HUKUK
Görsel www.freepik.com sitesinden alınmıştır.
20
belirli aralıklarla bu planın gözden geçirilmesi gerektiği dü-
zenlenmiştir. Bu çerçevede veri sorumlularının takip etme-
sinin uygun olacağını düşündüğüm adımları, -örnek olması
açısından ve elbette çoğaltılmasının mümkün olduğunu da
belirterek- aşağıda sıraladım. Süreç adımlarının bunlarla
sınırlı olmayabileceğini, veri sorumlularının organizasyon
yapılarına göre de süreçlerin farklılık göstereceğini de not
etmek isterim.
i) Veri İhlali Tanımı: öncelikle hangi durumların veri ihlali
niteliğinde olduğu konusunda organizasyondaki ilgili ekiple-
rin eğitimi,
v) Müdahale: veri ihlalini ortadan kaldırmaya ve tekrar-
lanmasını önlemeye yönelik aksiyonlar
vi) Bildirim Süreçleri: Kurul’a ve ilgili kişilere yapılacak
bildirim içeriklerinin hazırlanması
Yukarıdaki süreçlerin doğru ve eksiksiz tamamlanması için
olmazsa olmaz hususun organizasyonel yapı ve sorumlu-
lukların da net şekilde belirlenmiş olması olduğunu, bu
süreçleri takip edecek, bu kapsamda rol ve sorumlukları
belirlenmiş çalışanlar/birimler görevlendirilmiş olması ge-
rektiğini de önemle vurgulamak isterim.
ii) Veri İhlal Tespiti: soru seti vb yöntemlerle ihlal tespiti-
nin nasıl yapılacağına ilişkin süreç oluşturulması,
iii) İhlal Bildirim Kanallarının Belirlenmesi: çalışan,
müşteri, iş ortakları ve bunun gibi ihlal bildiriminde bulu-
nabilecek paydaşların belirlenmesi; iletişim kurabilecekleri
kanalların belirlenmesi ve ilgili kanalları yöneten ekiplerin
sürecin nasıl ilerlemesi gerektiği ile ilgili eğitilmesi
iv) Veri İhlali Analizi: ihlalin değerlendirme detayları,
ihlale konu verilerin niteliği (özel nitelikli olup olmadığı),
saklandıkları ortam, üçüncü kişilere aktarılıp aktarılmadı-
ğının tespiti
Kaynak: Cathay Pasific Airway Limited kararı https://kvkk.gov.tr/Icerik/5480/2019-144
Marriott International Inc. Kararı https://kvkk.gov.tr/Icerik/5479/2019-143
Clickbus Seyahat Hizmetleri A.Ş. Kararı https://kvkk.gov.tr/Icerik/5478/2019-141
Netice itibariyle veri ihlali yaşanmaması için gerekli teknik
ve idari tedbirlerin alınması kadar, veri ihlali gerçekleşmesi
halindeki sürecin hukuka uygun ve doğru yönetilmesinin
de son derece önemli olduğu, bu gibi durumlarda sürecin
doğru yönetilememesinin veri sorumlularının kamuoyu
nezdinde ciddi itibar kaybına yol açabileceği ve kişisel veri
güvenliğine yönelik düzenlemelere uyum sağlayabilen bir
kurum kültürü oluşturmak için tespit, süreç oluşturma,
analiz, müdahale aksiyonlarının belirlenmesi ve doğru şe-
kilde, eksiksiz işletilmesinin sağlanması gerektiği unutul-
mamalıdır.