Kişisel Verilerin Korunması ve ISO 27001 BGYS

Dijital dönüşümle birlikte kurumların ve işletmelerin gündeminde olan ana konulardan birisi de bilgi güvenliğidir. Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve erişe bilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi demektir. Kurumlar siber saldırılara karşı bilgi güvenliğinin sağlanması ve iş sürekliliği için ISO/IEC 27001:2013 Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardını uygulamayı tercih etmektedir. ISO 27001 BGYS kuruluşlarda bilginin güvenliğini sağlamak için uygulanan dokümantasyon sistemidir ve günümüz bilgi yoğun dijital dünyasında önemli konulardan birisidir.

Kişisel verilerin korunması ile ilgili kanun, yönetmelikler ve tebliğler incelendiğinde KVKK’yı “kayıt”, “veri güvenliği” ve “silme işlemi” olmak üzere üç ana başlıkta toplamak yanlış olmaz.

“ Kayıt ” başlığı altında Kişisel ve özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurtiçi ve yurtdışında aktarılması ve açık rıza konularını kapsadığını düşünebiliriz.

KVKK Kanunun 12. maddesinde ve Kişisel Veri Güvenliği Rehberi’nde “Veri güvenliği” konusu detaylı olarak ele alınmış olduğu görülmektedir. Söz konusu bu başlık altında kurumların; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamaları kaçınılmazdır.

KVKK Kanunda yer alan ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında çıkarılan yönetmelik ve rehberle “silme” konusu KVKK’nın en kritik başlıklarından birisidir. Silme işlemi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Diğer taraftan kurumların açık rıza metinleri, aydınlatma yükümlülüğü, politika, prosedür, kişisel veri işleme envanteri, veri sorumluları sicili gibi dokümanları hazırlaması, ilgili kişilerin başvuru ve şikâyet taleplerinin alınması amacıyla şirket içi düzenleme yapmaları gerekmektedir.

Bütün bu bilgilere istinaden KVKK ile BGYS arasındaki ilişki KVKK’nın üç ana süreci dikkate alarak değerlendirilebilir. Üç ana süreçten “kayıt” ve “silme işlemleri” kanunun kendisine özgü süreçleridir ve BGYS’den bağımsızdır. Bu nedenle “kayıt” ve “silme işlemlerinin” BGYS maddeleri ile ilişkisi bulunmamaktadır.

Kişisel Verileri Koruma Kurulu’nun yayımladığı Veri Güvenliği Rehberi incelendiğinde KVKK’nın ana başlıklarından birisi olan “veri güvenliğinin” BGYS ile doğrudan ilişkili olduğu anlaşılmaktadır (Burada ISO 27001’in önemi ortaya çıkmaktadır). VKK’da kişisel veri güvenliğine ilişkin tedbirler; idari ve teknik olmak üzere iki bölümde ele alınmıştır.

KVKK Kurumunun Veri Güvenliği Rehberi’nde görüldüğü üzere kanun kurumlardan; mevcut olan risk ve tehditlerin belirlenmesini, çalışanların eğitilmesini ve farkındalık çalışmalarını, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesini, kişisel verilerin mümkün olduğunca azaltılmasını, veri işleyenler ile ilişkilerin yönetimi için idari tedbir alınmasını gerektiğini açıkça belirtmektedir.

Kurumlardan; siber güvenliğin sağlanmasını, kişisel veri güvenliğinin takibini, kişisel veri içeren ortamların güvenliğinin sağlanmasını, kişisel verilerin bulutta depolanmasını, bilgi teknolojileri sistemlerinin tedariki, geliştirilmesini, bakımı ve kişisel verilerin yedeklenmesini alınması gereken teknik tedbirler olarak beklemektedir.

İdari Tedbirler tablosunda yer alan Risk Analizleri konusu BGYS’nin ele aldığı temel konulardan birisi olup  ISO 27001 BGYS bulunan iş riski yaklaşımını esas almaktadır. BGYS, ( ISO 27001 ) bilgi güvenliğinin oluşturulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi amacına yönelik tasarlanmış bir yapıdır. BGYS (ISO 27001)’nin içeriğinde süreçler, bilgi teknolojileri ve personel davranışları bulunmaktadır.  Kurum kültürünün olmaması durumunda kurum kültürünü oluşturabileceği gibi kurum kültürünün var olduğu yerlerde ise onun bir parçası haline gelecek şekilde tüm faaliyetlerde de uygulanabilir.