Veri sorumlularının elde ettikleri verilerle işleme amacı kalmadığında kanuna uygun hareket etmek zorunda olduklarını hatırlatan Siberasist Genel Müdürü Serap Günal, veriyi silme, yok etme veya anonimleştirme yükümlülükleri için ceza almak istemeyen veri sorumlularını uyarıyor.
Kişisel verilerle ilgili kanunun işaret ettiği yükümlülükleri ve sorumlukları yerine getirmek adına şirketlere çok iş düşüyor. Özellikle elde edilen verilerin işleme amaçlarının ortadan kalkması durumunda veri sorumlularının dikkat etmesi gereken noktalar bulunuyor. Bunların en önemlisinin kişisel veriyi takibi yapılamayacak şekilde ortadan kaldırma işlemleri olduğunu belirten Siberasist Genel Müdürü Serap Günal, KVKK’ya uygun bir şekilde kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi için şirketlerin uyumluluğa uygun idari ve teknik çözümlere sahip olması gerektiğine dikkat çekiyor.
İşleme Amacı Yoksa Verinin Kendisine de İhtiyaç Yok
Belirli amaçlar için kişilerin rızası alınarak elde edilen verilerin sonrasında akıbeti merak ediliyor. Özellikle bir verinin işlenmesi ile ilgili bir durumun ortadan kalkması veya sonlanması, kişisel verinin geleceğini de şekillendiriyor. Bir kişisel verinin işleme amacı ya da sebebinin ortadan kalkması durumunda veri sorumlularının işledikleri veriyi silme, yok etme veya anonimleştirme yükümlülüğünü taşıdıklarını unutmamaları gerektiğini ifade eden Serap Günal, bu yükümlülüğün yerine getirilmemesi durumunda veri sorumlusunun ciddi yaptırımlarla karşı karşıya kalacağına dikkat çekiyor.
Kişisel Verilerin Silinmesi Sürecinde 4 Adıma Dikkat!
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi, önemli bir süreç ile gerçekleşiyor. Veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunu belirten Siberasist Genel Müdürü Serap Günal, kişisel verilerin silinme sürecinde veri sorumlarının 4 adıma dikkat etmesi gerektiğini de hatırlatıyor.
1. Verilerin tespit edilmesi gerekiyor. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi gerekiyor. Bunlar genellikle işleme amacı kalmayan verilerden oluşuyor.
2. İlgili kullanıcıların tespit edilmesi gerekiyor. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi sağlanmalı.
3. Erişim yöntemlerinin tespit edilmesi gerekiyor. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespiti sağlanıyor.
4. Verinin silinmesi gerekiyor. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması gerçekleşiyor.
Cezalara Karşı Profesyonel Destek Gerekiyor
Özellikle kişisel verileri yok etme, silme veya anonimleştirmeye karşı tam anlamıyla neler yapması gerektiğini bilmeyen birçok şirketin büyük cezalarla karşılaşabileceği görülüyor. KVKK’nın şirketlere yüklediği bu önemli sorumlulukların yerine getirilmesi gerektiğinin altını çizen Serap Günal, KVKK uyumluluk sürecinde hem teknik hem de idari tedbirlerin tam anlamıyla alınması, yükümlülüklerin yerine getirilmesi için şirketlere profesyonel destek almalarını öneriyor. Profesyonel destek alınmadığı için birçok konuda eksikleri bulunan şirketlerin varlığına dikkat çeken Günal, alınan profesyonel desteklerle şirketlerin cezalardan korunabileceğini belirtiyor.