24/3/2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu`nda, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu sektörü tarafından çeşitli amaçlarla sıkça toplanmakta, işlenmekte, paylaşılmakta ve saklanmaktadır. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi, bazen de kuruluş çalışanının verisi olabilmektedir.
Kişisel veriler, asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme gelmektedir. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır.
Kurum ve kuruluşları ilgilendiren temel soru ise: “Vatandaştan, müşterilerimizden ve çalışanlarımızdan emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurum ve kuruluşlar, Kişisel Verilerin Korunması Kanunu`na da uyumlu olacaklardır.
Kişisel veriler, asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme gelmektedir. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır.
Kurum ve kuruluşları ilgilendiren temel soru ise: “Vatandaştan, müşterilerimizden ve çalışanlarımızdan emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurum ve kuruluşlar, Kişisel Verilerin Korunması Kanunu`na da uyumlu olacaklardır.
Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri:
Kişisel veri sorumlusu belirlemek
Kişisel veri politikası oluşturmak
Kişisel veri envanteri oluşturmak
Kişisel verilerle ilgili riskleri yönetmek
Kişisel veri toplama yöntemlerini belirlemek
Kişisel veri işleme yöntemlerini belirlemek
Kişisel veri saklama yöntemlerini belirlemek
Kişisel veri paylaşma yöntemlerini belirlemek
Kişisel veri güvenliğini sağlama yöntemlerini belirlemek
Kişisel veri imha yöntemlerini belirlemek
Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek
olarak özetleyebileceğimiz Kişisel Veri Yönetimi çalışmalarının uygulanmasına bağlıdır. Yukarıda özetlenen kişisel veri yönetim çalışmaları ile ilgili temel ilkeler, BS 10012 Kişisel Bilgi Yönetim Sistemi Standardında tanımlanmıştır. Bu standarda uyum, Kişisel Verilerin Korunması Kanunu`na uyum sağlamayı amaçlayan kurum ve kuruluşlara, kişisel veri yönetimi çalışmalarını uygulama yolunda rehber olacaktır.
Hizmetler
BS 10012 Boşluk Analizi
Kuruluşun iş süreçleri incelenerek, BS 10012 Kişisel Bilgi Yönetim Standardı gerekliliklerine ne derece uyum sağlandığı tespit edilir. Uyumun gereken düzeyde bulunmadığı alanlarda, tespit edilen eksiklikler ve bu eksikliklerin standarda uyum sağlamak amacıyla nasıl giderileceği konusunda çözüm önerileri sunulur. “BS 10012 Kişisel Bilgi Yönetim Sistemi standardına şu anki durumumuz ne derece uygundur?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.
Kişisel Bilgi Risk Yönetimi
Kuruluşun kişisel bilgilerinin, bulunduğu tüm ortamlarda, gizlilik bütünlük ve erişilebilirlik gereksinimleri göz önünde bulundurularak, bu bilgileri etkileyebilecek tehditler, tehditlerin gerçekleşmesine zemin hazırlayan zafiyetler tespit edilir. Tehditlerin gerçekleşmesi durumunda iş süreçlerine etkisi ve tehditlerin gerçekleşme olasılığı belirlenerek kişisel bilgi risk seviyeleri hesaplanır. Azaltılması kararlaştırılan riskler için aksiyon planları hazırlanır. “Kişisel bilgi güvenliği risklerimiz nelerdir, bu riskleri nasıl yönetmeliyiz?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.
Kişisel Bilgi Envanteri Hazırlanması
Kuruluşun iş süreçleri incelenerek, BS 10012 Kişisel Bilgi Yönetim Standardı gerekliliklerine ne derece uyum sağlandığı tespit edilir. Uyumun gereken düzeyde bulunmadığı alanlarda, tespit edilen eksiklikler ve bu eksikliklerin standarda uyum sağlamak amacıyla nasıl giderileceği konusunda çözüm önerileri sunulur. “BS 10012 Kişisel Bilgi Yönetim Sistemi standardına şu anki durumumuz ne derece uygundur?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.
Kişisel Bilgi Yönetim Sistemi Kurulumu
Kuruluşun kişisel bilgi yönetimini sağlamak ve Kişisel Verilerin Korunması Kanunu`na uyum çalışmalarını kolaylaştırmak amacıyla, BS 10012 standardına uygun bir yönetim sisteminin kurulması çalışmasıdır. “Kişisel bilgi yönetimini iyi uygulamalar ve standartlara uygun olarak uçtan uca nasıl yapmalıyız?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.
