hukuk


















            masına başlarken ilk olarak ve her                 projenin başarısının anahtarıdır.                 lendirme sonucunda bazı veri işleme
            zamanki gibi yönetimin desteğini                                                                     faaliyetleri için ‘açık rıza’ alınması,

            alınmalıdır. Bu, uyum çalışmasının                 Kişisel Veri Envanteri (“Envanter”)               bazıları için süreçte değişiklikler
            -proje de diyebiliriz- üst düzey bir               hazırlığı diğer bir kritik uyum adı-              yapılması, bazılarının da faaliyeti-

            yönetici sponsorluğunda yapılması                  mıdır. Envanter, uyum projesi esna-               ne son verilmesi sonuçları çıkabilir.
            anlamına gelir. Hatta, konunun ge-                 sında ve daha sonra sürdürülmesi                  Uyum projesinin bir diğer kritik adı-
            niş yani fonksiyonlar arası olması                 için yapılması ve yürütülmesi gere-               mı da bu hukuki analiz sonucunda

            münasebeti ile ilgili üst düzey yöne-              ken çoğu işe girdi sağlar. Envanter,              ortaya çıkan aksiyonların gerçekleş-
            ticilerin bir araya geldiği bir komite             veri sahibi, veri kategorisi ve işleme            tirilmesidir. Ortaya çıkacak olan ak-

            hem uyum çalışması esnasında hem                   amacı kategorileri bazında unique                 siyonlar önceden ön görülemezdir.
            de uyumun sürdürülmesinde değer                    olmalı (veri işleme faaliyeti) ve diğer           Dolayısı ile projeye başlandığında
            katacaktır.                                        gerekli kategoriler de belirlenerek               bunlar ile ilgili bir hazırlık yapılması

                                                               formatı hazırlanmalıdır. Envanter                 mümkün değildir. Söz konusu ana-
            Uyum çalışması bir proje yönetim                   oluşturulmadan önce, envanterin                   liz sonucunda belirlenen aksiyonlar

            metodolojisi vasıtası ile yürütül-                 dolayısı ile daha sonra girdisi olaca-            detaylı incelenerek, aralarındaki ilişki
            medir. Aksi taktirde, gereksinimleri               ğı iş ve süreçlerin kalitesi için, kurum          ve bağımlılıklar tespit edilmeli ve
            ve alt gereksinimleri, sayıca fazla                genelindeki veri sahibi, veri katego-             projeye dahil edilmelidirler.

            paydaşı, tarafı, iletişimi, işler arasın-          risi, işleme amacı, paylaşılan taraf ve
            daki ilişkiyi ve bağımlılıkları, takvimi,          saklama alanları gibi kategorilerin               Kanun’un veri sahibi talep yönetimi,

            bütçeyi ve riskleri yönetmek müm-                  parametreleri çıkarılmalı ve stan-                denetim, KVKK Kurul iletişimi, veri
            kün olmayacaktır. Dolayısı ile uyum                dardize edilmelidir. Envanter hazır-              güvenliği ve veri ihlali gereksinimleri
            projesinin ikinci adımı olarak proje-              lığının en etkin yöntemi iş birimleri             için yeni süreçler tasarlanmalı, tüm

            ye bir proje yöneticisi atanmalıdır.               ile yapılan toplantılar ile süreç bazlı           bu süreçler KVKK yönetişiminin bir
            Uyum sonrasında, KVKK yönetişimi                   kişisel veri akışını çıkarmaktır. Bu              parçası olarak görülmelidir. KVKK

            için konuya adanmış bir rol gerekli-               bilgilerin kurumun tümünden ortak                 Yönetişimi ve ilgili süreçler tasarla-
            liği olacaktır. Proje yöneticisi olarak,           bir dilde ve kısıtlı zamanda alınması             nırken kurumun halihazırdaki me-
            eğer mümkünse bu role aday kişinin                 sebebiyle KVKK uyum projelerinin                  kanizmaları (Denetim, Eğitim, Bilgi

            atanması uyum ve sürdürülmesi ile                  en riskli adımlarından biridir envan-             Güvenliği ve Olay Yönetimi, Kurum-
            ilgili kalite ve verimliliği arttıracak-           ter hazırlığı. Gerçekleştirilen uyum              sal İletişim, Komiteler gibi) tutarlılık,

            tır. Kurumun ölçeğine ve kültürüne                 çalışmaları incelendiğinde envanter               etkinlik ve verimlilik için gözetilme-
            göre geleneksel veya çevik proje yö-               hazırlığının, projenin süresinde en               lidir.
            netim metotları belirlenebilir, hibrit             belirleyici ve risklerin en çok gerçek-

            bir uygulama da uygun olabilir.                    leştiği adım olduğu görülmektedir.                Son olarak, kişisel verilerin korun-
                                                               Bu çalışmadaki riskleri yönetmek ve               masının tıpkı bilgi güvenliği gibi risk

            Uyum projesinin üçüncü adımı far-                  envanter kalitesini arttırmak için, ça-           odaklı bir bakış açısı ile ele alınması
            kındalığı oluşturmak olmalıdır. Daha               lışma öncesi farkındalığın arttırılma-            gerektiğini söylemeliyiz. Hangi kişi-
            önceki yazımızda gerekçelerini de                  sı, envanter formatının belirlenmesi              sel veri işleme risklerinin hangi sevi-

            izah ettiğimiz üzere KVKK hayatımı-                ve parametrelerinin standartlaştırıl-             yede nasıl bertaraf edileceğini veya
            za yeni kavramlar ve iş yapış şekilleri            ması gerekir. Envanter formatı ha-                hangi risklerin kabul edileceğini,

            getirmiştir. Tüm kurumu etkileyen                  zırlanırken, kurumun sürekli değişen              kurumun rekabet ve yenilik getirme
            ve kurumun tümünün çalışmalara                     ve gelişen faaliyet ve fonksiyonlarını            ihtiyaçlarını gözeterek belirlemek
            bizzat dahil olduğu, ancak henüz                   yakalayabilecek, yani güncelliği sağ-             stratejik bir karardır. Bu sebepledir

            algılarda yer almamış kompleks bir                 lanabilecek bir yapı kurulmalıdır.                ki, KVKK’ya uyum üst düzey yöne-
            konunun başarıyla tamamlanması                                                                       tim tarafından sahiplenilmeli ve bir

            beklenemez. KVKK uyumu, kurum                      Envanterin hazırlanmasını mütea-                  kurum kültürü olarak kurumun en
            kültürünün merkezde olduğu bir                     kip, her bir veri işleme faaliyeti için           ufak birimlerine kadar yaygınlaştırıl-
            değişim projesidir ve farkındalık bu               hukuki analiz yapılmalıdır. Bu değer-             malıdır.






                                                                                                                                           E-DERGİ • SAYI 8  61