Son yıllarda Ülkemizde kişisel verilerin güvenliği konusunda yaşanılan farkındalık ve bu konuda alınan önlemler, 7 Nisan 2016 yılında Resmi Gazetede yayınlanan 6698 sayılı kanun ile de tamamen güvence altına alınmıştır. Nitekim kanun ve mevzuat eksikliği Ülkemizin iş yaptığı yabancı şirketlerle etkileşiminde problemleri beraberinde getiriyordu. Yaklaşık 2 yıl süresince geçiş yapma süresi verilen Kişisel Verilerin Korunması Kanunu ile işletmeler, ancak kanunun resmi uygulanmasına başlandığı 7 Nisan 2018 tarihinden sonra işin ciddiyetini anlamışlardır. Madalyonun diğer yüzünde ise Kişisel Veri meselesine yönelik çözüm sunan firmaların yaklaşımları bulunmaktadır. Bu firmalar bu kanunu sundukları çözümlerle pazarlayarak, işletmeleri genellikle kanundan ötürü kesilen cezaların büyüklüğünü vurgulayarak korkutma yönünü tercih eder bir yaklaşım sergilemektedirler. Ancak işletmelerin, en doğru yaklaşımla bu kanunun özünü anlaması ve farkında olması önemlidir.

6698 sayılı Kişisel Verilerin Korunması Kanununa (KVKK) yönelik genellikle hukuki tarafın ağır bastığı ve diğer konu olarak teknik tedbirlerin olduğu piyasada söylenegelmektedir. Özellikle avukatlık bürolarının başını çektiği sektörün önde gelen büroları ve firmaları bu yaklaşımı destekler niteliktetir. Ancak işin özü incelendiğinde aslında kanunun 3 bacak üzerinde konumlanması gerektiği aşikardır. Hukuki, teknik ve kalite olarak olarak tanımlanan bu üçlü bacak ile yapılan çalışmaların hem sürekliliği hem de kapsamının oturduğu yapılmış örnek çalışmalarda görülmüştür. Bunu en iyi betimlemek için bir kabın içerisine konulan çakıl, kum ve su örneği verilebilir. Bu kanunu önce hukuki (çakıl) çerçeve ile kapsamı ve sınırlarını belirleyerek doldurmak, sonrasında tanımlı çerçevelerle teknik (kum) tedbirleri uygulamak ve birbirine bağlamak; en son olarak kalite (su) ile birbirine girift ve sürekliliği sağlamlaştıracak şekilde tamamlamak en doğru çözüm olacaktır.

Somut bir örnek üzerinden dilerseniz konuyu özetleyelim. Hukuki süreçlere uygun olarak imha prosedürünün tanımlandığı ve yazıldığını varsayalım. Kanuna göre yapılan işlemlerin kayıtlarının ispat sorumluluğu Veri sorumluluğundadır. Dolayısıyla elektronik ortamlarda imha süreçlerinin yapılması ve ilgili kanıtların toplanması teknik bir altyapının varlığı ile mümkündür. Bunun için elektronik imza, zaman damgası gibi kayıt bilgilerinin tutulması veya buna benzer ispatlanabilir ispat altyapısının kurgulanması gerekir. Kalite olarak sürdürülebilir bir sürecin olması ise bir çok standardın vurguladığı ikili kontrol (dual control) mekanizmasının işletilmesini ve birbirini destekleyici farklı departmanlar arası etkileşimin olmasını sağlar. Böylelikle KVKK, 3 bacak üzerinde kurgulandığında bütünsel uyum sürecinin tamamlanması sağlanır.

Hukuki, Teknik ve Kalite ile KVKK Uyum Danışmanlık Hizmeti
Yukarıdaki bölümlerde ifade edildiği gibi hukuk, teknik ve kalite birbirine değen ancak bir o kadar da birbirinden nispeten uzak olan konulardır. Dolayısıyla bu çalışmaların tek bir uzmanlık potasında eritilmesi mümkün değildir. Gerek hukuk, gerek teknik, gerekse kalite konularının kendi içinde bile ayrım ve uzmanlık söz konusu iken, bu çalışmaların tek kaynaklı olması da düşünülemez. KVKK uyum danışmanlığı aslında bu süreçlerin üçünde uzman ayrı kişilerce yapılmasını gerekli kılar. Bir diğer husus ise bu konuyla ilgili olarak uzmanların orta seviyeye kadar birbirini anlaması ve aynı dili konuşmasıdır. Bu şartlar sağlandığında alınan uyum danışmanlık hizmeti yerinde ve doğru bir neşter vazifesi görecektir.