KURUMLARIN TOPLADIĞI ANCAK İŞLEME AMACI KALMAYAN KİŞİSEL VERİLERE DİKKAT Günümüzde şirketlerin veri güvenliği hususunda dikkate alması gereken …
KURUMLARIN TOPLADIĞI ANCAK
İŞLEME AMACI KALMAYAN KİŞİSEL VERİLERE DİKKAT
Günümüzde şirketlerin veri güvenliği hususunda dikkate alması gereken pek çok nokta bulunuyor. Şirketlerden elde ettikleri kişisel verileri güvende tutmak ayrıca korumanın yanısıra bu verilerin işleme amacı kalmadığında da kanuna uygun hareket etmesi bekleniyor. Aksi gibi bir durumun şirketler için ciddi yaptırımlarla sonuçlanabileceğinin altını çizen Siberasist Genel Müdürü Serap Günal, Siber Güvenlik Farkındalık Ayı’na özel olarak işleme amacı kalmayan verilerin olası bir veri ihlali durumunda kurumları zor durumda bırakacağını belirterek izlenmesi gereken 4 adımı paylaşıyor.
Şirketlerin topladıkları veriler ile ilgili her türlü riski ayrıca zorluğu göz önünde bulundurarak hareket etmesi gerekiyor. Kurumların kişisel verileri ne kadar süreyle ayrıca hangi amaçla sakladığını belirlemesi ise kritik önem taşıyor. Saklanan verilerin periyodik olarak gözden geçirilmesi ayrıca işleme amacı kalmayan verilerin silinmesi ya da anonimleştirilmesi gerektiğini ifade eden Siberasist Genel Müdürü Serap Günal, bu yükümlülük doğrultusunda şirketlerin işleme amacı kalmayan veriler özelinde yapması gerekenleri sıralıyor.
İşleme Amacı Kalmayan Verilerle İlgili Uygulanması Gereken 4 Adım!
Kişilerin rızası alınarak ayrıca belirli amaçlar için elde edilen verilerin işlenmesi ile ilgili durumların ortadan kalktığı bir ortamda veri sorumlularının işlenen verileri silmesi, yok etmesi veya anonimleştirmesi gerekiyor. Bu yükümlülüğün kanunlara uygun bir şekilde uygulanmadığı durumların şirketler için yıkıcı sonuçlar doğurabileceğini aktaran Serap Günal hem KOBİ’ler hem de büyük ölçekli şirketlerin işlenmeyen veriler için izlemesi gereken yolu 4 maddede paylaşıyor.
1. İşleme amacı kalmayan verileri tespit edin. Periyodik olarak kontrol edilen verilerden hangilerinin işleme amacı kalmadığını tespit etmek şirketlerin dikkat etmesi gereken ilk husus olarak sıralanıyor. Bu nedenle silme işlemi gerçekleşecek kişisel verilerin belirlenmesi önem taşıyor.
2. İlgili kullanıcıları tespit edin.İşleme amacı kalmayan verilerin tespit edilmesinden sonraki aşamada tespit edilen veriler için ilgili kullanıcıların da belirlenmesi gerekiyor. Bunun için şirketlere erişim yetki ayrıca kontrol matrisi ya da benzeri bir sistem kullanmaları öneriliyor.
3. Erişim yöntemlerini ayrıca yetkilerini tespit edin. İşleme amacı kalmayan verilerin ayrıca kullanıcıların tespitinden sonra ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetki ayrıca yöntemlerinin kapatılması ayrıca ortadan kaldırılması gerekiyor.
4. İşleme amacı kalmayan verileri silin. Son aşamada şirketlerden kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ayrıca yöntemlerinin tamamen ortadan kaldırılması gerçekleşiyor.