Kivuz

VERBİS KAYDINIZI YAPTIRDINIZ, PEKİ YA SONRASI?

VERBİS NEDİR?


Verbis, KVK Kurumunun ilk etapta 50+ çalışanı olan veya 25 M₺ üzeri aktif büyüklüğe sahip firmaların kişisel veri işleme süreçlerinin bildirimlerini yapmakla mükellef oldukları resmi portaldır. Önümüzdeki süreçte bahsi geçen kapsama girmesine karşın Verbis kaydını yapmayan firmalar 1M₺ ye kadar cezalarla karşılaşabilecekler (ceza limitleri 2021 yılında daha da artacak).

İlk etapta bu cezalardan kaçınmak için pek çok firma önlemler almak istedi ve Avukatlarından, Mali Müşavirlerinden, Danışmanlarından bu konularla alakalı destek alıp çoğu olması gerektiği gibi hummalı bir uğraşın sonucunda Verbis kayıtlarını gerçekleştirdiler. Hali hazırda Verbis kaydını gerçekleştirmemiş firmalar da, öyle düşünüyorum ki en kısa zamanda bu yasal yükümlülüklerini yerine getirmek adına ya bir arayış içerisindedirler, ya da çalışmaları çok yoğun emek gerektirdiği için henüz neticelendirmemişlerdir. Fakat belki bu yazıda vereceğim en net mesaj şu olacak ki; Verbis kaydı işin sadece başlangıcıdır. Bunu kişisel verileri koruma mevzuatı üzerinde yoğun çalışmalar gerçekleştirmiş pek çok profesyonel çok iyi okumuştur eminim. Fakat izlenimlerime göre, işin organizasyonlar tarafındaki farkındalığının henüz tam oturmuş olduğunu söylemem çok güç. Kanunun kabulünden bu yana geçen yaklaşık 4 yıllık süreçte maalesef yaşadığımız yoğun tempolu ticari ve sosyal süreçlerin de etkisiyle genellikle işler son güne sıkıştı…

Ama endişelenmeye lüzum yok, her geçen gün uzman danışmanlarımızın ve konuyla ilgili çözüm üreten bilişim firmalarımızın çalışmaları organizasyonların bu farkındalık ve uyum ihtiyaçlarını tam anlamda kapsayıcı çözümler üretme noktasında çok ciddi çabalar ve geliştirmeler içerisindeler. En kısa zamanda suyun akıp yolunu bulacağını ve tüm şirketlerimizde ve organizasyonlarımızda bu farkındalığın SGK mevzuatı gibi, çalışan hakları gibi bir kültür olarak oturacağını düşünüyorum. Zaten yasanın özünde amaçlarından birisi de kişisel veri mahremiyetini en üst seviyede sağlamak, bu konu bireyler olarak tüm halkımızı ilgilendiren hassas bir konu şüphesiz.

VERBİS’E KAYDOLARAK NE YAPMIŞ OLDUK?


Verbis’e kayıt olan organizasyonların; hangi süreçlerinde, hangi kişi gruplarının hangi kişisel verilerini, hangi hukuki dayanaklar ve amaçlar çerçevesinde, ne kadar süre sakladıklarını, kimlerle paylaştıklarını, bu verilerin güvenliği için ne tip önlemler aldıklarını kuruma beyan ettiklerini söyleyebiliriz. Bu beyan aynı zamanda bir taahhüt hükmündedir, şöyle ki; firmalar VERBİS sistemine tanımladıkları ve dolayısıyla kuruma bildirdikleri yöntemler ve sınırlar çerçevesinde kişisel veri işleyemezler. Eğer beyanları ile uygulamaları örtüşmüyor ise olağan ve-veya şikayetler sonucu gerçekleştirilen denetimler nihayetinde ciddi yaptırımlarla karşılaşabilirler.

Bu adıma kadar altını çizmek istediği husus; VERBİS sistemine tanımlanan tüm süreç ve bilgilerin gerçekle örtüşmesi ve kanun ve ilgili mevzuata uyumlu olması gerekliliği.

Kişisel Verilerin Korunması Kanununda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak kurgulanmış bir sistemin VERBİS sistemine tanıtılmasının ardından asıl yönetilmesi gereken süreç başlıyor. Ben bu süreci “kişisel veri güvenliğinin yeni normali” olarak tanımlıyorum.

ALMAMIZ GEREKEN ÖNLEMLER NELERDİR?


Sadece VERBİS’e kayıtlı organizasyonların değil, tüm kişisel veri işleyen organizasyonların işledikleri kişisel verilerin güvenliğini sağlamakla ilgili yükümlülükleri vardır. Bu yükümlülükler KVK mevzuatında ve kurumun yayınlarında detaylı şekilde ele alınmıştır. Alınması gereken önlemleri İdari ve Teknik önlemler olarak iki başlıkta ele almak mümkündür.

İdari önlemler kişisel veri güvenliği sürecinin hukuka uygun şekilde işletilme sürecini tanımlar. İdari önlemleri kurum şu başlıklar altıda ele almıştır;


İDARİ ÖNLEMLER

  • Mevcut Risk ve Tehditlerin Belirlenmesi
  • Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
  • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
  • Kişisel Verilerin Mümkün Olduğunca Azaltılması
  • Veri İşleyenler ile İlişkilerin Yönetimi

TEKNİK ÖNLEMLER


Teknik önlemler kısmı ise bilişim teknolojileri ve spesifik olarak bilgi güvenliği yazılım – donanım ve sistem altyapısıyla ilişkilidir.

  • Siber Güvenliğin Sağlanması
  • Kişisel Veri Güvenliğinin Takibi
  • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
  • Kişisel Verilerin Bulutta Depolanması
  • Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
  • Kişisel Verilerin Yedeklenmesi
Teknik ve idari tedbirlerin tüm başlıkları Kurumun yayınladığı Kişisel Veri Güvenliği Rehberinde ve VERBİS Kılavuzunda detaylıca ele alınmıştır.


SONUÇ OLARAK;

Yalın anlamıyla VERBİS kaydınızı yapmanız her ne kadar önemli olsa da tek başına kesinlikle yeterli değildir. KVKK yönetimi dinamik bir süreçtir ve tanımlanan sorumlulukların tümü eksiksiz olarak yürütülmelidir.
Tepe yöneticiler, sevk ve idare ettikleri kadroların bu hassas süreçler ile ilgili hazırlıklarının yeterliliğini değerlendirmelidirler. Cezai müeyyidelerden ve daha önemlisi organizasyonunuza güvenen kişilerin verilerinin güvenliğini ve dolayısıyla kişilerin güvenini kaybetmemeniz adına alınan tedbirlerinizi gözden geçirmenizi öneririm.

KVKK yeterliliğini sağlamakla görevlendirilen yönetici – çalışanlarınıza şu soruları sorabilirsiniz;

  • Firmamız açık rıza ve aydınlatma yönetimini nasıl gerçekleştiriyor? Gerektiği zaman alınan açık rızaların ve yapılan aydınlatmaların ispatını nasıl sağlıyoruz?
  • Çağrı merkezi, insan kaynakları, satış temsilcileri, anketörler, analiz uzmanları gibi organizasyonda kişisel veriler ile ilgili işlem yapan tüm personel KVKK konusunda eğitimli mi? Eğitimlerinin seviyesi nedir? Gerektiği zaman bu eğitimlere sahip olduklarını kanıtlayabilir miyiz? Oryantasyon sürecimize KVKK farkındalık eğitimini tanımladık mı? Eğitim planımızda KVKK eğitimlerine nasıl yer verdik?
  • Web sitelerimizden toplanan, kullandığımız yazılımlarda işlenen, işimiz gereği 3. taraflara aktarımını gerçekleştirdiğimiz kişisel bilgilerin aktarımı hangi yöntemlerle yapılıyor? Teknik boyutta dijital ve fiziksel veri depolama birimlerinin güvenlikleri ne seviyededir? Kanun ve ilgili mevzuatta belirtilen esaslara uyum derecemiz nedir?
  • Bütün kişisel veri içeren fiziksel / elektronik arşivlerde yer alan dokümanların yasaya uygun şekilde gizlilik dereceleri, imha tarihleri ve prosedürleri belirlendi mi? Uygulanıyor mu? İmha periyotlarımız nelerdir?
  • Verilerini işlediğimiz / bulundurduğumuz kişiler kendi verileri ile ilgili bir işlem yapılmasını istediklerinde bize nasıl ulaşıyorlar? Ne kadar sürede ve nasıl bir süreçle geri bildirim sağlıyoruz?
  • VERBİS sistemine tanımladığımız yöntemler gerçek durumumuzla örtüşüyor mu?
  • İrtibat kişisi olarak atadığımız personel bütün mevzuat esaslarına hakim hale geldi mi?
Bu sorulara alacağınız cevaplar ile eminim zihninizde yeterliliğiniz konusunda bu soruları sormamış bir yöneticiye nazaran daha net bir resim oluşturacak. Fakat daha detaylı ve kapsamlı bir analize tüm organizasyonların ihtiyacı olduğu şüphesiz…

Neyse ki yazılım mühendislerimiz böyle bir analizi hayata geçirdi. İlgilenenleriniz olursa lütfen burada yorum yaparak veya özel mesajla bana ulaşsın.
Bu yazıyı daha fazla uzatmamak adına açık rıza & aydınlatma yönetimi, bildirim yönetimi, imha yönetimi, teknik yeterlilik yönetimi, süreç yönetimi vb. ile ilgili aktarmayı planladığım detayları ikinci yazıma bırakıyorum.

KVKK konusuyla ilgili aklınıza takılan her hususta yardımcı olmaktan memnuniyet duyarım.

Hepinize sağlıklı ve keyifli günler dilerim.
Etiketler
Tarih: 18-12-2020
#VERBİS
#KVVK
#KİVUZ
#KişiselVeriGüvenliği
#İdariTedbirler
#TeknikTedbirler