GovernID İş Geliştirme Direktörü Mustafa Özçakır: “TEKNOLOJİLER UYUM İÇİNDE ÇALIŞMALI”
“Avrupa’da GDPR, Türkiye’de KVKK yayınlandığından beri yaklaşık 7 yıl geçti. Bu 7 yıl içinde şirketlerin bu kanunlara uyum için verdikleri mücadele hala aynı şekilde sürüyor. Bunun temel nedeni dünyanın “Security/Güvenlik” konusunda çok yol katetmiş olması ve “Privacy/Mahremiyet” konusunu yeni yeni anlamaya başlamasıdır. Security ile Privacy arasındaki farktan bahsedecek olursak, “Security datayı korur” , “Privacy kimliğinizi yani ile sizi tanımlayan bilgileri korur”. Security siber bir koruma sağlar, Privacy kişisel bilginizin bilginiz ve isteğiniz dışında kullanılmaması ile sizi korur.
Kimliğimizi korumak, kim olduğumuz tanımlayan verileri vermeden önce başlar. Bu verileri sizden isteyenlerin uyması gereken şartlar vardır. Önce size bu verilerle neler yapacağını anlatması gerekir ki bu da KVKK da “aydınlatma metni olarak” geçmektedir, o yüzden diyebiliriz ki KVKK gibi mahremiyet regülasyonlarında koruma daha veriyi vermeden önce başlamaktadır, verdikten sonra değil.
Şirketler çalışmaya “Veriyi almadan önceki noktadan” başlamak zorundalar. Bu tek başına IT’nin işi değildir. Verinin hangi yasal sebeplerle, hangi kullanım şartları ile alınacağını hukuk birimleri belirler, IT birimler hukuk birimlerinin belirlediği kurallara göre verileri alır ve iş birimleri de bu kurallar çerçevesinde veriyi kullanır. Verinin ne zaman yok edileceği de daha alınırken bellidir ve yasal bulundurma hakkı ortadan kalkan veriler yok edilmelidir.
Anlaşıldığı üzere bu bir kere yapıldığında biten bir süreç değil, şirketlerin varlıklarını devam ettirdikleri sürece canlı tutmaları gereken çok dinamik bir süreç. Böyle bir yasanın şirketlerin işlemlerini en az düzeyde etkilemesi için kalıcı bir otomasyonun sağlanması şarttır.
Özetle artık kişisel verinin alınması birçok parçadan oluşuyor. Verinin alınırken hangi aydınlatma metni, hangi rızalar ile alındığının, ne kadar bir süre için alındığının, hangi amaçlar ile kullanılacağının, bireyin bilgilendirildiği amaçlar dışında kullanılmaması, bireyin istediğinde hangi bilgileri verdiğinin geri raporlanması, isterse bilgilerinin doğruluğunu kontrol ettirebilmesi, otomatik işlenmesine itiraz edebilmesi, verdiği rızaları istediğinde geri çekebilmesi ve rızasını geri çekerken verdiği kadar kolay şekilde geri çekme imkanının sağlanması..
İlgili yasalar Avrupa, Türkiye ve dünyanın farklı yerlerinde çıkalı 7 seneye yakın zaman geçmesine rağmen bu yasalar uyumun hala ilk günkü kadar güç olmasının sebebi ise bir kısmı üst paragrafta bahsedilmiş olan işlemlerin hepsini şirket bazında yapabilmek için 20 ye yakın teknolojinin şirket içinde birbirine doğrudan bağlı şekilde çalışmasını sağlamak ile olabilmektedir. O nedenle çözümün bir parçası olan her teknoloji üreticisi ürününü mahremiyet yasalarına çözüm olarak konumlandırmaktadır. Bir de şirketlerde kullanılan onlarca farklı yazılımı hesaba kattığınızda işin içinden zor çıkılır hale gelmektedir. Öyle bir çözüm olmalı ki hem yukarıda saydığımız bir çok işlevi tek noktada birleştirmiş olmalı hem de şirketlerin şu an kullandıkları iş yazılımları ile entegre olabilmelidir.
GovernID, yasal uyumluluklara uygun bir altyapıya dönüşmek için en temelde gerekli teknolojilerden 10dan fazlasını GID-O ile müşterilerine sunmaktadır. Birbirine bağlanmış çözümler yerine, yekpare bir çözüm ile GID-O verinin bireyden daha alınmadan önce gerekli süreçleri başlatmakta, açık rıza yönetimini yapmakta, şirket içine giren verilerin hesabının verilebilmesini sağlamakta ve ömrü biten verilerin nerelerden yok edilmesi gerektiğini şirketler söyleyebilmektedir.
GID-O kişisel veri ile verinin asıl sahibi olan birey ile bağlantısını hiç koparmamasını, bunu sağlarken de şirketlerin ticari hayatlarını yavaşlatmadan hızlı bir şekilde çalışmaya devam etmesini sağlayan ve bunu tek bir yazılım ile yapabilen ilk yazılımdır.”
