Kurumlar, Başta Kişisel Verilerin Envanterini Çıkarmalı"

Kişisel Verilerin Korunması Kanunu hakkında Wise TV'ye konuşan İnnova Yönetim Sistemleri Takım Lideri Tolga Budak, kurumların Kişisel Verilerin Korunması Kanunu'na uyum sağlaması için neler yapmaları gerektiği hakkında detaylı bilgilendirmelerde bulundu.

Kurumların işledikleri kişisel verilerin korunması için kanunun gerektirdiği bazı koşulları yerine getirmesi gerektiğine dikkat çeken Budak, "Başta kişisel verilerin envanterini çıkarmak öncelikli görevleri arasında. Kişisel veri envanterinde ne tip kişisel veriler bulunduğu, bunları nerelerde tuttukları, nerelere transfer ettikleri, kimlerle paylaştıkları ve ne kadar süre ile tutmaları gerektiğini belirlemeleri gerekiyor. Akabinde kişisel veri envanteri üzerinden bir risk analizi çalışması yapılmalı. Hem kanunun gereksinimleri açısından hem de bu kişisel bilgileri korumak açısından ne tür riskleri olduğunu kurumların görmesi gerekiyor. Burada belirlenen risklerin bertaraf edilmesi için bir risk indirgeme çalışması yapılmalı. Burada da idari ve teknik kontrollerin belirlenmesi gerekiyor. Belirlenen idari ve teknik kontrollerin sürekliliğinin sağlanması içinde kişisel veri yönetimi ile ilgili süreçler tanımlanmalı ve kurum içerisinde uygulamaya alınmalıdır. Aynı zamanda kurumlar da, kişisel veri yönetimiyle ilgili süreçleri kendi çalışanlarına tanıtması, bu konuda çalışanlarını da bilinçlendirmelerini bekliyoruz." diyerek konuşmalarına devam etti.

"KİŞİSEL VERİYLE İLGİLİ KARAR VERECEK KİŞİSEL VERİ SORUMLUSU ATANMALI"

Kurum veya firmaların kendi içlerinde kanuna uyumlu düzenlemeler yapılması gerektiği konusunda da bilgi veren Budak, "Kanunun gereksinimlerinden biri olan kişisel veriyle ilgili yönetim kararlarını verecek, kurumun özel ya da tüzel kişilikte bir kişisel veri sorumlusu ataması, akabinde de bu kişisel veri sorumlusunun yetkilendirdiği, kişisel veri işleme sorumluları tanımlanmalı ve kişisel veri sorumlusunun da sicil kaydı yapılmalıdır. Kurumların işledikleri kişisel verilerle ilgili, bu kişisel verileri aldıkları kişisel veri sahiplerinden açık rızalarını almaları, bunlarla ilgili veri sahiplerinin herhangi bir bilgilendirme ihtiyacı duyduğunda uygun mekanizmalarla da bilgilendirme yapmaları gerekmektedir. Aynı zamanda sistemin zafiyetlerini gidermek ve sürekli iyileştirmesi anlamında da iç denetim mekanizmalarının, dinamiklerinin oluşturulması gerekmektedir." dedi.