Kişisel Verileri Koruma Kurumu web sitesinde bu hafta yayınlanan veri ihlallerine dikkat çeken Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, kamu kurumlarının ve özel sektör firmalarının yaptırımlarla karşı karşıya kalmamak için Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki idari ve teknik tedbirlere uyumlu olmak zorunda olduklarını belirtti. Şenol Vatansever, kişisel verilerin korunması konusundaki farkındalığın daha da geliştirilmesine katkıda bulunmayı hedeflediklerini kaydetti.
BİDER Kurucu Üyesi ve Vatansever Bilişim Direktörü Sema Vatansever, KVKK'da ilgili kişiyle tüm vatandaşların ifade edildiğini belirterek, "Verisi işlenen herkes ilgili kamu kurumunun ya da özel sektör firmasının veri sorumlusuna başvurarak, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme haklarına sahip. 30 günün sonunda cevap alamazsa Kişisel Verileri Koruma Kurumu’na sikayet kvkk adresinden şikâyet edebiliyor, böylece inceleme süreci başlıyor. Kuruma ait olan KVKK Bilgi Danışma Hattı ALO 198’den de görüş alınabilir, ihbarlarda bulunulabilir." değerlendirmesini yaptı.
Sema Vatansever, kanun çerçevesinde kişisel verilerin aktarıldığı üçüncü kişilerin bilinmesi, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesi, kişisel verilerin silinmesinin veya yok edilmesinin talep edilmesi gibi haklara sahip olunduğunu kaydetti.
Herkesin kişisel veriler konusunda haklarının farkında olmasını isteyen Sema Vatansever, bu konuda öncelikle şirketin veri sorumlusuna yazılı olarak başvuru yapılmasının zorunlu olduğunu bildirerek, "Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en geç 30 gün içinde sonuçlandırmak zorunda. Veri sorumlusu buna göre talebi kabul edebilir veya gerekçesini açıklayarak reddedebilir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yapılmak durumunda." ifadelerini kullandı.
Sema Vatansever; KVKK tedbirlerine uyum ve yaşayan sürecin yönetilmesi çalışmalarında en kritik olarak gördükleri başlığın sürekli ifade ettikleri “Kişisel Veri İşleme Envanteri Hazırlanması” olduğunu belirterek, şunları kaydetti: “Bazı danışmanlık firmalarının ‘Kişisel Veri İşleme Envanteri’ hazırlamak üzere hizmet verdikleri kamu kurumlarının ya da özel sektör firmalarının personelleriyle haftalar hatta aylar süren görüşmeler sonucunda oluşturdukları dokümanlar maalesef ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor.
Bu dokümanlar ağırlıklı olarak personel beyanlarını baz alarak oluşturuluyor. Personelin bilinçli ya da bilinçsiz olarak söylemediği bilgiler, personel bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor. Temeli iyi atılmamış bir binanın ilk depremde hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir envanter de telafisi mümkün olmayan zararlara zemin hazırlayabilir. Envanter, beyana dayalı manuel olarak değil, çağımıza uygun şekilde yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm personel bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Otomatik taramalarda kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığı görülüyor. Kişisel verileri tarama operasyonu otomatik hale geldiği için veriler üzerinde tam kontrol sağlanabiliyor. Vatandaş ya da Kişisel Verileri Koruma Kurumu taleplerine hızlı geri dönüş yapılabiliyor. Bu alanda 1kvkk ya da patriotkvkk adreslerinden idari ve teknik tedbirlere uyum ile ilgili daha detaylı bilgi alınabilir.”
Şirketlerdeki teknoloji çeşitliliğine cevap verebilecek yazılımlar tercih edilmelidir. Microsoft Windows ve Linux işletim sistemleri; Microsoft SQL, Oracle, MySQL, PostgreSQL, SQLite, H2 veri tabanları ve bunları kullanan çeşitli uygulamalar; PDF, Şifrelenmiş PDF, Microsoft Office (Word, Excel), CSV, TXT, TIFF, JPEG, GIF, PNG dahil olmak üzere çeşitli resim dosyaları ve bilinen yüzlerce dosya biçimi desteği olması önemlidir. Taranmış evraklarda en belirleyici kişisel veri olan T.C. Kimlik Numarası keşfini algoritmasına uygun olarak sıfır hata ile yapması süreçleri hızlandırır ve kolaylaştırır. Ek olarak; ad ve soyad, cep telefonu numarası, kredi kartı bilgileri, banka hesap bilgileri gibi Kişisel Verileri de -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Silinmesi gereken dosyaları KVKK’ya uygun olarak silebilmelidir. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir.
Yazılım çözümleri kullanıldığında danışmanlık firmalarının hizmet verdikleri kamu kurumlarının ya da özel sektör firmalarının personelleri ile haftalar hatta aylar boyunca yaptıkları verilerinizi nerelerde tutuyorsunuz gündemi olan toplantılar ortadan kalkıyor. Hizmet alanlar tasarruf ediyor. Hizmet verenler danışmanlık ekiplerini birkaç noktaya yığmak yerine birçok yere aynı anda hizmet verebilecek duruma geliyor. Yazılım ile insan hataları ortadan kaldırılıyor. Otomatik taramalarda kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığı görülüyor. Yazılım bunların tamamına teknolojik altyapı olarak destek veriyor. Devamında bu verilen hangilerinin tutulacağına, hangilerinin silineceğine ve anonim hale getirileceğine karar veriliyor. Hizmet alanlara zamandan ve bütçeden kazandırıyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahiptir.
Vatansever Bilişim Direktörü Sema Vatansever, KVKK’da yaptırımlarla yüzleşmek durumunda kalan şirketlerin son pişmanlığının fayda etmediğini ifade etti ve, “Kişisel Verileri Koruma Kurulu’nun şirketler karşısında verinin işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına kadar çok geniş yetkileri var. Şirketlerin sürecin mağduru olmaması için ilgili kişilerden gelen talepleri hızlı ve doğru biçimde cevaplaması gerekiyor. Vatansever Bilişim olarak iş birliği yaptığımız yerli ve milli çözümlerle buna uygun teknoloji altyapısı sağlıyoruz.” diyerek stratejik iş ortaklarıyla beraber KVKK idari ve teknik tedbirlere uyum kapsamında uçtan uca anahtar teslimi çözüm oluşturabildiklerini vurguladı.
BİDER Kurucu Üyesi ve Vatansever Bilişim Direktörü Sema Vatansever, KVKK'da ilgili kişiyle tüm vatandaşların ifade edildiğini belirterek, "Verisi işlenen herkes ilgili kamu kurumunun ya da özel sektör firmasının veri sorumlusuna başvurarak, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme haklarına sahip. 30 günün sonunda cevap alamazsa Kişisel Verileri Koruma Kurumu’na sikayet kvkk adresinden şikâyet edebiliyor, böylece inceleme süreci başlıyor. Kuruma ait olan KVKK Bilgi Danışma Hattı ALO 198’den de görüş alınabilir, ihbarlarda bulunulabilir." değerlendirmesini yaptı.
Sema Vatansever, kanun çerçevesinde kişisel verilerin aktarıldığı üçüncü kişilerin bilinmesi, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesi, kişisel verilerin silinmesinin veya yok edilmesinin talep edilmesi gibi haklara sahip olunduğunu kaydetti.
Herkesin kişisel veriler konusunda haklarının farkında olmasını isteyen Sema Vatansever, bu konuda öncelikle şirketin veri sorumlusuna yazılı olarak başvuru yapılmasının zorunlu olduğunu bildirerek, "Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en geç 30 gün içinde sonuçlandırmak zorunda. Veri sorumlusu buna göre talebi kabul edebilir veya gerekçesini açıklayarak reddedebilir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yapılmak durumunda." ifadelerini kullandı.
Sema Vatansever; KVKK tedbirlerine uyum ve yaşayan sürecin yönetilmesi çalışmalarında en kritik olarak gördükleri başlığın sürekli ifade ettikleri “Kişisel Veri İşleme Envanteri Hazırlanması” olduğunu belirterek, şunları kaydetti: “Bazı danışmanlık firmalarının ‘Kişisel Veri İşleme Envanteri’ hazırlamak üzere hizmet verdikleri kamu kurumlarının ya da özel sektör firmalarının personelleriyle haftalar hatta aylar süren görüşmeler sonucunda oluşturdukları dokümanlar maalesef ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor.
Bu dokümanlar ağırlıklı olarak personel beyanlarını baz alarak oluşturuluyor. Personelin bilinçli ya da bilinçsiz olarak söylemediği bilgiler, personel bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor. Temeli iyi atılmamış bir binanın ilk depremde hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir envanter de telafisi mümkün olmayan zararlara zemin hazırlayabilir. Envanter, beyana dayalı manuel olarak değil, çağımıza uygun şekilde yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm personel bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Otomatik taramalarda kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığı görülüyor. Kişisel verileri tarama operasyonu otomatik hale geldiği için veriler üzerinde tam kontrol sağlanabiliyor. Vatandaş ya da Kişisel Verileri Koruma Kurumu taleplerine hızlı geri dönüş yapılabiliyor. Bu alanda 1kvkk ya da patriotkvkk adreslerinden idari ve teknik tedbirlere uyum ile ilgili daha detaylı bilgi alınabilir.”
Şirketlerdeki teknoloji çeşitliliğine cevap verebilecek yazılımlar tercih edilmelidir. Microsoft Windows ve Linux işletim sistemleri; Microsoft SQL, Oracle, MySQL, PostgreSQL, SQLite, H2 veri tabanları ve bunları kullanan çeşitli uygulamalar; PDF, Şifrelenmiş PDF, Microsoft Office (Word, Excel), CSV, TXT, TIFF, JPEG, GIF, PNG dahil olmak üzere çeşitli resim dosyaları ve bilinen yüzlerce dosya biçimi desteği olması önemlidir. Taranmış evraklarda en belirleyici kişisel veri olan T.C. Kimlik Numarası keşfini algoritmasına uygun olarak sıfır hata ile yapması süreçleri hızlandırır ve kolaylaştırır. Ek olarak; ad ve soyad, cep telefonu numarası, kredi kartı bilgileri, banka hesap bilgileri gibi Kişisel Verileri de -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Silinmesi gereken dosyaları KVKK’ya uygun olarak silebilmelidir. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir.
Yazılım çözümleri kullanıldığında danışmanlık firmalarının hizmet verdikleri kamu kurumlarının ya da özel sektör firmalarının personelleri ile haftalar hatta aylar boyunca yaptıkları verilerinizi nerelerde tutuyorsunuz gündemi olan toplantılar ortadan kalkıyor. Hizmet alanlar tasarruf ediyor. Hizmet verenler danışmanlık ekiplerini birkaç noktaya yığmak yerine birçok yere aynı anda hizmet verebilecek duruma geliyor. Yazılım ile insan hataları ortadan kaldırılıyor. Otomatik taramalarda kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığı görülüyor. Yazılım bunların tamamına teknolojik altyapı olarak destek veriyor. Devamında bu verilen hangilerinin tutulacağına, hangilerinin silineceğine ve anonim hale getirileceğine karar veriliyor. Hizmet alanlara zamandan ve bütçeden kazandırıyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahiptir.
Vatansever Bilişim Direktörü Sema Vatansever, KVKK’da yaptırımlarla yüzleşmek durumunda kalan şirketlerin son pişmanlığının fayda etmediğini ifade etti ve, “Kişisel Verileri Koruma Kurulu’nun şirketler karşısında verinin işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına kadar çok geniş yetkileri var. Şirketlerin sürecin mağduru olmaması için ilgili kişilerden gelen talepleri hızlı ve doğru biçimde cevaplaması gerekiyor. Vatansever Bilişim olarak iş birliği yaptığımız yerli ve milli çözümlerle buna uygun teknoloji altyapısı sağlıyoruz.” diyerek stratejik iş ortaklarıyla beraber KVKK idari ve teknik tedbirlere uyum kapsamında uçtan uca anahtar teslimi çözüm oluşturabildiklerini vurguladı.