Uygun maliyet, hızlı ve etkin çözüm için doğru KVKK uyum danışmanlığı hizmetini verecek kurumun seçilmesi, avukat ve bilişim desteğini verecek hizmet noktalarının organik bağının olması gereklidir. Ayrıca firmalar mümkün olduğunca kendi bünyelerinde bilişim çözümlerini sağlayarak, gerekli bütçeyi ve önemi sağlamalıdır.
Bilgisayar mühendisi olarak siber güvenlik ve ağ yönetimi alanlarında çalışırken, bir hukuk bürosunun Kişisel Verilerin Korunması Kanunu’na (KVKK) yönelik olarak teknik danışmanlık teklifinin gelmesi ile bu alanda çalışmaya başladım. Konuya yönelik tecrübelerimi maliyet ile etkinlik hedefine yönelik olarak değerlendirmek isterim.
Ülkenin gündemine bir anda giren “Kişisel Verilerin Korunması Kanunu ile firmalar kanuna uyuma yönelik önlemleri almak adına çözümleri araştırmaya başladı” şeklinde bir cümleyle konuya başlamak isterdim ama ülkemizde genelde süreç bu şekilde gelişmedi. Avrupa Birliği (AB) bünyesinde 30 yıllık bir süreçte toplumsal örgütler ve firmalar ile yürütülerek kanun şekillendi. Ülkemizde ise 2016 yılında kanunun düzenlenip uygulanmaya yıl sonunda geçileceği duyurusuyla başladı. Bir anda, yıl sonuna kadar cezai şartları muhatap alması gereken firmalar için VERBİS kaydının gerekli olduğu duyuruları dikkat çeker hale geldi.
Doğal olarak, kanunu öncelikle inceleyen kişiler avukatlar oldu ve çalıştıkları firmaları konu hakkında bilgilendirerek, uyuma yönelik çalışmaya başladılar. Ülkemizde bir anda KVKK konusunda cezai şartları hatırlatarak, kanuna yönelik önlem alınması ve uyum kriterleri konusunda dikkat çekmeye çalışan avukatlar öne çıkmaya başladı. Avukatlar adına KVKK ile ilgili bir sahiplenme süreci başladı.
Avukatlar, iş süreçleri ve belge bazlı konularda uzman olmalarına rağmen, kanunda yer alan 13 teknik önlem açısından bilişim desteği almaları gerekiyordu. Avukatlar ve bilişim firmaları kısa sürede teknik önlemleri firmalara uygulayabilmek adına beraber çalışma yolları aramaya başladılar. Bazı avukatlık firmaları, kendi bünyelerinde bir teknik ekip oluştururken, bazı avukatlık büroları ise belirli hizmetler için proje bazlı ekipler ile çözüm yollarına gittiler. Bazı bilişim firmaları ise KVKK uyumu üzerine aldıkları uyum projeleri için proje bazlı çalışan avukatlar ile çalışmaya koyuldular. Elbette, bu süreçte hangisinin doğru çözüm olduğu konusunda fikir ayrılıkları çoklukla yaşandı.
Ayrıca ilk zamanlarda uyum sürecine yönelik talep edilen ücretler ile günümüzde anlaşılan bedeller arasında belirgin farklar olduğu da gözlemlenmektedir.
“HIZLI, ETKİN VE UYGUN MALİYET” İÇİN YOL HARİTASI
“Hızlı, etkin ve uygun maliyet” hedefine ulaşmak için nasıl bir yol izlenmelidir, soruna cevap vermek gerekirse, burada öncelik firmanın gerçek gereksinimlerini belirlemekten geçmektedir. Gözetilmesi gereken diğer nokta ise avukat ve bilişim çözümlerini aynı etkenlikte beraber verebilecek bir çözümden geçmektedir. Bunun temel gerekliliği ise avukat iş süreçlerini ve dokümanları incelerken, bilişim biriminin de bu süreçlerin içerisinde yer alarak uygun hizmeti ve standartları belirlemesidir.
Özellikle, avukat büroları mümkün ise kendi bünyesinde veya ekosisteminde bu desteği barındırmalıdır. Çözüm desteğinde organik bütünlük önemlidir. Bu süreçte firmalar tarafında uyuma yönelik yazılım çözümleri de üretildiğini gözlemlemekle birlikte, bu yazılımların başarısının kanun ve süreç bilgisine hakim olan avukatlık bürolarının sürece dahil olmasıyla bağlantılı olduğunu net bir şekilde gözlemledim.
Doğru KVKK uyum hizmetinin seçiminin öneminin yanında firmaların kendi bünyelerinde bilişim yapısını nasıl ele aldığı da önemlidir. Günümüzde bilişim hizmetlerini kendi bünyesinde sağlayan firmalar ile dışarıdan destek alarak yürüten firmalar adına önemli bir ayrım var. Genelde dışarıdan alınan bilişim hizmetlerinde daha düşük seviyede bir güvenlik seviyesi olduğuna rastlanmasının yanında firmaların bilişim hizmetlerine verdiği önem, ayırdığı bütçe esas etken olmaktadır. Danışmanlık hizmeti almak isteyen firmalar ile teknik açıdan görüşüldüğünde, genelde firmanın bünyesinde çalışan bilişim elemanları, gerekli olan güvenlik önlemlerini bilmelerine rağmen gerekli bütçeyi alamadıkları için önlem alamadıklarını beyan etmektedirler.
Danışman raporu (firma dışından da eksikliklerinin dikkat çekilmesi) sayesinde firmada çalışan bilişim elemanlarının gereksinim duyduğu bütçesel destek sağlanmaktadır. Bu noktada uyum danışmanlığını veren firmanın öncelik sıralamasını doğru yapması arzulanan hedeftir.
Diğer bir gözden kaçan nokta ise alınan hizmetin ve denetimin devamlılığıdır. Mutlaka, hizmet alındıktan belirli süreler sonra denetlenmeli ve mevzuata göre ortaya çıkan gereksinimler sağlanmalıdır. Genelde firmalar “uyum hizmetini aldık, KVKK uyum sorunu çözüldü” gözüyle konuya bakmaktadır.
Kısaca uygun maliyet, hızlı ve etken çözüm için öncelikle doğru KVKK uyum danışmanlığı hizmetini verecek kurumun seçilmesi (avukat ve bilişim desteğini verecek hizmet noktalarının organik bağı olması gereklidir) ve firmaların mümkün olduğunca kendi bünyelerinde bilişim çözümlerini sağlayarak, gerekli bütçeyi ve önemi sağlamalıdır. Uyum hizmetinin sürekliliği de gözden kaçırılmaması gereken bir konudur. Ülkemizde, maalesef genellikle firmaların, güvenlik açısından hasar aldıktan sonra bilişim altyapısına gerekli dikkati ve bütçeyi verdiklerini gözlemliyoruz. Hatta sızıntı tespitinin sonrasında da bildirim ihlallerinin yapılmadığını ya da sızıntı bildirimi yapılırken mutlaka danışmanlık hizmetinin alınmadığına şahit oluyoruz. Maalesef böyle durumlarda firmalar yüksek meblağlı cezalar ve itibar kayıpları durumuyla karşılaşıyorlar. Doğru noktadan alınacak olan danışmanlık hizmeti, süreçte yer alan birçok engelin aşılmasında kilit rol almaktadır.