Privacy by Design & Mahremiyet Etki Değerlendirme Analizi

 

Kişisel veri gizliliği ve güvenliğiveri ve verilerin işlenmesi arasındaki ilişkiyi ifade etmektedir. Gerek genel nitelikli genel özel nitelikli kişisel veri olsun bu bilgiler niteliği gereği hassas olduğundan, ilgili verilerin kontrolü ve paylaşılmasıyla ilgili çeşitli hukuki ve politik konular söz konusudur. Özellikle kişisel veri düzenlemeleri incelendiğinde bu tür mevzuatların hem geriye dönük hem de sürekli değişen ve gelişen bir doğası olduğu görülecektir. Bu nedenle, ilgili hukuki mevzuata uyum, kurumların bu zorluklarla karşı karşıya kaldıklarında iç ve dış uygulama ve yaklaşımları ile bakış açılarını sürekli olarak yeniden değerlendirmelerini gerektirir.
 
Teknolojik gelişmelere bağlı olarak, kişisel verilerin hızlı bir şekilde her türlü yöntemle işlenmesi potansiyeli gün geçtikçe artmaktadır. Düzenleyici kanun koyucu ve uygulayıcı otoriteler kişisel verilerin işlenmesi uygulamalarına ilişkin yönergeler sağlasalar da düzenlemeler çoğu zaman her türlü senaryoyu ele almakta yetersiz kalmaktadır. Bu nedenle, mevcut uyum altyapısına sahip olmayan küçük ticari işletme ve kurumlar, kişisel veri güvenliği ile bilgi gizliliği konusunda hızlı bir şekilde rehberlik hizmetlerine erişememektedir. GRC LEGAL olarak temin ettiğimiz danışmanlık hizmetleri ile büyük veya küçük fark etmeksizin yaşayan mevzuat dahilinde olabilecek en üst seviyede uyumluluğu sağlamak ve riski minimize etmek adına gizlilik ve mahremiyet kültürünü kurumlara yerleştirmeye çalışmaktayız. Bu kapsamda kurum içi süreçlerin analizi ile mahremiyet etki değerlendirme çalışması yapılarak süreç bazlı açık kapıların alınması; tekil bazlı olaylara göre değil genel itibarlı gizlilik kurgusu üzerine çalışmalar yapmaktayız.
 
Özel Mevzuatlar + Uygulama ve Uyumlandırma
Günümüzde elektronik yollarla işlenen kişisel verilerin kapsamı büyük ölçüde değişmektedir. Ek olarak, ilgili mevzuat kapsamında uyulması gereken işleme özellikleri, toplanan her veri türü ve toplanma yöntemi açısından farklılık gösterebilir. Örneğin, özel nitelikli kişisel veri kategorilerinden sağlık bilgilerinin toplanmasıSağlık Bakanlığı ve ilgili mevzuata uyumluluk gerektirirken; genel nitelikli kişisel veri işleyen bir eğitim kurumu Millî Eğitim Bakanlığı mevzuatına, enerji sektöründe faal bir şirket özel olarak Enerji Piyasası Düzenleme Kurumu uygulamalarına da aynı anda uyumluluk göstermek durumunda olacaktır. Şirketler, özellikle stratejik pazarlama faaliyetleri ve ürün ve hizmet pazarlama süreçleri kapsamında veri toplama ihtiyacı için internet sitesi kullanıcıları ve ziyaretçilerinin hakları arasında makul bir menfaat-yarar dengesi kurmalıdır. Bu itibarla GRC LEGAL olarak yaptığımız kişisel verilerin korunması uyumluluk çalışmalarında bu menfaat dengesini gözeterek mevzuat çatışması yaratabilecek özel tabiyetleri de göz önünde bulunduruyoruz.
 
Bu çalışmaların sonucunda Şirket için risk analizi ve mevcut durum değerlendirmesi sürecine istinaden ‘Mahremiyet Etki Değerlendirmesi’ raporu oluşturulacaktır. Bu Rapor ile;
  • Gerçek kişi verilerinin, Şirket ticari faaliyetleri dışındaki veri türevlerini de kapsayacak şekilde veri kategorileri tanımlarının oluşturulmasını ve Veri Envanterinin tespit edilmesi,
  • Veri işlemenin yanında hassasiyet arz eden bir uygulama olan Veri Transferi yani verinin Şirket (ya da ülke) içi ve Şirket (ya da ülke) dışı birimler ile paylaşılması hususu gibi KVKK uyum çerçevesinde detaylıca gözetilmesi gereken farklı usul ve esaslara uygun dokümantasyon ve süreçlerin oluşturulması ve
  • Bu yönde (denetimsürdürülebilirlikyeniden yapılandırma, vb.) çalışmaların devam ettirilmesi ile olası risk ve cezaların bertaraf edilmesi ve mevcut durum karşısında Şirket açısından ihlalle ve yaptırımla sonuçlanabilecek risklerin önlenmesi, hedeflenmektedir.