabii ki “bu süre sonunda bu verilere ne yapılıyor?”.
Tahmin edersiniz ki yukarıdaki soruların cevaplarını bulmak çok da kolay değil. Daha da önemlisi büyük zaman ve kaynak ihtiyacı olan bir çalışma. Ama bu çalışma tamamlanmadan hukuki uyum adımlarını atmaya çalışmak, ya da teknoloji satın almak da ne kadar doğru tartışılır.
Bu tespit çalışmasını kim yapmalı?
Her ne kadar bu projenin bir hukuk ya da teknoloji projesi olmadığının altını birkaç kez çizsem de, hukuk ve teknoloji uzmanları tespit aşaması da dahil olmak üzere proje ekibinin vazgeçilmez üyeleri olmalı. Bu iki önemli uzmanlığı kim bir araya getirecek sorusunun cevabı ise kurumuna göre değişecektir. Dünya örneklerine baktığımızda artık “Privacy Office” kavramının yerleşmeye başladığını görüyoruz. Ama, biz yolculuğun başında olduğumuzdan ötürü bu konuya özel uzmanların sayısı yok denecek kadar az. Yani sorumluluğu kurum içinde birilerinin üstlenmesi ve farklı birimlerden kişisel verilerin korunması uzmanlığının devşirilmesi gerekecek gibi görünüyor. Benzer projelerde tecrübe kazanmış “uyum” ya da “bilgi güvenliği” uzmanları en ciddi adaylar. Konunun önemi düşünüldüğünde üst yönetimlerle çalışma tecrübesi çok yüksek olan “hukuk” ve “iç denetim” uzmanları da bu tarz projelerde önemli fark yaratabilir.
Proje başlangıcında sorulması gereken üç önemli soru da, “Kurum ya da şirket üstte belirtilen uzmanlıkları kendi içinde barındırıyor mu?”, “İlgili uzmanlar bu proje için hak ettiği zamanı ayırabilecek mi?” ve “Bu kapsamda bir projeyi yönetebilecek proje yöneticimiz var mı?”. Eğer üç sorunun da cevabı evetse, kısıtlı kapsamda danışmanlık ve/veya eğitim alımları ile kişisel verilerin korunması yolculuğuna kurum dahili kaynakları ile başlanması düşünülebilir. Uzman kaynağın varlığı ya da kapasitesi hakkında tereddüt varsa, ya da tereddüt olmasa da riski azaltmak veya paylaşmak amacıyla, bu tarz uyum projelerini yapma kapasitesi olan danışmanlık şirketleriyle anlaşıp işi sağlama almak da düşünülebilir. “Kişisel verilerin korunması” başlığında proje tecrübesi de bulunan danışmanlarla çalışmak ise en doğrusu, ama haliyle bu alanda tecrübeli danışmanların sayısı da henüz bir elin parmakları kadar bile değil ülkemizde.
Umarım iki bölümlük bu mini yazı dizisi kişisel verilerin korunması yolculuğuna biraz olsun ışık tutabilmiştir. Bu yolculukla ilgili sorulması gereken başka sorular da var tabii. İlk anda akla gelen bazı sorular; “Uyum projesinin detayları neler olmalı?”, “Bahsedilenkişisel veri işleme faaliyetlerinin tespiti adımı sonrasındaki adımlar neler?”, “Uyum projesi tamamlandığında uyumlu olacak mıyız?”, “Bu işin denetimi nasıl olacak?” ve “Peki ya güvenlik, güvenlik gibi bu konunun çok önemli ve vazgeçilmez bir parçası hakkında ne yapmalıyız?”.
“Bence” üstteki soruların doğru cevaplarını ve bu cevapların doğuracağı yeni soruları ise ilerleyen dönemlerdeki yazılarda paylaşmaya çalışacağım.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN DOLDURUNUZ
[wysija_form id=”2″]
