İşverenlerin çalışanlarına kişisel verilerin korunmasına ("KVK") ilişkin farkındalık eğitimi vermesi gerektiğini hepimiz biliyoruz. Peki çalışanlara bir kere verilen eğitim yeterli midir? Oltalama(phishing) nedir? Veri işleyenlerinize neden farkındalık eğitimi vermeniz gerekir? Bu sorular ve daha fazlasının cevabı bu ayki blog yazımızda!
Periyodik eğitimler ilk eğitim kadar önemlidir. Farkındalık Eğitimleri.
Çalışan farkındalığını sağlamanın ilk adımı, oryantasyon sürecinde çalışana sunduğunuz eğitimlerin arasına kişisel verileri koruma alanını da eklemektir. Ekibe katılan bir çalışanın, kişisel veri içeren ortamlara erişim sağlamadan önce temel düzeyde bilgi seviyesine erişmiş olması hedeflenmelidir.
Çalışanların farkındalık düzeyini maksimumda tutmak, şirketiniz bünyesindeki kişisel verilerin korunması kültürünün sürdürülebilirliğinde büyük rol oynayacaktır. Bu sebeple çalışanlara oryantasyonda verilen ilk eğitimle yetinilmemesi, en az yılda bir kere olmak üzere periyodik eğitimler verilmesi önem arz etmektedir.
Bununla beraber ana faaliyet konunuz gereğince çoğunlukla sağlık verisi, biyometrik veri veya ceza mahkumiyeti ve güvenlik tedbiri gibi özel nitelikli kişisel veriler işliyor olabilirsiniz. Ya da şirketiniz içerisindeki bazı çalışanlarınız pozisyonları gereği bu tür verilerle iç içe çalışıyor olabilir. Bu hallerde, söz konusu çalışanlara verilecek eğitim ve bilgilendirmelerin periyotlarının sıklığını daha kısa tutmanızı öneririz. Buna ek olarak iş süreçleriniz boyunca çalışanlarınıza sağlayacağınız küçük bilgilendirme notları veya panolara asılan hatırlatmalarla KVK kültürünü ayakta tutabilirsiniz!
Çalışanlarınıza balık vermeyin! Balık tutmayı öğretin. Çalışan Denetimleri.
Öğrendiğimiz bilgileri pratiğe dökmek her zaman için bilgilerin yerleşmesi ve kullanılabilir hale gelmesi için önerilen bir yöntemdir. Bu sebeple farkındalık eğitimlerinin verilmesinin yanında, çalışanlarınızın farkındalık düzeylerinin gerek yapılacak sınavlar/testler aracılığıyla gerekse yapay veri ihlalleri yoluyla denetlenmesi farkındalık düzeyini maksimum seviyeye çıkaracaktır.
Çalışanlarınıza eğitim verdiniz, kişisel veri işleme ile imha politika ve prosedürleri oluşturdunuz. Çalışanlarınıza bu alanda küçük sınavlar yaparak bilgi ve becerilerini denetlemeniz her zaman mümkündür. Ancak bu bilgilerin ne kadar uygulanacağını gerçekten bir veri ihlal ile karşılaşılması halinde tam olarak öğrenebilirsiniz. Bu nedenle oltalama saldırısı gibi aksiyonlarla yapay veri ihlali meydana getirilmesi çalışan farkındalığını arttırma yöntemlerinden biri olarak uygulanabilecektir. Zira çalışanlar, hukuka aykırı veri paylaşımına sebep olabilecek bir yapay oltalama saldırılarına maruz bırakılarak, hem böyle bir durumla karşılaştıklarında nasıl hareket edecekleri denetlenebilir hem de gerçek bir saldırı halinde iki kez düşünmeleri sağlanabilir. Peki oltalama nedir?
Oltalama, bir başka kurum veya şirketiniz bünyesindeki diğer bir departmandan geldiği intibası veren ve güvenilir görünen e-mailler kullanılarak parola, kimlik bilgisi veya diğer verileri çalmaya yönelik saldırılardır. Oltalama saldırısı sırasında çalışanların önüne yapay veri ihlalleri sunularak, alacakları aksiyonlar gözlemlenecektir. Bu sayede çalışanların farkındalık düzeyi tespit edilebilecek, eğitim, politika ve prosedürlerin verimliliği somut şekilde ölçülebilecektir.
Kim tuttu? Kim pişirdi? Kim yedi? Rol ve Sorumluluklar.
Şirketinizde istenmeyen bir durum meydana geldiğinde verimli ve sonuca en kısa şekilde ulaşmanızı sağlayacak bir süreç işletmek için önemli olan ilk adım, tüm çalışanların ne yapması gerektiğinin belirlenmiş olmasıdır. Bu, işe alınan çalışanın İnsan Kaynakları Biriminde mi yoksa Finans ve Muhasebe Biriminde mi çalışacağını bilmesi kadar doğal bir durumdur.
Çalışanlar arasında rol, sorumluluk ve yetki dağılımı yapılarak ihlal önleme, ihlal süreçlerinin yürütülmesi veya veri taleplerinin yönetilmesi süreçlerinin kimler tarafından yürütüleceği belirlenecektir. Söz konusu yetkilendirmenin yapılması sırasında; yetkilendirilen kişinin unvanı, bu işi yapmaya olan yetkinliği ve bu kişi tarafından kullanılacak olan kaynakların ulaşılabilirliğini gözetmek gerekir. Örneğin iş süreci içerisinde diğer çalışanları yönlendirerek üst makama bilgi verecek çalışanın, bu yönlendirmeyi yapacak ve veri içeren ortamlara erişim sağlayabilecek düzeyde bir pozisyona sahip olması gerekir.
Şirketiniz içindeki kişisel verilerin korunması süreçlerinin yürütmenin en kolay yolu, kendi kendine işleyecek düzenli bir yapı kurmaktır. Bu sebeple şirketiniz içerisinde Kişisel Verileri Koruma Komitesi oluşturarak veri işleme faaliyetlerine ilişkin süreçlerin güncelliğini ve uyumun sürdürülebilirliğini sağlamanız mümkündür. Bu yapının şirketinizin organizasyon şemasındaki tüm dallara uzanabilmesini sağlamak için, her biriminizden bir adet Veri Koruma Sorumlusu görevlendirebilirsiniz. Bu sayede şirketin en küçük yapısı olan birimlerden başlayarak KVK Komitesi ve Yönetim'e kadar uzanan bir iletişim ağı oluşacaktır.
Peki veri işleyenleriniz? Veri İşleyenlerle Müşterek Sorumluluk.
Şirketler, yapıları gereği faaliyetlerini yürütmek amacıyla devamlı dış dünya ile iletişim içerisinde olmak zorunda olan tüzel kişilerdir. Ürünlerinizi müşterilere ulaştırmak, müşterilerinize çağrı merkezi hizmeti sağlamak, üretim faaliyetleriniz sırasında gerekli malzemeleri temin etmek ve daha birçok faaliyet için diğer şirketlerle anlaşmalar yapmak zorunda kalırsınız. Bu sırada ise bazen iş faaliyetlerinizi gereği gibi yürütmek amacıyla bazı şirketlerle biraz daha yakın olabilir, çalışanlarını bünyenize alabilir, sizin adınıza kişisel veri işlemelerini sağlayabilir ya da işlemiş olduğunuz kişisel verileri onlara aktarabilirsiniz. Bu noktada devreye veri işleyenler girmektedir.
Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, kişisel verilerin kendi adına veri işleyen tarafından işlenmesi halinde kişisel veri güvenliğini sağlama hususlarında veri işleyenlerle birlikte müştereken sorumludur. Bu da şu anlama gelmektedir: Her ne kadar kendi çalışanlarınızı bilinçlendirseniz ve şirketiniz içerisinde sorunsuz ilerleyen bir KVK uyumu inşa etseniz de, veri işleyenlerinizin bilinçsizliği her şeyi mahvedebilir. Ve veri işleyenlerin KVK hususundaki bu eksikliğinden veri sorumlusu olarak siz de sorumlu olursunuz.
Bu noktada karşımıza iki seçenek çıkmaktadır. Bir şirket ile sözleşmesel ilişki içerisine girmeden önce KVK alanında gerekli aksiyonları aldığına, veri güvenliğini sağladığına ve çalışanlarını bilinçlendirdiğine ilişkin teyit almanız ve bu hususlara yapacağınız sözleşmede yer vermeniz mümkündür. Veya veri işleyenleriniz bünyesinde farkındalık düzeyini yükseltmek için çalışmalar yaparak ve KVK uyumuna ilişkin periyodik denetimler gerçekleştirerek süreci kendi kontrolünüzde tutabilirsiniz.
Veri işleyen ile olan sözleşmesel ilişkiniz ve bu ilişkinin kapsamı, seçeneklerden birini tercih etmenizde büyük rol oynayacaktır. Örneğin yetkilendirmeniz doğrultusunda sizin için veri işleyecek veya halihazırdaki veri tabanlarınıza ulaşabilecek veri işleyen çalışanlarını kendiniz eğitmek isteyebilirsiniz. Ancak yalnızca arşiv hizmeti aldığınız ve işlediğiniz verileri aktif olarak kullanmayan, yalnızca muhafaza eden bir şirketin veri güvenliğini sağladığından emin olmanız, sizin için yeterli olabilir.
Sonuç
Şirketler içerisindeki kişisel verileri koruma faaliyetleri yaşayan süreçlerdir. İş süreçlerinizin değişmesi, çalışanlarınızın işten ayrılması veya yeni çalışanların işe girmesi, yeni ortaklar edinmeniz gibi birçok değişiklik sırasında göz önünde tutulması gereken şeylerden biri de kişisel verilerin korunmasıdır. Bu doğrultuda, şirketiniz içerisindeki veri güvenliğini sağlamak bakımından en önemli ve temel adımlardan birinin çalışanların farkındalık düzeylerinin arttırılması olduğunu, ancak tek adımın bu olmadığını hatırlatmak isteriz!
Av. Bilge Ezgi Peker makaleye katkıları için teşekkür ederiz.
Originally published 14 February 2022
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
