Tasarımda Gizlilik Kavramı ve GDPR m.25

Abone Ol

Kişisel Verilerin Korunmasının şirketlerde pratikte nasıl sağlanacağı ve yöntem belirlenmesi açısından tartışmalar gittikçe derinleşecek ve bu aşamada da şirketlere verilen idari para cezaları artarak devam edecek. Ülkemizde henüz sektör ile tam anlamı ile bir araya gelinmiş değil ve net bir çerçeve çizilmiş görünmüyor. KVKK düzenlemesinin çok yeterli olmadığını her platformda ifade etmek gerekir ve birtakım yeniliklerin düzenlemeye açıklıkla işlenmesi için alanda çalışanların, bizlerin üzerine çok büyük yükümlülükler düşüyor.

Türkiye’de şirketlerin gerektiğinden fazla kişisel veri işlemesinin en büyük nedeni Kamu Kurum ve Kuruluşları tarafından toplanılması zorunlu olmasından kaynaklanıyor. Örneğin sağlık sektöründe veriyi işlemenin de, görüntülemenin de çok fazla olduğunu gözlemliyoruz. Öyle ki veri işlendikten sonra çok fazla kuruma da aktarım sağlanıyor. Sağlık verilerinin emniyete aktarıldığı durumlardan dahi söz ediyoruz. Bu işleme faaliyetinin “tüm güvenlik önlemlerini şirketler almalı ancak işleme kamu kurum ve kuruluşları için yapılmalı” gibi orantısız bir çerçeve karşımıza çıkıyor ve şirketlerin varlığını sürdürebilmesi de kamu kurum ve kuruluşlarının taleplerini karşılamaktan geçiyor.

Kamu kurum ve kuruluşlarının kayıt istisnası altında tutulduğu ve veri işleme faaliyetinin de büyük bir bölümünün kendi adlarına yapıldığı düşünülür ise burada da sorumluluğu paylaştırmak gerekiyor ancak buna dair bir yasal düzenleme mevcut değil.

GDPR m.25’de düzenlenen “Tasarımda Gizlilik” kavramı aslında genel tanımı ile çok yeni ve farklı bir kavram değil ve tüm yükümlülükleri de içinde barındırıyor. Tasarımda gizlilikten kastedilen, şirketlerin kişisel verileri işlerken sistemi ile ilgili, işlediği tüm vasıtaları yeniden tasarlaması ve kişisel verilerin korunması anlamında başlangıçta önlemini almasıdır. Ben burada kullanılan teknolojinin ya da satın alınan teknolojinin de kişisel verilerin korunması için tasarlanması gerektiğini ifade etmenin daha doğru olduğunu düşünüyorum. Mevcut sistemleri kişisel verinin korunması için düzenlemek ve sonradan yüklenen programlarla ya da eklemelerle çözümün amacına varmayacağını ifade etmek isterim.

Örneğin datanın sakladığı server ya da bilgisayarların koruma açısından yeterli önlemlerin alındığı bir mekanizma şeklinde tasarlanması, verilerin imhası, anonimleştirilmesi, gereken uyarıların yapılması, verinin ayrıştırılması, fazla veri depolamama konusunda gereken uyarıların verilmesi gibi sistemlerin başlangıçta varolması şirketlerin bu konuda oldukça yüksek düzeyde korunmasını sağlayacak ve güvenli bir zemine taşıyacaktır. Şirketler kaygı ya da haklarında verilecek idari cezalarla iş yapamaz hale gelecek ve bu kaygı şirketlerin dağılmasına yol açacaktır. Çalışan motivasyonlarının dahi düştüğü gözlemlenmektedir.

Tasarımda gizlilik sadece dijital mekanizmaların tasarlanma aşamasında kişisel verilerin korunması gereği tasarlanmasını kastetmemekte, örneğin verinin işlendiği başvuru formlarının, online formlarda yer alan taleplerin de toplanan kişisel verileri minimize edecek şekilde oluşturulması, doldurulması zorunlu alanların azaltılması yönünde tasarlanması gerektiğini kastetmektedir.

Yani;

- Evraklarda doldurulması zorunlu alanların azaltılması sağlanmalı, doldurulması gereken alanlar dışında fazla bir alan bulunmamalı. (Örneğin hasta hakları formunda cinsiyet bilgisinin sorulması, konaklama belgelerinde hobilerin sorulması gibi… Bu alanlar kaldırılmalıdır.)

- Dijital alanda maskeleme, takma ad kullanımı, anonimleştirme gibi sistemlerin kurulu olması ve kullanım ile ilgili talimatların çok iyi tanımlanması gerekmektedir.

- Kişisel veri işlenen bilgisayarlarda tüm operasyonların ve verinin üzerinde gerçekleştirilen işlemlerin görünmesi ve raporlanması için sistem geliştirmek ve daha çok şeffaflığın sağlanması,

- Kişisel verisi işlenen ilgili kişinin verisine erişim taleplerine hızlı yanıt verecek sistemlerin kurulması.( Kişiye kullanıcı adı ve şifre verilerek verisinin tüm geçmişini görüntüleme imkanı sağlanması, belli alanlar üzerinde değişiklik sağlanması hakkının tanınması gibi…)

- Veriyi işlemeden önce doğal olarak işlenmesi zorunlu olan veri kalıpları geliştirilmeli ve işlenmesi zorunlu veriden daha fazla bir veri sisteme yüklenememelidir.

Her ne kadar şirketler yazılımcılardan bu konuda destek almak zorunda ise de ülkemizde yazılım şirketlerinin standardizasyonunun da tam olarak sağlanmadığı ortadadır. Bu konuda standartlar geliştirilip, bu standartları sağlayan yazılımcıların şirketlerle buluşmasının sağlanması veri koruma otoritelerinin yükümlülükleri arasındadır.

Yazılımcıların tasarladıkları teknolojik ürünlere KVKK ve GDPR’ye uyumludur yazdıkları günlere doğru evrilirken, kişisel verilerin işlenmesinin tamamen açık rıza şartına bağlanması ve istisnaların sınırlanmasından başka bir çözüm bizi idari para cezalarından koruyamaz gibi görünüyor. Şu an için açık rıza alınmaması gereken hususlarda açık rızanın alınması da ceza konusu.

Gelişmeler için takip edin.