Merhabalar;
Bu paylaşımımda KVK Kanunu’nun 10. maddesi ve 11.maddesi ile ilişkili olan “İlgili Kişi Erişim Taleplerinin Karşılanması”nda ICO (UK) yaklaşımını ve sitesinde yer alan bilgilerin iş akış diyagramına dönüştürdüğüm halini bulabilirsiniz. Yine son günlerde cep telefonlarınıza SMS olarak gelen veya karşılaştığınız web sitelerinde pop up veya kutucuklar ile sürekli olarak size farkındalık yaratmaya çalışan aydınlatma bildirimlerinin de alttaki süreçler ile ilgili olduğunu belirtebiliriz.
Öncelikle KVKK’da yer alan ve organizasyonların belirli şartlar altında uymakla mükellef olduğu ilgili maddeleri refere edelim:
Kanunumuzun 10.maddesi: Veri Sorumlusunun Aydınlatma Yükümlülüğü
Kanunumuzun 11.maddesi: İlgili Kişinin Hakları
Kanun kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere ilgili verileri konusunda belirli çerçevede bilgi vermekle yükümlüdür. Yine aynı bağlamda herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verileri dahilinde öğrenme, bilgi edinme, itiraz etme, düzeltim isteği, silinme, üçüncü taraflara bildirim yapılması, belirli şartlarda zararın giderilmesi gibi taleplerde bulunma haklarına sahiptir. Bu kapsamda verisi işlenen ilgili kişinin bir talebi geldiğinde ne yapılması gerektiğine dair yol haritası aşağıdaki metodoloji ile iyi pratik olarak benimsenmiştir.
KVKK kapsamında; organizasyonunuzun yapılandırdığı yanıt kanalına bir talep geldiğinde, ne yapmanız gerektiğine dair bu güzel süreç ile ilgili daha ayrıntılı bilgiyi sonraki postlarımızda yazabiliriz diyerek şimdilik topu taca atalım ve “Bir resim (diagram), bin sözcüğe bedeldir” mottosu ile, beğendiğim bu süreci iş akış diagram formuna çevirip, süreçlerimizde daha etkin fayda sağlayacağını düşünerek paylaşalım.
Not: Diagramı incelediğinizde bazı minör kısımların şimdilik bizim kanunumuzda henüz belirtilmeyen ama karşılaşabileceğimiz karar mekanizmalarına da yer verdiğini görebileceksiniz. Örneğin ilgili kişinin bilgiye erişim talebi; organizasyonlar açısından database samanlıklarımızda bir record iğnesini bulmak kadar meşakkatli olabileceğinden bazı erişim talepleri için ücret ödenmesi gerekliliğinden dem vurmakta. Düşündüğümüzde gayet mantıklı zira elin adamı;
“bu çark su ile dönmüyor“, “ben de bu bilgiyi başka partilerden (sorgu başına ücret ödenen özel veya devlet kurumları vb) ücret mukabilinde alıp/teyit edip sana sunacağım” veya her önüne gelen bi öğlen kahvesi içtikten sonra “dur bakim ben bu alışveriş sitesini bi yoklayayım, bakim benim bilgilerimi nereye koymuş“
gibi gerekçeler nedeni ile bu kontrolü almış olabiliyor.
Ercüment ARI
Data Privacy Officer & Information Security Director, KVKK Consultant, Part-Time Lecturer
CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT