INmagazine Sayı 15 | Page 22

HUKUK Görsel www.freepik.com sitesinden alınmıştır. 20 belirli aralıklarla bu planın gözden geçirilmesi gerektiği dü- zenlenmiştir. Bu çerçevede veri sorumlularının takip etme- sinin uygun olacağını düşündüğüm adımları, -örnek olması açısından ve elbette çoğaltılmasının mümkün olduğunu da belirterek- aşağıda sıraladım. Süreç adımlarının bunlarla sınırlı olmayabileceğini, veri sorumlularının organizasyon yapılarına göre de süreçlerin farklılık göstereceğini de not etmek isterim. i) Veri İhlali Tanımı: öncelikle hangi durumların veri ihlali niteliğinde olduğu konusunda organizasyondaki ilgili ekiple- rin eğitimi, v) Müdahale: veri ihlalini ortadan kaldırmaya ve tekrar- lanmasını önlemeye yönelik aksiyonlar vi) Bildirim Süreçleri: Kurul’a ve ilgili kişilere yapılacak bildirim içeriklerinin hazırlanması Yukarıdaki süreçlerin doğru ve eksiksiz tamamlanması için olmazsa olmaz hususun organizasyonel yapı ve sorumlu- lukların da net şekilde belirlenmiş olması olduğunu, bu süreçleri takip edecek, bu kapsamda rol ve sorumlukları belirlenmiş çalışanlar/birimler görevlendirilmiş olması ge- rektiğini de önemle vurgulamak isterim. ii) Veri İhlal Tespiti: soru seti vb yöntemlerle ihlal tespiti- nin nasıl yapılacağına ilişkin süreç oluşturulması, iii) İhlal Bildirim Kanallarının Belirlenmesi: çalışan, müşteri, iş ortakları ve bunun gibi ihlal bildiriminde bulu- nabilecek paydaşların belirlenmesi; iletişim kurabilecekleri kanalların belirlenmesi ve ilgili kanalları yöneten ekiplerin sürecin nasıl ilerlemesi gerektiği ile ilgili eğitilmesi iv) Veri İhlali Analizi: ihlalin değerlendirme detayları, ihlale konu verilerin niteliği (özel nitelikli olup olmadığı), saklandıkları ortam, üçüncü kişilere aktarılıp aktarılmadı- ğının tespiti Kaynak: Cathay Pasific Airway Limited kararı https://kvkk.gov.tr/Icerik/5480/2019-144 Marriott International Inc. Kararı https://kvkk.gov.tr/Icerik/5479/2019-143 Clickbus Seyahat Hizmetleri A.Ş. Kararı https://kvkk.gov.tr/Icerik/5478/2019-141 Netice itibariyle veri ihlali yaşanmaması için gerekli teknik ve idari tedbirlerin alınması kadar, veri ihlali gerçekleşmesi halindeki sürecin hukuka uygun ve doğru yönetilmesinin de son derece önemli olduğu, bu gibi durumlarda sürecin doğru yönetilememesinin veri sorumlularının kamuoyu nezdinde ciddi itibar kaybına yol açabileceği ve kişisel veri güvenliğine yönelik düzenlemelere uyum sağlayabilen bir kurum kültürü oluşturmak için tespit, süreç oluşturma, analiz, müdahale aksiyonlarının belirlenmesi ve doğru şe- kilde, eksiksiz işletilmesinin sağlanması gerektiği unutul- mamalıdır.