KVKK Uyum Projelerinde Risk Hesaplama Nasıl Yapılır?
Güncelleme tarihi: 16 Kas 2019
"Kişisel Verilerin Korunması Uyum Projeleri" kapsamında bir çok toplantı yapılıyor ve kimileri bu toplantıları standart soru listeleriyle geçiştirirken, kimileri de gerçekten hummalı bir çalışma ile bu toplantıları tutanak altına alıp tüm kişisel veri işleme faaliyetlerini listeliyor. Peki bu listenen kişisel veri işleme faaliyetleri ne işe yarıyor, organizasyonun genel risk durumuna etkisi nedir?
Artık neredeyse taksi şoförü Ahmet Bey'in bile bildiği bir şey var ki o da kişisel veri uyum süreci projelerinde departman veya iş birimleriyle bir takım toplantılar yapılıyor. Bu toplantılar sonucunda yine çeşit çeşit sorular sorularak anlamsız cevapların anlamlandırılması için büyük uğraşılar veriliyor. Danışmanlar çoğu zaman organizasyonun kendine has yapısını göz önüne almadan bu soruları standart olarak sorup, yine yanıt ve raporlarını standart olarak müşterilerine sunuyorlar. Böyle olunca müşteri özellikle kendisine özel inşa edilmeyen süreçlerde memnuniyetsizlik duyabiliyor. Örnek olarak bir havayolu taşımacılığı firmasına daha önce sigorta şirketine uygulanan çözümleri uygulamak büyük hayal kırıklıkları yaratabliiyor.
Evet, toplantılar gerçekten de belki de projelerin kilit taşları ve özellikle veri keşif araçlarının alınamadığı, bütçelerin izin vermediği ya da alınsa dahi doğru kural setleri mevcut olmadan çalıştırlamayan araçların var olduğu ortamlarda yegane çözüm olarak karşımıza çıkıyor. Dolayısıyla bu toplantıları olabildiğince fayda alabilecek şekilde değerlendirmek, standart soru listeleri dışında tüm işleyişi sorgulamak fırsatını kaçırmamak büyük önem arzediyor. Başka bir deyişle organizasyonun benliğini keşfetmek ya da organizasyonu içindeki çalışanlardan daha iyi tanımak için elinize geçen bu imkandan faydalanmak gerekiyor.
Özellikle her bir süreçte hangi verilerin, ne amaçla ve hangi hukuki sebebe dayanılarak işilendiği gibi bilgiler içermesi açısından da elzem. Ancak danışmanın işi sadece bu süreçlerin resmini çizmekle mi tamamlanmalıdır? Bu noktada bizim cevabımız kocaman bir hayır olacaktır.
Toplantılar sonucunda elde edilen ve detayı oldukça fazla olan süreç bilgilerini, özellikle kurumun tavsiye ettiği bir kişisel veri işleme envanterinde kullanmak tabii ki mümkün. Özellikle her bir süreçte hangi verilerin, ne amaçla ve hangi hukuki sebebe dayanılarak işilendiği gibi bilgiler içermesi açısından da elzem. Ancak danışmanın işi sadece bu süreçlerin resmini çizmekle mi tamamlanmalıdır? Bu noktada bizim cevabımız kocaman bir hayır olacaktır. Nitekim çıkarılan faaliyetlerin bir de risk değerlendirmesi yapılarak, faaliyete devam edilmesi veya edilmemesi hakkında bir karar verilmesi; devam edilecekse uygun idari ive teknik tedbirlerin de alınması gerekecektir.
Toplantılar kapsamında her bir kişisel veri işleme faaliyeti çerçevesinde tespit edilen eksiklikler, şayet önlem alınmazsa biz danışmanlar ve siz organizasyon sahipileri için bir risk oluşturmaktadır.
Kanımızca bir kişisel verilerin korunması uyum projesindeki en önemli çıktı, organizasyonun risklerinin somut kriterlerle belirlenmesi bu risklerin nasıl en küçük hale getirileceğinin çözümlerinin açıklanmasıdır. Peki, basit bir risk değerlendirme işlemi nasıl yapılır?
Bir organizasyon içerisinde bu parametrelerin nasıl tanımlanacağının cevabı dahi departman/iş birimi toplantılarında sorulacak doğru sorulara alabileceğiniz cevapların berraklığıyla doğru orantılıdır.
Toplantılar kapsamında her bir kişisel veri işleme faaliyeti çerçevesinde tespit edilen eksiklikler, şayet önlem alınmazsa biz danışmanlar ve siz organizasyon sahipileri için bir risk oluşturmaktadır. Bu risklerin gerçekleşme olasılığı, gerçekleşmeye neden olabilecek zafiyetin giderilmemesi veya bunları önleyebilecek imkanlara sahip olunmaması gibi faktörler bize "#olasılık" oranını vermektedir. Söz konusu olasılıkların gerçekleşmesi sonucunda ne gibi sonuçlar doğacağının ve bunların etkilerinin değerlendirildiği parametre isie "etki" başlığı altında toplanmaktadır. Olasılık x Etki = Risk sonucunu vermektedir.
Her bir kişisel veri işleme faaliyetinin karşılığında elde edilen risk değeri ise tüm kişisel veri işleme envanteri tablosunda size organizasyonuzun toplam risk derecesini de doğal olarak sunmaktadır. Böylece ne kadar risk altında olduğunuzu somut şekilde görebilmenize imkan sağlanmaktadır.
Etki ve olasılık her bir organizasyon özelinde teker teker değerlendirilmesi gereken ve somut olaylara göre tanımlanması şart olan değişkenlerdir. Bir organizasyon içerisinde bu parametrelerin nasıl tanımlanacağının cevabı dahi departman/iş birimi toplantılarında sorulacak doğru sorulara alabileceğiniz cevapların berraklığıyla doğru orantılıdır. Bu yüzden siz siz olun, size özel olmayan matbu uygulamalardan kaçınmaya özen gösterin.