Kişisel Verilerin Korunması Kanunu'na ("KVKK") uyum için yapılmış gereken pek çok şey var elbette. Uyum programının hayata geçirilmesi, temel işleme faaliyetlerinin ve süreçlerinin belirlenmesi, işleme ve aktarım açısından hukuka uygunluk sebeplerinin tespiti ve teknik ve idari tedbirlerin alınması bunların başında geliyor.

Ama veri sorumlusu ve veri işleyenler için uyum bir yönetim işi aslında. Bunu yönetecek bir uyum görevlisinin atanması çok faydalı olabilir; ama zorunlu olmadığı gibi uygulamada pek çok şirket açısından da tercih edilir olmadığını görüyoruz. Onun yerine uyum komitelerinin kurulması ve ilgili departmanlardan yöneticilerin katılımıyla uyumun sağlanması yolu tercih ediliyor. Uyum komitelerinde hukukçular ve teknik kişiler yanında pazarlama, insan kaynakları ve muhasebe departmanlarından da yöneticiler yer alıyor.

Peki insan kaynakları yöneticilerinin bu süreçler içinde olması ne kadar önemli?

Gerçekten çok önemli.

Ama bunun nedeni, sadece çalışan verilerin işlenmesi açısından yapılması gerekenler değil. Bundan ziyade, kişisel verilerin korunması ve güvenliğinin sağlanması açısından belirlenen şirket politikalarının doğru ve tam yürütülmesi için insan faktörünün yönetilmesinde insan kaynakları yöneticilerine ihtiyaç var.

İnsan faktörü derken neyi kastediyoruz?

Aslında veri işleme faaliyetlerini veri sorumlusu ve/veya veri işleyen adına fiilen yürüten kişilerin, yani çalışanların, özellikle veri güvenliği açısından taşıdıkları önemli rolü ve buna bağlı insan hatasından kaynaklanabilecek risk faktörünü kastediyoruz.

Veri güvenliğini sadece en güncel güvenlik sistemlerini kurmaktan ibaret sanmak çok büyük bir yanılgıdır.

"Veri yeni altındır." deyimini son yıllarda çok fazla duyar olduk. Bu dijital dönüşümün de bir sonucu elbette. Özellikle, iş modelleri ağırlıklı kişisel verilerin işlenmesine dayanan şirketler açısından bu verilerin güvenliğini sağlamak artık çok önemli. Kişisel veri ihlalleri, son yılların en önemli konularından biri. Daha önce de paylaştığımız Wall Street Journal gazete haberini burada tekrar not etmekte fayda var. Haberde, normal bir kişinin sosyal sigorta numarasına 0.05 Dolar, belirli bir kişiye ait sosyal sigorta numarasına ise 3 Dolar değer biçildiliği yazıyor. Tıbbi kayıtlara 5 Dolar, kredi kartı bilgileriyle birlikte kişisel veriler 7-11 Dolar olarak değer biçildiği belirtiliyor. Bir banka hesap kullanıcı ismi ve şifreleri için ise 1.100 Dolar. Veri koruma otoritelerinin (Kişisel Verileri Koruma Kurulu da dahil) veri ihlalleri ve güvenlik önlemlerindeki eksiklikler dolayısıyla son bir yıldır artan bir şekilde ciddi para cezaları kesmesi de elbette bunun bir sonucu.

Bugün artık, hackerların en iyi korunan gizli servis bürolarının bile verilerine ulaşabildiğini dikkate alırsak veri güvenliğini sadece en güncel yazılımları almak ve güvenlik sistemlerini kurmaktan ibaret sanmak çok büyük bir yanılgı olur.

Veri güvenliği için gerekli temel teknik ve idari tedbirler alınıp hayata geçirilirken, esas bunları uygulamakla yetkilendirilmiş /görevlendirilmiş kişiler açısından "insan faktörünün" dikkate alınmasının gerektiği açık.

"İnsan faktörü"nü yönetecek olanlar kim?

En başta insan kaynakları yöneticileri ve organizasyon şemasında raporlama zincirinin üstündekiler.

Bu da esasen, insan kaynakları yöneticilerinin işe alımdan başlayarak, ilgili kişilerin şirketteki çalışma hayatı boyunca "veri güvenliği odaklı insan kaynakları yönetimini" gerektiriyor. Burada elbette sadece veri koruma ve güvenliğine dair eğitimlerin verilmesinden bahsetmiyoruz. Özellikle,

  • veri güvenliği açısından kilit rolde olabilecek kişilerin seçimi,
  • bu süreçten başlayarak işveren-çalışan ilişkisinin yakından takibi ve yönetimi,
  • ilgili pozisyona bağlı özel risk faktörlerinin önceden tespiti ve
  • bunlara karşı alınacak tedbirlerin prosedür şeklinde belirlenmesi ve bunlara bağlı olarak insan faktörünün yönetiminden

bahsediyoruz. Bunların hayata geçirilebilmesi için de insan kaynakları yöneticilerinin kişisel verilerin korunması ve güvenliği konusunda farkındalıklarının çok üst seviyede olması gerekiyor.

Daha önce, " Kvkk acisindan veri ihlalinde bulunan calisanin durumuna dair degerlendirme/" başlıklı blog yazımızda İngiltere'deki ünlü Morrisons davasından bahsetmiştik. Bahsi geçen dava konusu olayda, Morrisons çalışanları, isimlerinin, adreslerinin, cinsiyetlerinin, doğum tarihlerinin, telefon numaralarının, sosyal güvenlik numaralarının, banka kodlarının, banka hesap detayları ve ücretlerinin internette paylaşıldığını fark ediyorlar. Bu veri sızıntısının kaynağının ise, verilere erişimi olan üst düzey bir IT denetçisi olduğu anlaşılıyor. Bu IT denetçisinin kendisinin görevi olan dış denetçiye verileri teslim etmek için hazırlanmış bir flash bellekten bu verilere ulaştığı belirleniyor. Denetçinin, daha önce haksız olduğunu düşündüğü bir disiplin yaptırımına tabi tutulmuş olduğu ve o olaydan sonra Morrisons'dan intikam almak istediği anlaşılıyor. Sonuçta, suçu işleyen bu kişi, yakalanarak 8 yıl hapis cezasına mahkum ediliyor ancak Morrisons şirketi çalışanları Morrisons'a karşı da dava açıyorlar. Mahkeme Morrisons'ın çalışanının eylemlerinden sorumlu olup olmadığı (adam çalıştıranın sorumluluğu) sorusuna cevabını, bu eylemlerin, çalışanın Morrisons'daki pozisyonuna yeterli ve yakın düzeyde bağlı olup olmadığını tespit etmek suretiyle veriyor.

İşin ilginç tarafı mahkeme incelemesinde Morrisons şirketinin yetkisiz veya hukuka aykırı kişisel veri işlenmesine karşı gerekli teknik ve idari tedbirleri almış olduğunu kabul ediyor; ancak buna rağmen şirketin çalışanın kusurundan dolayı sorumlu olduğuna hükmediyor. Morrisons davayı temyize taşımasına rağmen, birinci derece mahkeme kararı onanıyor.

Peki ne yapmak gerek?

Sonuç olarak, veri güvenliği için, sadece (hackerlar gibi) dış tehditleri dikkate almak yeterli değil. Aynı zamanda, belki de daha fazla, dahili / iç tehditleri ve "insan faktörünü" dikkate almak gerekiyor.

Bu bir yandan, kilit poziyondaki kişilerle yakın ve insani bir teması, hem de aynı zamanda sözleşmesel ve yapısal düzenlemeler ile sigorta gibi ek güvenceleri de hayata geçirmek ile olabilir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.