Kişisel verilerin korunması konusuna odaklanan bir avukatlık ortaklığı olarak, şirketlerin genelde kişisel verilerin korunması ile veri güvenliğini karıştırma eğiliminde olduklarını gözlemliyoruz. Veri güvenliği kişisel verilerin korunmasının bir parçası olsa da, bu iki kavram aslında birbirinden çok farklı.
Bu iki kavram arasındaki temel farkların anlaşılması şirketlerin daha iyi bir farkındalık ve uyum düzeyi geliştirmelerine yardımcı olacaktır.
VERİ GÜVENLİĞİ, KİŞİSEL VERİLERİN KORUNMASI DEĞİLDİR
Kişisel verilerin korunması konusunda bir çok uyum projesi yürüten bir hukuk bürosu olarak Türkiye'de birçok şirkete ziyaret imkânı bulduk.
Veri koruma uyum proje başlangıçlarının çoğunda BT departmanlarının aşağıdaki reaksiyonları ve itirazları öne sürdüğünü gözlemledik;
* Şirketin ISO 27001'e sahip olduğu,
* Penetrasyon testlerini başarıyla tamamlamış olduğu ve
* Çok güvenli bir sisteme sahip olduğu.
Yukarıda örnek olarak saydığımız reaksiyon ve itirazlar veri güvenliği ile kişisel verilerin korunması arasındaki karışıklığın bir sonucu olduğunu düşünüyoruz.
KİŞİSEL VERİLERİN KORUNMASI NEDİR?
Veri koruması, sadece kişisel veri olarak tanımlanan verilerle ilgilenir ve aşağıdakiler gibi bazı temel ilkelere dayanmaktadır:
1. Kişisel veriler, adil ve hukuka uygun olarak, 2. Doğru ve gerektiğinde güncel olma.
3. Belirli, açık ve meşru amaçlar için işlenme.
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Görüleceği üzere yukarıda belirtilen ilkeler kişisel verilerin gerçek ve tüzel kişilerce (veri sorumlusu) nasıl işleneceğini düzenlemektedir ve veri koruma kanunlarının (Türkiye'de kanun dahil) bu ilkelere dayanmaktadır. Bu nedenle, veri koruma öncelikle hukuki bir konudur ve veri koruma uyumu denetimleri haklı olarak 6698 sayılı KVK’da belirtilen hukuki gereksinimleri karşılama ve kişisel veri işleme süreçlerini hukuka uygun hale getirme amacı taşımaktadır.
VERİ GÜVENLİĞİ NEDİR?
Öte yandan veri güvenliği ise veritabanlarının ve sistemlerin korunmasıdır, diğer bir deyişle, istenmeyen / yetkisiz erişimlerin önlenmesi olarak da değerlendirilebilir. Dolayısıyla veri güvenliği esas olarak teknik ve prosedürel bir konudur.
Ayrıca, veri güvenliği denetimleri veri koruma uyumu denetlemelerinden farklıdır; veri güvenliği denetimleri hukuki bir öğeye sahip değilken, veri koruma uyumu denetimleri esasen hukuki bir iştir.
Yukarıdaki bilgiler ışığında, veri güvenliğinin veri korumasının yerini almadığına, bir ISO 27001 sertifikasına sahip olunmasının veya penetrasyon testlerini tamamlamış olmanın veri koruma uyum denetimi yürütme yükümlülüğünü ortadan kaldırmadığına işaret etmek isteriz.