Overbooking Hakkında Önemli Bilgiler

Kişisel Veri Belirleme Ve Nitelendirme Süreci Nasıl Yapılır?

23 Mart 2020adminYorum YokKategori: Genel

Kişisel Veri Belirleme Ve Nitelendirme Süreci Nasıl Yapılır?

İlk olarak yapılması gereken, bu işyerinde/kurumda hangi süreçlerin yürütüldüğünü tek tek belirlemek olacaktır.

Bunun için de birim bazında çalışma yapılması gerekir. Hangi birim, hangi süreci yürütürken hangi kişisel verileri işle­mektedir?

Yukarıdaki basit ama etkili soru, tüm kişisel verilerin ko­runması sürecini tamamen etkileyecek ve soruya verilecek cevap, tüm sisteminizin ne kadar sağlıklı olduğunu belirleye­cektir.

Adım adım yapılması gerekenler şöyle sıralanabilir:

  • Hangi birimler var?
  • Her birimde hangi süreçler ve faaliyetler yürütülüyor?
  • Faaliyetler yürütülürken hangi bilgiler/kişisel veriler alını­yor ve işleniyor?
  • Elde edilen kişisel veriler hangi amaçla işleniyor?
  • Verileri işleme hakkının hukuki sebebi nedir?
  • İşlenen kişisel verilerin niteliği nedir? Kişisel veri mi yoksa hassas kişisel veri mi?
  • İşlenen kişisel veriler kimleri ilgilendiriyor?
  • İşlenen veriler ne kadar süre saklanıyor?
  • İşlenen veriler yurt içinde ya da dışında başkalarına akta­rılıyor mu? Aktarılıyorsa kimlerle paylaşılıyor?
  • Kişisel verilerin korunması için alınan tedbirler neler?
  • Birimlerin Tespiti

Kişisel veri belirleme sürecinin ilk aşaması, birimlerin belir­lenmesidir. Akla şöyle bir soru gelebilir: Birimlerle uğraşma­dan, doğrudan kişisel verileri belirleyemez miyim?

Evet, bu mümkündür. Ancak birimlerin öncelikli olarak be­lirlenmesinin amacı, gözden bir şeyler kaçmasını engellemektir. Önce birimlerin, sonra süreçlerin ve sonra da faaliyetlerin belir­lenmesi adeta üçlü bir elek görevi yapacak ve hiçbir kişisel ve­rinin gözden kaçmamasını sağlayacaktır.

Ayrıca bu birimler, veri sorumlusunun yükümlü olması ha­linde; hem sicile kayıt sırasında hem de envanter hazırlanması sürecinde gerekecektir.

Eğer küçük ya da orta ölçekli bir işyerinden ya da işten bah­sediyorsak, tek bir kişi tüm birimleri inceleyebilirken; geniş kapsamlı bir faaliyetin yürütüldüğü büyük organizasyonlarsa, birden fazla kişi süreç çalışmalarında görevlendirilebilir ve gö­rev dağılımı da birim bazında yapılabilir.

Şimdi birkaç örnekle konuyu somutlaştıralım. Örneklerimi­zi her seferinde daha karmaşık hale getireceğiz ki; birim belir­leme süreci tam olarak anlaşılsın.

İlk olarak çok basit bir örnekle başlayalım. Özel hekim mu­ayenehanesi işyerinde, iki temel birim olacaktır: Hekimin mua­yene birimi ve hastaların karşılandığı sekreterlik birimi.

6 kişinin çalıştığı bir perakende satış mağazasında; müşteri­lere doğrudan satışın yapıldığı mağaza satış birimi ve varsa ör­neğin temizlik hizmetleri birimi olacaktır.

40 kişinin çalıştığı bir süpermarkette ya da birkaç şubeden oluşan marketler zincirinde; mağaza satış birimi, insan kaynak­ları birimi ve muhasebe birimi olacaktır.

Büyük ölçekli bir işyerinde; insan kaynakları, destek hiz­metleri, kurumsal ilişkiler, pazarlama, muhasebe ve bilgi işlem gibi birimler olacaktır.

Organizasyonda hangi birimlerin olduğunun tek tek belir­lenmesi ve fiilen iş yapan her birimin ayrıştırılması varmak iste­diğimiz sonuca ulaşmamızı hızlandıracaktır.

Süreçlerin ve Faaliyetlerin Tespiti

Her birimin yürütmekte olduğu bir ya da birden fazla süreci ya da faaliyeti olacaktır. Bu faaliyetlerin birim bazında belir­lenmesi gerekir.

Faaliyetler ve süreçler tam belirlenmeden bir sonraki aşa­maya geçilmemesi, bu aşamada hiçbir faaliyetin es geçilmemesi gerekir.

Faaliyetlerin nasıl belirleneceğini yine aynı örnekler üzerinden somutlaştıralım. îlk örneğimizdeki hekim muayenehanesinde iki birim vardı. Muayene biriminde gerçekleştirilen faaliyet “sağlık ve tedavi hizmeti verilmesi” olarak adlandmlabilirken, sekreterlik biriminde gerçekleştirilen faaliyetler “Halka ilişkiler”, “Hasta kay­dı yapılması” ve “Temizlik faaliyetleri” olarak belirlenebilir.

Perakende satış mağazasında satış birimi “satış yapılması” ve “tahsilat işlemleri” faaliyetleri yürütürken, temizlik hizmetle­ri birimi “temizlik işleri” faaliyetini gerçekleştirecektir.

Marketler zincirinde mağaza satış birimi “reyonların düzen­lenmesi”, “tahsilat yapılması” ve “ürün satışı” gibi faaliyetleri gerçekleştirirken insan kaynaklan birimi “işe alma”, “özlük dosyası işlemleri”, “eğitim planlaması”, “maaşların ödenmesi” gibi faaliyetleri yapacaktır. Muhasebe birimi ise “banka işlemle­rinin gerçekleştirilmesi” ve “muhasebe kayıtlarının tutulması” gibi süreçleri yönetecektir.

Elde Edilen Bilgilerin/Kişisel Verilerin Tespiti

Organizasyondaki birimleri ve bunların faaliyetlerini tespit ettikten sonra sıra, bu birimlerin faaliyetleri gerçekleştirirken hangi bilgileri elde ettiğini belirlemeye gelecektir.

Her bir faaliyet, illa ki veri elde edilmesini gerektirmez. Ör­neğin bir temizlik faaliyetinde ya da yemek yapılması faaliye­tinde elde edilen bir kişisel veri olmayabilir.

Önemli olan; her bir faaliyetin dikkatlice tetkik edilmesi ve kişisel veriye esas olabilecek bir belgenin/evrakın elde edilmesini sağlayıp sağlamadığının doğru şekilde tespit edil­mesidir.

Bunu belirlemek için ise şu sorunun her defasında sorulma­sı gerekir: Bu faaliyeti gerçekleştirirken talep ettiğim / elde etti­ğim bir bilgi ya da belge var mı?

Örneğin doktor muayenehanesindeki sekreterlik birimimim gerçekleştirdiği “hasta kayıt” sürecinde, hastaya ait aşağıdaki kişisel veriler elde edilmektedir:

  • Adı soyadı
  • Adres
  • Telefon numarası
  • Ödeme ve fatura kayıtları

Aynı muayenehanede “muayene biriminde” ise aşağıdaki kişisel veriler elde edilir:

  • Adı soyadı
  • Kişisel sağlık bilgileri
  • Kan grubu
  • Engellilik durumu

Ya da bir insan kaynakları sürecinde aşağıdaki kişisel veri­ler işlenebilir:

  • Ad soyad
  • Anne kızlık soyadı
  • TC kimlik numarası
  • Ana – baba adı
  • Nüfus cüzdanı seri no
  • Doğum tarihi
  • Doğum yeri
  • Medeni hal
  • Adres
  • Telefon numarası
  • Elektronik posta adresi
  • Bordro bilgileri
  • îşe giriş belgeleri
  • Performans değerlendirme raporları
  • Özgeçmiş
  • Diploma bilgisi
  • Sertifikalar
  • Alınan eğitimler ve kurslar
  • Sağlık raporu
  • Biyometrik bilgiler

Yukarıdaki bilgiler çoğaltılabilir ya da azaltılabilir. İnsan kaynakları birimi faaliyetlerini yürütürken hangi bilgilere ihti­yaç duyuyorsa, bunları çalışanlardan ya da adaylardan talep edecektir.

Elde edilen bilgilerden kişisel veri niteliği taşıyanların tek tek belirlenmesi ve bu listenin mümkün olduğunda detaylı dü­zenlenmesi gerekir.

Bu listenin iki aşamalı yapılması, envanter düzenlenmesi sı­rasında işleri kolaylaştıracaktır. İki aşamalı olmaktan kasıt; bir kişisel veri tespit edildiğinde, bunun ait olduğu kategorinin de belirlenmesidir.

Örneğin işlenen kişisel veri “adı-soyadı” ise bunun ait ol­duğu üst kategori “kimlik” kategorisi olacaktır. Ya da “adres” bilgisinin üst kategorisi “iletişim” ve “kredi risk bilgisi”nin ait olduğu kategori “fınans” olarak belirlenecektir.

Aşağıda ana kategorileri ve bu kategorilere giren kişisel ve­rileri bulabilirsiniz. Bu kategorileri ve kişisel verileri aşağıdakilerden bağımsız olarak genişletebilirsiniz:

  • Kimlik (Ad soyad, Anne-baba adı, Anne kızlık soyadı, Do­ğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sı­ra no, TC kimlik no v.b.)
  • İletişim (Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.)
  • Lokasyon (Bulunduğu yerin konum bilgileri v.b.)
  • Özlük (Bordro bilgileri, Disiplin soruşturması, İşe giriş bel­gesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.)
  • Hukuki işlem (Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.)
  • Müşteri işlem (Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.)
  • Fiziksel mekan güvenliği (Çalışan ve ziyaretçilerin giriş çı­kış kayıt bilgileri, Kamera kayıtları v.b.)
  • İşlem güvenliği (IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.)
  • Risk yönetimi (Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.)
  • Finans (Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.)
  • Mesleki deneyim (Diploma bilgileri, Gidilen kurslar, Mes­lek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.)
  • Pazarlama (Alışveriş geçmişi bilgileri, Anket, Çerez kayıt­ları, Kampanya çalışmasıyla elde edilen bilgiler v.b.)
  • Görsel ve işitsel kayıtlar (Video ve ses kayıtları v.b.)
  • Irk ve etnik köken (Irk ve etnik kökeni bilgileri v.b.)
  • Siyasi düşünce bilgileri (Siyasi düşüncesini belirten bilgiler, Siyasi parti üyeliği bilgisi v.b.)
  • Felsefi inanç, din, mezhep ve diğer inançlar (Diğer inançlarına ilişkin bilgiler, Dini aidiyetine ilişkin bilgiler, Felsefi inancına ilişkin bilgiler, Mezhep aidiyetine ilişkin bilgiler v.b.)
  • Kılık ve kıyafet (Kılık kıyafete ilişkin bilgiler v.b.)
  • Demek üyeliği (Dernek üyeliği bilgileri v.b.)
  • Vakıf üyeliği (Vakıf üyeliği bilgileri v.b.)
  • Sendika üyeliği (Sendika üyeliği bilgileri v.b.)
  • Sağlık bilgileri (Engcllilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.)
  • Cinsel hayat (Cinsel hayata ilişkin bilgiler v.b.)
  • Ceza mahkumiyeti ve güvenlik tedbirleri (Ceza mahkumiyeti­ne ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.)
  • Biyometrik veri (Avuç içi bilgileri, Parmak izi bilgileri, Re­tina taraması bilgileri, Yüz tanıma bilgileri v.b.)
  • Genetik veri (Genetik veriler v.b.)
  • Diğer bilgiler
  • Verilerin İşlenme Amaçlarının Belirlenmesi

Veri sorumlusunun dilediği her bilgiye, dilediği şekilde sa­hip olma hakkı yoktur. Örneğin iş başvurusunda bulunan bir adaydan anne ve babasının öğrenim durumu belgeleri istene­mez.

Benzer şekilde; marketten sadakat kartı talep eden bir müş­teriden adli sicil kaydı da istenemez. Bu uç örnekleri verme sebebim; işlenecek her bir verinin bir amaca dayanması gerekti­ğini vurgulamaktır.

Kişisel Verilerin Korunması Kanununa göre; kişisel veriler, işlenme amacıyla bağlantılı, ölçülü ve sınırlı şekilde işlenmelidir.

Dolayısıyla, eline bir bilgi geçen veri sorumlusu, bu kişisel veri için bir amaç tespit edemiyorsa bu durumda bu veriyi işlemcmeli veya işlenmişse söz konusu veriyi imha etmelidir.

Bunun doğal sonucu ise, işlenecek her kişisel veri için bir amaç belirlenmesi gerektiğidir. Bundan önceki aşamalarda önce birimleri tespit etmiş, birimlerdeki faaliyetleri belirlemiş, faali­yetler gerçekleştirilirken işlenen verileri üstelemiştik.

Şimdi yapılması gereken, her bir kişisel veri için bir işleme amacı belirlemektir. Amaçları tamamen serbest irademizle belir­leyebiliriz.

Burada önemli olan, amacın gerçekten de ölçülü, makul ve objektif olarak kabul edilebilir olmasıdır.

Aşağıda örnek amaçları görebilirsiniz:

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Sü­reçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar îçin İş Akdi ve Mevzuattan Kaynaklı Yükümlü­lüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yü­rütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülme­si
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürü­tülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınma­sı ve Değerlendirilmesi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütül­mesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütül­mesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • Organizasyon ve Etkinlik Yönetimi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Risk Yönetimi Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürü­tülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Sponsorluk Faaliyetlerinin Yürütülmesi
  • Stratejik Planlama Faaliyetlerinin Yürütülmesi
  • Talep / Şikayetlerin Takibi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ücret Politikasının Yürütülmesi
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yabancı Personel Çalışma ve Oturma İzni İşlemleri
  • Yatırım Süreçlerinin Yürütülmesi
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yetkili Kişi, Kuram ve Kuruluşlara Bilgi Verilmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  • Verilerin İşlenmesinin Hukuki Sebeplerinin Tespiti

Kişisel verilerin işlenmesi için, öncelikle işleme amaçları­nın belirlenmesi gerektiğini söylemiştik. Böylece keyfi şekilde kişisel veri elde edilmesinin önüne geçilebilir ve gerekli olandan fazla kişisel bilgi talep edilmesi engellenir.

Ancak bu tek başına yeterli değildir. Veri sorumlusunun, elde ettiği veriyi işlemek için makul ve geçerli bir amacının olması, o veriyi işlemek için tek başına kâfi gelmez.

Bu veri işleminin bir de hukuki dayanağının belirlenmesi gerekir. Şu sora, tam da bu anda sorulabilir: Alınacak her bir bilgi için nasıl bir hukuki dayanak bulabiliriz?

Öyle ya; işlenecek her bir verinin ne şekilde ve hangi şart­larda işlenebileceğinin kanunlarda tek tek yazması beklenemez. “Hukuki sebep”ten anlaşılması gereken, tek başına kanun metin­leri olmamalıdır.

  • Hukuki işlem (Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.)
  • Müşteri işlem (Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.)
  • Fiziksel mekan güvenliği (Çalışan ve ziyaretçilerin giriş çı­kış kayıt bilgileri, Kamera kayıtları v.b.)
  • İşlem güvenliği (IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.)
  • Risk yönetimi (Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.)
  • Finans (Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.)
  • Mesleki deneyim (Diploma bilgileri, Gidilen kurslar, Mes­lek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.)
  • Pazarlama (Alışveriş geçmişi bilgileri, Anket, Çerez kayıt­ları, Kampanya çalışmasıyla elde edilen bilgiler v.b.)
  • Görsel ve işitsel kayıtlar (Video ve ses kayıtları v.b.)
  • Irk ve etnik köken (Irk ve etnik kökeni bilgileri v.b.)
  • Siyasi düşünce bilgileri (Siyasi düşüncesini belirten bilgiler, Siyasi parti üyeliği bilgisi v.b.)
  • Felsefi inanç, din, mezhep ve diğer inançlar (Diğer inançlarına ilişkin bilgiler, Dini aidiyetine ilişkin bilgiler, Felsefi inancına ilişkin bilgiler, Mezhep aidiyetine ilişkin bilgiler v.b.)
  • Kılık ve kıyafet (Kılık kıyafete ilişkin bilgiler v.b.)
  • Demek üyeliği (Dernek üyeliği bilgileri v.b.)
  • Vakıf üyeliği (Vakıf üyeliği bilgileri v.b.)
  • Sendika üyeliği (Sendika üyeliği bilgileri v.b.)
  • Sağlık bilgileri (Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.)
  • Cinsel hayat (Cinsel hayata ilişkin bilgiler v.b.)
  • Ceza mahkumiyeti ve güvenlik tedbirleri (Ceza mahkumiyeti­ne ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.)
  • Biyometrik veri (Avuç içi bilgileri, Parmak izi bilgileri, Re­tina taraması bilgileri, Yüz tanıma bilgileri v.b.)
  • Genetik veri (Genetik veriler v.b.)
  • Diğer bilgiler
  • Verilerin İşlenme Amaçlarının Belirlenmesi

Veri sorumlusunun dilediği her bilgiye, dilediği şekilde sa­hip olma hakkı yoktur. Örneğin iş başvurusunda bulunan bir adaydan anne ve babasının öğrenim durumu belgeleri istene­mez.

Benzer şekilde; marketten sadakat kartı talep eden bir müş­teriden adli sicil kaydı da istenemez. Bu uç örnekleri verme sebebim; işlenecek her bir verinin bir amaca dayanması gerekti­ğini vurgulamaktır.

  • Etnik kökeni
  • Siyasi düşüncesi
  • Felsefi inancı
  • Dini, mezhebi veya diğer inançları
  • Kılık ve kıyafeti
  • Demek, vakıf ya da sendika üyeliği
  • Sağlığı
  • Cinsel hayatı
  • Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri
  • Biyometrik ve genetik verileri

Eğer işlenen kişisel veri özel nitelikli kişisel veri ise bunlara ilişkin kanunda öngörülen işleme şartları, işleme amaçları, yurt içine aktarım, yurt dışına aktarım ve alınması gereken güvenlik tedbirleri açısından farklılıklar olacağından, bunlara dikkat edilmesi gerekir.

Kişisel Verilerin Kimleri İlgilendirdiğinin Tespiti

Bu durumun teknik adı “veri konusu kişi grubunun belirlenmesidir. Hangi kişisel verinin kimi ilgilendirdiği belirlenir­ken, bunun tek tek her gerçek kişi için yapılması elbette çok zor olacaktır.

Burada yapılması gereken, kişi grupları belirlemektir. Böylece kişisel veri işlenirken, bunun hangi grupla ilgili olduğu da belli olacaktır.

Bir organizasyondaki kişi grupları ilk bakışta müşteriler, ça­lışanlar ve ortaklardan ibaret görülebilir. Ama bu liste genişletilebilir. Aşağıda örnek kişi gruplarını bulabilirsiniz:

  • Çalışan Adayı
  • Çalışan
  • Hissedar/Ortak
  • Potansiyel Ürün veya Hizmet Alıcısı
  • Stajyer
  • Tedarikçi Çalışanı
  • Tedarikçi Yetkilisi
  • Ürün veya Hizmet Alan Kişi
  • Veli / Vasi / Temsilci
  • Ziyaretçi
  • Alt İşveren
  • Bayi
  • İş/çözüm Ortağı
  • Şirket Yetkilisi
  • Talep/Şikâyet Sahibi
  • Aile Bireyleri ve Yakın Bilgisi
  • Kişisel Verilerin Saklama ve İmha Süresinin Tespiti

Kişisel verileri işlemek, veri sorumlusuna, onlara sonsuza kadar sahip olma hakkı vermez. Kitabımızın ilgili bölümünde anlatıldığı üzere, şartlan oluştuğunda kişisel verilerin silinmesi ya da yok edilmesi gerekecektir.

İşte veri sorumluları tarafından, kişisel verilerin ne kadar süre saklanacağı ve sürenin bitiminde imha işlemi uygulanaca­ğına ilişkin belirlemenin yapılması gerekir.

Veri sorumluları, işledikleri kişisel verilere ilişkin saklama sürelerini belirlerken öncelikle işlenen kişisel verilerle ilgili mevzuatta herhangi bir saklama süresi öngörülüp öngörülmedi­ğine bakmalıdır. İlgili mevzuatta bir süre öngörülmüşse saklama süresi olarak bu süre belirtilmelidir.

Saklama süresi tek tek ve “kişisel veri bazında” belirlenme­lidir. Belirleme örneğin aşağıdaki şekillerde yapılabilir:

  • Kimlik/20 yıl
  • Özlük dosyası / Hukuki ilişki sürdüğü sürece ve +10 yıl
  • Müşteri işlemleri / 10 yıl
  • Mesleki deneyim / Hukuki ilişki sürdüğü sürece + 10 yıl
  • Görsel ve işitsel kayıtlar / 2 yıl
  • Biyometrik veri / İstihdam süresince
  • Ceza ve güvenlik tedbirleri bilgisi / İstihdam süresince +5 yıl
  • Sağlık bilgileri / İstihdam süresince +5 yıl

Burada dikkat edilmesi gereken iki temel husus vardır. İlk olarak, her bir veri kategorisi için mutlaka süre belirtilmeli; ikinci olarak ise, kanunlarda açıkça öngörülen yasal saklama yükümlülüklerine dikkat edilmelidir.

Kişisel Verilerin Aktarılıp Aktarılmadığının Tespiti

Kişisel veriye sahip olan bir veri sorumlusu, bu verileri kimseyle paylaşmayabilir. Ama uygulamada özellikle kimlik, iletişim gibi temel bilgiler başkalarıyla sık sık paylaşılmaktadır.

İşte her bir kişisel veri grubunun kimlerle paylaşıldığı da açıkça belirlenmelidir. Bu paylaşımın sadece yurt içinde mi yapıldığı, yoksa yurt dışına bilgi aktarımın da yapılıp yapılma­dığı tespit edilmelidir.

Verilerin aktarıldığı alıcı grupları şunlar olabilir:

  • Gerçek kişiler veya özel hukuk tüzel kişileri
  • Hissedarlar
  • îş Ortakları
  • İştirakler ve bağlı ortaklıklar
  • Tedarikçiler
  • Topluluk Şirketleri
  • Yetkili Kamu Kurum ve Kuruluşları
  • Kişisel Verilerin Korunması İçin Alınan Tedbirlerin Tespiti

6698 sayılı Kanuna göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere huku­ka aykırı olarak erişilmesini önlemek ve kişisel verilerin muha­fazasını sağlamak amacıyla uygun güvenlik düzeyini temin et­meye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlularının bu kapsamda, kişisel verilerin muhafa­zası için aldığı tedbirleri belirlemesi gerekir.

Güvenlik tedbirleri idari ve teknik olarak kendi içinde ay­rılmalı ve her bir güvenlik tedbirinin türü böylece belirlenmeli­dir.

Aşağıda, örnek şeklinde mevcut olan bazı güvenlik tedbirle­rini görebilirsiniz:

  • Ağ güvenliği ve uygulama güvenliğinin sağlanması
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kul­lanılması
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınması
  • Bulutta depolanan kişisel verilerin güvenliğinin sağlanması
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin dü­zenlemeleri olması
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılması
  • Çalışanlar için yetki matrisi oluşturulması
  • Erişim loğlarının düzenli olarak tutulması
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konula­rında kurumsal politikalar hazırlanmış ve uygulamaya baş­lanmış olması

Gizlilik taahhütnameleri yapılması

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin iptali
  • Güncel anti-virüs sistemleri kullanılması
  • Güvenlik duvarları kullanılması
  • İmzalanan sözleşmelerin veri güvenliği hükümleri içermesi
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınması ve ilgili evrakın gizlilik dereceli belge formatında gönderilmesi
  • Kişisel veri güvenliği politika ve prosedürlerinin belirlen­mesi
  • Kişisel veri güvenliği sorunlarının hızlı bir şekilde rapor- lanması
  • Kişisel veri güvenliğinin takibinin yapılması
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliğinin sağlanması
  • Kişisel veri içeren ortamların güvenliğinin sağlanması
  • Kişisel verilerin mümkün olduğunca azaltılması
  • Kişisel verilerin yedeklenmesi ve yedeklenen kişisel verile­rin güvenliğinin de sağlanması
  • Kullanıcı hesap yönetimi ve yetki kontrol sisteminin uygu­lanmakta olup bunların takibinin de yapılması.
  • Kurum içi periyodik ve/veya rastgele denetimlerin yapılma­sı ve yaptırılması.
  • Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması
  • Mevcut risk ve tehditlerin belirlenmesi
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürlerin belirlenmiş ve uygulanıyor olması
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönde­rilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmesi
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografık anahtarlar kullanılması ve farklı birimlerce yö­netilmesi
  • Saldırı tespit ve önleme sistemleri kullanılması
  • Sızma testi uygulanması
  • Siber güvenlik önlemleri alınması ve uygulanmasının sü­rekli takip edilmesi
  • Şifreleme yapılması
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nite­likli kişiler verilerin şifrelenerek aktarılması
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konu­sunda belli aralıklarla denetiminin sağlanması
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konu­sunda farkındalığımn sağlanması
  • Veri kaybı önleme yazılımları kullanılması