“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı, peki her organizasyonu ilgilendiren bu önemli kararı SİZ KENDİ KURUMUNUZDA YAYIMLADINIZ MI?
Danışmanlıklarda, derslerde ve eğitimlerde kullandığım metaforlarımdan birine burada yer vererek başlayalım izninizle:
Genel kişisel veriler bize emanet edilen bir “bebek” ise, özel nitelikli kişisel veriler, emanet edilen “kuvözdeki bebektir”. Ekstra kontrole, bakıma, ihtimama ve gözetime ihtiyaç duyar, sorumluluğu ve maliyeti her zaman daha yüksektir ve nihai olarak kaybı durumunda daha fazla can acıtır.
Özel nitelikli kişisel verilere dair; Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı. Toplam 6 maddeden oluşan ve KVKK’nin 6.maddesinin 4. fıkrası ve 22. maddesini refere alan karar aslında yerine ve profiline göre (Ör: Sağlık Sektörü) Pandora’nın Kutusu niteliği taşıyabilecek, zira bazı maddeler var ki ilgili profildeki bazı şirketler için ciddi maliyet ve yönetim kararları anlamına gelecek.
Yayınlaman bu karar ve yorumları Linkedin’de, portallerde defaatle okumuşsunuzdur, bunların yeterince ve hakkıyla işlendiğini düşünüyorum. Bu yazımda değinmek istediğim nokta önemli görülen bu kararı yeterince kurumunuzda duyurup duyurmadığınız ile ilgili… Neden duyurmalısınız? Çünkü:
Politika, prosedürler, resmi deklarasyonlar (mail de dahil), üst yönetimin ve ilgili makamın organizasyondaki çalışanlardan beklentesine ve bazı risklerin yönetimine dairdir. Dolayısı ile yeterince duyur(a)madığınız, bilgilendir(e)mediğiniz kararlar için çalışanlardan rol, sorumluluk ve farkındalık bekleyemezsiniz, beklememelisiniz, daha da ötesi disiplin süreçlerini işletmemelisiniz. Çünkü günün sonunda bu; çalışma süreç ve etiklerine uygun olmadığı gibi, kurum kültüründe tehlikeli ve çoğalarak bölünmeye yol açan kanser hücresi “blame culture”ı tetikler, nihai olarak da herhangi bir adli vakada siz ve kurumunuzun haksız çıkacağı birçok dava dosyası ile sabittir.
Daha fazla uzatmadan bu “kuvözdeki bebeğin” itina ile korunma kararına dair, duyurulması ve/veya beraber çalışılmasında kanaat getirilen ilgili birimlere aşağıdaki tablolarda yer vermeye çalıştım, uygun gördüğünüz durumda duyurmanızdan zarar gelmeyip, fayda geleceği kanaatindeyim. Nihai faydanın ise birimler ile duyuru sonrası toplantılar, atölyelerden çıkacağını öngörüyorum. Tablodaki bilgiler tecrübelere dayanmaktadır ve taşa yazılı kaideler içermiyor, yani eksik veya fazla olabileceği gibi organizasyonların profilleri farklılık gösterebileceğinden kendi iç yapılarına göre düzenlenmesi gerekebilir. (Örnek Veri Koruma Departmanı yerine ilgili görevlendirilmiş birim, kişi gibi)
Her zamanki gibi kapanışımızı Peter F. Drucker yapıyor:
” İnsan öldükten sonra neyle hatırlanmak istediğini kendine sormalı. Hatırlanmaya değer olan, birinin başkalarının yaşamlarında yarattığı olumlu farklardır.”
Peter F. Drucker
(EU’ya selam olsun 🙂 )