Turizm işletmeleri KVKK'nın önemini ne kadar kavradı?

Önemi henüz idrak edilemeyen Kişisel Verilerin Korunması Kanunu (KVKK) konusu yoruma açık olarak çözümlenmeyi beklemektedir.

29/09/2018 00:49
Osman Ergin

YAZAR

Yazarın Tüm Yazıları
Turizm işletmeleri KVKK'nın önemini ne kadar kavradı?

Günümüz teknolojik ortamında küçük, orta, büyük ve diğer devasa işletmeleri bir yana bırakın, her milletten misafiri ağırlama ve uğurlama görevini üstlenen turizm işletmeleri başta olmak üzere; toplumun en küçük ögesi olan her bireyi ilgilendirmesine rağmen, önemi henüz idrak edilemeyen Kişisel Verilerin Korunması Kanunu (KVKK) konusu yoruma açık olarak çözümlenmeyi bekliyor.

Kişisel Verilerin Korunması; birçok işletme tarafından içeriği tam olarak bilinmemekle birlikte; aslında gerekli uyum süreçleri tamamlanmadığı takdirde çok ciddi hukuki yaptırımları olan bir konu olarak karşımıza çıkıyor. KVKK konusunu ele aldığımızda; bu sürecin iki ana başlık ve iki operasyon altında çalışabildiğini, bu ana başlıklarında“Hukuki Süreçler ve Bilgi Güvenliği Analiz Süreçleri” olduğunu görmekteyiz.

"Bilgi Güvenliği Süreçleri" iki fazda gerçekleşiyor

Hukuki süreçler konusunu kısaca özetlemek gerekirse;bu sürecin, firmanın tüm sözleşmeleri ve verileri ile ilgili; tedarikçi sözleşmeleri - personel sözleşmeleri, kişi verisi içeren dokümanlar ve diğerlerinin, Hukuki Analizler Bilişim Hukuku Avukatı tarafından tamamlandıktan sonra tüm sözleşmelerin ve bunların saklanma, yok edilme prosedürlerinin(KVKK) Kişisel Verilerin Korunması Kanununa göre düzenlenmesi ve yönetilmesi konusu olduğunu söylemek yeterlidir.

Bu bağlamda; “Bilgi Güvenliği Süreçleri” iki fazda gerçekleşmekte olup; ilk önce firmanın tüm Digital(Elektronik Veri) –Hardcopy(Fiziksel Evrak) verileri ve kullanıcıların bu verilere erişim yetkileri ile ilgili bir analiz çalışması yapılmakta,yapılan bu çalışmaya da “Veri Sınıflandırma Çalışması” denilmektedir.

Son aşamada “Personel Bilgi Güvenliği Farkındalık Eğitimleri” veriliyor

Sonrasında firmada  içerden dışarı ve dışardan içeri sızma testleri yapılıp, firmadaki verilerin dışarı çıkarılabileceği risk alanları tespit edilerek, tüm bu risk alanları analizleri bir rapor haline getirildikten sonra firmanın dikkatine sunulmaktadır.

Son aşamada; “Personel Bilgi Güvenliği Farkındalık Eğitimleri” verilip; bilgi sızmalarına karşı personel eğitilerek, bilinçli hale getirilmekte ve herhangi bir sızıntıya sebep oldukları Loglama (İçerideki tüm veri hareketlerinin kullanıcı bazlı kayıt altına alınması) yapıları tarafından tespit edildiğinde; ne tarz hukuki yaptırımlar ile muhatap olacakları ile ilgili bilgilendirilmiş olmaktadırlar.

Süreçler tamamlandığında firma tamamen KVKK’ ya uygun hale geliyor

Bilgi güvenliği tarafındaki ikinci kısım ise; İmplementation (verinin dışarı çıkması noktasında tespit edilmiş ve raporlanmış açıklar ile ilgili; sistemde kurgulanması gereken IT mimarisinin uygulamalarının yapılması) süreçleridir. Tüm bu süreçler tamamlandığında; firma tamamen KVKK’ ya uygun hale gelecek ve önümüzdeki dönemlerde işletmelerin devamı açısından hayati bir hale gelecek bu konu ile ilgili risk te ortadan kalkmış olacaktır.

Sonuç olarak; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile bağlı ikincil Mevzuat ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberler kapsamında şirketlerin uyum süreçlerini tamamlamış olmaları gerekmekte olup; bu doğrultudagerçekleştirilmesi gereken çalışmalar bir sonraki köşe yazımızda ele alınacaktır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU (2)

Özellikle faaliyet konusu turizm olan tüm işletmeleri yakından ilgilendiren; 6698 sayılı (KVKK) Kişisel Verilerin Korunması Kanunu ile bağlı ikincil mevzuat ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberler kapsamında şirketlerin uyum süreçlerini tamamlamış olmaları gerekmekte ve bu doğrultuda gerçekleştirilmesi gereken çalışmalar da aşağıda açıklanmaktadır.

 

Bunlar:

* Şirket uygulamalarının ve şirketler tarafından kullanılmakta olan dokümanların incelenerek, bunların ilgili mevzuat hükümleri ile uyumlu hale getirilmesi,

* KişiselVerilerin Korunmasına ilişkin mevzuatın getirdikleri ve bu kapsamda şirketçe yapılması gerekenler ile alınması gereken önlemlerin belirlenmesi,

* 25.05.2018 tarihinde yürürlüğe girmiş olan; Avrupa BirliğiTüzüğü(General Data ProtectionRegulation) GPDR hükümlerinin şirket açısından bağlayıcı olup olmadığının tespiti ve bağlayıcılık halinde şirket ek yükümlülüklerinin belirlenmesi ile uyumun temini,

* KişiselVeri İşleme Envanterinin oluşturulması; bu kapsamda veri kategorizasyonunun yapılması, verilerin hangi amaçlarla işlendiğinin belirlenmesi, belirlenen amaç doğrultusunda azami saklama sürelerinin hukuka uygun surette tespiti, verilerin aktarıldığı alıcı gruplarının netleştirilmesi, yurt dışına aktarım var ise (bulut hizmetleri de dahil olmak üzere sunucuların yurt dışında bulunması da yurt dışına aktarım kapsamındadır) bu hususun envantere kaydedilmesi,

* Kişisel Verilerin Korunması ve İşlenmesine dair şirket politikasının oluşturulması,

* KişiselVeri İşleme Envanterine dayanarak kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesine dair şirket imha politikasının oluşturulması,

 * 6698 sayılı Kanun’un Geçici 1.Maddesi kapsamında; kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerden, yayım tarihinden itibaren iki yıl içinde kanun hükümlerine uygun hâle getirilmeyenlerin tespiti ile bunların derhâl silinmesi, yok edilmesi veya anonim hâle getirilmesi,

* Periyodik imha süreçlerinin belirlenmesi ve azami saklama süreleri dikkate alınarak; ilk periyodik imha döneminde (imha politikasına haiz şirketler yönünden en geç 30.06.2018 tarihinde ilk periyodik imha işlemi yapılmalıdır) silinecek, yok edilecek veya anonim hale getirilecek olan verilerin tespiti,

* Kişisel veri sahiplerine yönelik aydınlatma metinlerinin oluşturulması,

* Kanuni istisnalardan yararlanılamayan işleme faaliyetleri açısından kişisel veri sahiplerine yönelik muvafakatname örneklerinin oluşturulması,

* Kişisel veri sahiplerinin, veri sorumlusu olan şirketlereyapacağıbaşvurulara dair formun oluşturulması,

* Şirketçalışanları için bilgilendirme metinlerinin hazırlanması,

*Kanuni istisnalardan yararlanılamayan çalışan verilerini işleme faaliyetleri açısından çalışanlara yönelik muvafakatname örneklerinin oluşturulması,

* Şirket çalışanları ile akdedilen iş sözleşmelerine, personel yönetmeliklerine ve personel görev tanımlarına kişisel verileri koruma mevzuatına yönelik hükümlerin/yükümlülüklerin eklenmesi, bu yükümlülüklere aykırılık halinde uygulanacak yaptırımların disiplin yönetmeliğinde düzenlenmesi,

* Şirketteki konumu sebebiyle işveren vekiline, diğerçalışanlara, sair üçüncü gerçek kişilere ait kişisel verilere temas etmekte olan şirket çalışanlarına imzalatılmak üzere taahhütname hazırlanması,

* Şirketçalışanlarına bilgi güvenliği ve kişisel verilerin işlenmesi ile korunması konusunda eğitimler verilmesi ve katılımların belgelendirilmesi, bu eğitimlerin hangi durumlarda ve hangi sıklıkla tekrarlanacağına dair prosedürün belirlenmesi,

* Bilgi güvenliği ve kişisel verileri koruma mevzuatı uyarınca yazılımsal, donanımsal ve çevresel faktörler değerlendirilerek risk analizinin yapılması, risk analiz sonucuna göre alınması gereken teknik ve idari tedbirlerin uygulamaya geçirilmesi,

* Şirkete gerçekleştirdiği iş başvurusu sebebiyle kişisel verileri işlenençalışan adaylarına yönelik bilgilendirme ve muvafakatname metinlerinin oluşturulması,

* Şirketle arasındaki hizmet akdinin sona ermesini takiben çalışanlarınbaşkaca firmalara iş başvurusunda bulunması sebebiyle, bu firmalarca gerçekleştirilecek referans araştırmaları kapsamında şirkete yöneltilecek soruların yanıtlanıp yanıtlanmayacağının belirlenebilmesi için iştenayrılış referans onay formu ve iştenayrılış referans red formu hazırlanması,

* Şirket alt işverenlerinden ve yüklenicilerinden temin edilen, bunların çalışanlarına ait işlenenkişisel verilerine ilişkin faaliyetin ölçülü olup olmadığının tespiti, ölçüsüz olanların imha edilmesi,

* Şirketin işbirliği içinde olduğu kurum/firmalara, kişisel verilerin korunmasına dair imza ettirilecek taahhütnamelerin oluşturulması.

Sonuç olarak; cezai yaptırımlarda aşağıda belirtilerek konunun önemi izah edilmiştir.

Kanun ile tanınan 2 yıllık uyum süresi 07.04.2018 tarihinde dolduğundan, herhangi bir idari yaptırıma (6698 sayılı Kanun ile belirlenen idari para cezaları 5.000-TL alt sınırından başlayıp; 1.000.000-TL üst sınıra kadar değişkenlik göstermektedir) maruz kalmamak adına henüz uyum sürecini tamamlayan şirketlerin, teknik ve idari tedbirleri ivedilikle alması gerekmektedir.

(IT - BT) Bilişim Teknolojileri

(*) Yazının hazırlanması aşamasında “ARMS Stratejik Danışmanlık”

Yetkilisi Siber Güvenlik Uzmanı Serhat Aydemir'in bilgisine başvurulmuştur.

 

 

Yazar Bilgisi

Osman Ergin

YAZAR

Yazarın Tüm Yazıları

Yorumlar