6 Aralık 2019 In Genel

Kvkk Kapsamında Farkındalık Eğitimlerinin Önemi

Şirketinizde sakladığınız verileri koruyacak çalışanlarınızın farkında olamadıklarının farkında mısınız?

Günümüzde şirketlerin en önemli varlıklarından birisinin sahip olduğu bilgiler olduğu ve bunların daimi korunması ve güncellenmesi gerektiği ortadadır. Kişisel Verilerin Korunmasının önemi 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tam olarak şekillenmiş ve yaptırımlarla mevzuatımıza girmiştir.

Şirketlerin bulundurduğu verilerin korunması Kişisel Verileri Korunma Kurumu tarafından öngörülen idari ve teknik tedbirlerin uygulanmasının yanında, çalışanların bilgi güvenliğine verdiği önemden geçmektedir. Ancak bilgi güvenliğinin öneminin anlaşılabilmesi çalışanların bilgi güvenliğine ilişkin tehdit ve risklerden haberdar olması ve herhangi bir ihlal durumunda ne yapması gerektiğini bilmesi, ancak bu konuda bilgilendirilmesiyle mümkün olabilecektir.

Bilgi güvenliğinin en zayıf halkası olan insan ancak eğitildiği ve bu konuda ki farkındalığı artırıldığı sürece risk faktörü olma derecesi azalacaktır.

İDARİ TEDBİRLERDEN BİRİSİ DE ÇALIŞANLARIN EĞİTİLMESİ VE FARKINDALIK

ÇALIŞMALARI

Kişisel verilerin bilerek ya da bilmeyerek hukuka aykırı olarak paylaşılması veri ihlallerinin başında gelmektedir. Söz konusu ihlaller; veriyi koruması gereken çalışanların dikkatsizliği veya bilgisizliği nedeniyle gerçekleşebilmektedir. İyi niyet ile yapılan bazı davranışlar bile mevzuata aykırı olabilir. Bu durum şirketler bakımından mali sonuçların yanı sıra itibar kaybına da yol açabilecektir.

Bu nedenle çalışanların öncelikle kişisel verilerin ne olduğu hakkında bilgilendirilmesi, sonrasında ise her gün aldıkları, kullandıkları ve depoladıkları verileri nasıl koruyacakları konusunda eğitim almaları bilgi güvenliğinin sağlanması için önemli bir yere sahiptir.

Veri sorumlusu olarak şirketinizde ki tüm çalışanların hangi pozisyonda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin yükümlülükleri, görev tanımlarında ve iş süreçlerinde açıkça belirlenmeli ve çalışanların bu konudaki sorumluluklarının farkında olmaları sağlanmalıdır.

Verilen eğitim belirlenen politikalar doğrultusunda düzenli olarak tekrarlanmalı, işe yeni başlayan personele ise detaylı eğitimler verilmelidir. Ayrıca şirketinizde bulunan kişisel veriler sadece çalışanlarınızda olmayabilir. Bu durumda tam bilgilendirmeyi sağlamanın en temel yolu çalışanlarla birlikte, veriye temas eden ya da fiziksel olarak veriye ulaşabilecek olan tedarikçilere, paydaşlara, dışarıdan hizmet olarak alınan güvenlik, temizlik vb. personele farklı kategorilerde eğitimlerin verilmesi ve kişisel verilerin korunması yönünde farkındalık sağlanması gerekmektedir.

Kişisel Verileri Korunma Kurumu’nun yayınlamış olduğu rehberde de belirtildiği gibi  “İzin verilmedikçe her şey yasaktır” politikasının şirketlerde olağan hale getirilmesi büyük önem taşımaktadır.

Tabii ki de tüm bu eğitimlerin yanı sıra çalışanların şirketçe oluşturulmuş güvenlik politika ve prosedürlerine uymamaları halinde devreye sokulacak bir de disiplin süreçlerinin olması gerektiği unutulmamalıdır. Sistemi kurmak ve sürdürülebilirliğini sağlamak ne kadar zor görünürse gürünsün, sistem gerçek anlamıyla uygulamaya konulduğunda harcanan tüm çaba ve zamanlara değdiği, şirketlerinize artı değer kattığı ve kurumsal kültürün oluşmasına atılmış bir adım olduğu görülecektir.