Borsa Personeline Eğitimi Verildi
Ticaret Borsası (PTB) bünyesinde görev yapan personele yönelik; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında bilinçlendirme ve farkındalık eğitimi gerçekleştirilmiştir. Programda; kişisel verilerin korunmasının önemi, yasal yükümlülükler, veri sorumlularının dikkat etmesi gereken temel hususlar ve veri güvenliği tedbirleri kurumsal süreçlerle ilişkilendirilerek ele alınmıştır.
Eğitim kapsamında; personelin günlük iş akışında sıklıkla karşılaştığı üye işlemleri, yazışmalar, arşivleme, ziyaretçi yönetimi, kamera kayıtları ve dijital başvuru formları gibi süreçler üzerinden uygulamaya dönük örnekler paylaşılmış; KVKK ilkelerine uygun hareket etmenin hem uyum hem de operasyonel sürdürülebilirlik açısından kritik öneme sahip olduğu vurgulanmıştır.
Kapsam: KVKK temel ilkeler, veri işleme faaliyetleri, güvenlik tedbirleri ve kurumsal süreç uyumu.
Vurgu: Gereksiz veri toplamanın önlenmesi, erişim/yetki disiplininin güçlendirilmesi, saklama–imha mantığının işletilmesi.
Çıktı: Personel farkındalığı, standartlaşma, ihlal risklerinde düşüş ve uyum olgunluğu artışı.
1. Eğitimin Kapsamı ve İçeriği
Eğitim programı; kurumun kişisel veri içeren operasyonlarını bütüncül biçimde ele alacak şekilde yapılandırılmıştır. Bu kapsamda KVKK’nın temel kavramları, veri sorumlusu ve veri işleyen rol ayrımı, hukuki işleme şartları, aydınlatma yükümlülüğü, ilgili kişi hakları ve veri güvenliği tedbirleri pratik uygulama perspektifiyle aktarılmıştır.
Özellikle borsa operasyonlarında yoğun temas edilen süreçler (üye kayıtları, üye evrakları, yazışmalar, sözleşmeler, arşivler, ziyaretçi giriş-çıkış kayıtları, kamera kayıtları) üzerinden; verinin toplanması, kaydedilmesi, saklanması, aktarılması ve imhası aşamalarında dikkat edilmesi gereken kontrol noktaları netleştirilmiştir.
| Modül | Kurumsal Odak |
|---|---|
| KVKK genel çerçeve | Kanunun amacı, kapsamı, temel ilkeler ve rol/sorumlulukların doğru konumlandırılması |
| Kişisel veri & özel nitelikli veri | Kurumsal süreçlerde sık karşılaşılan veri tipleri, sınıflandırma ve koruma yaklaşımı |
| Veri işleme şartları | Hukuki sebep seçimi, açık rızanın istisnai konumu, aydınlatma ile uyumun sağlanması |
| Veri güvenliği tedbirleri | Yetkilendirme, erişim kontrolü, loglama, şifreleme, yedekleme, güvenli paylaşım kanalları |
| İhlal ve olay yönetimi | Şüpheli durumların eskalasyonu, kayıt-altına alma ve koordinasyon yaklaşımı |
| İlgili kişi başvuruları | Başvuru süreç yönetimi, yanıt süreleri, iç iş akışı ve izlenebilirlik |
2. Ele Alınan Başlıklar
Katılımcıların günlük iş akışına doğrudan etki eden konu setleri; sade, anlaşılır ve süreç bazlı şekilde ele alınmıştır. Amaç; teorik bilginin sahaya taşınması, personelin “doğru refleks” geliştirmesi ve kurum içinde ortak bir veri koruma standardı oluşmasıdır.
2.1. Öne Çıkan Konu Alanları
- Veri minimizasyonu: Form ve evraklarda amaç dışı veri toplanmasının önlenmesi
- Amaçla sınırlılık: Toplanan verinin yalnızca tanımlı amaç kapsamında kullanılması
- Doğruluk ve güncellik: Kayıtların kontrollü güncellenmesi, mükerrer/veri kirliliği risklerinin azaltılması
- Erişim disiplini: “Bilmesi gereken” prensibi, rol bazlı erişim ve yetki matrisi yaklaşımı
- Güvenli paylaşım: E-posta/ek/paylaşım linkleri üzerinden sızıntı risklerinin düşürülmesi
- Saklama ve imha: Saklama süreleri ile arşiv düzeninin uyumlaştırılması, imha kayıtlarının standardı
Kurumsal süreç bütünlüğünü desteklemek amacıyla; kullanıcı hesapları, parola politikası, yetkili kullanıcılar ve log kayıtları gibi teknik başlıklara da operasyonel bakışla değinilmiştir.
3. Saha Riskleri ve Kritik Hatalar
Eğitim kapsamında; kurumlarda en sık karşılaşılan ve veri ihlaline dönüşme potansiyeli taşıyan risk alanları “kontrol noktaları” şeklinde ele alınmıştır. Bu yaklaşım, hem önleyici tedbirleri güçlendirir hem de personelin günlük operasyonlarda hızlı karar almasına destek olur.
Yetkisiz Erişim & Paylaşım
Ortak klasörler, kontrolsüz e-posta ekleri ve geniş yetkili kullanıcılar; kişisel veri sızıntısı riskini artırır. Rol bazlı erişim ve kayıt altına alınmış paylaşım kanalları kritik önem taşır.
Gereksiz Veri Toplama
Formlarda “alışkanlık” nedeniyle istenen fazladan alanlar, kurumun risk yüzeyini büyütür. Amaçla uyumlu ve minimum veri ilkesi kurum standardı haline getirilmelidir.
Arşiv ve Saklama Kopukluğu
Saklama süreleri net değilse; imha edilemeyen veri birikir, denetlenebilirlik azalır. Saklama–imha planı ve imha kayıtları operasyonel olarak işletilmelidir.
Farkındalık Eksikliği
Şüpheli e-posta, link ve ekler üzerinden oltalama riski; personel refleksi ile doğrudan ilişkilidir. Bildirim/eskalasyon mekanizması net olmalıdır.
4. Kurumsal Kazanımlar
Eğitim ile hedeflenen temel çıktı; personelin kişisel veriyi bir “günlük operasyon bileşeni” olarak doğru konumlandırması ve süreçlerde standart, izlenebilir ve güvenli bir yaklaşım geliştirmesidir. Bu yaklaşım, uyum olgunluğunu yükseltirken olası ihlal senaryolarında kuruma hız ve koordinasyon kabiliyeti kazandırır.
- Farkındalık artışı: Personelin veri işleme adımlarını doğru sınıflandırması ve riskleri erken fark etmesi
- Standartlaşma: Form, evrak, yazışma ve arşiv pratiklerinde kurum standardının güçlenmesi
- Risk azaltımı: Yetkisiz erişim, yanlış paylaşım ve saklama hatalarına bağlı risklerin düşürülmesi
- Kurumsal güven: Üyeler ve paydaşlar nezdinde veri koruma yaklaşımının güçlenmesi
5. Önerilen Aksiyon Planı
Eğitimin saha etkisini artırmak için; dokümantasyon, süreç tasarımı ve teknik kontrollerin birlikte ele alındığı bir aksiyon seti önerilmektedir. Aşağıdaki başlıklar, hızlı iyileştirme ve sürdürülebilir uyum yaklaşımı için pratik bir yol haritası sunar.
| Aksiyon | Hedeflenen Etki |
|---|---|
| Form ve doküman revizyonu | Amaç dışı veri alanlarının kaldırılması, aydınlatma katmanının güçlendirilmesi |
| Yetki matrisi ve erişim gözden geçirme | “Bilmesi gereken” prensibinin işletilmesi ve yetki genişlemesinin önlenmesi |
| Saklama–imha disiplininin kurulması | Veri birikiminin azaltılması, denetlenebilirliğin artması ve risk yüzeyinin daraltılması |
| Teknik kontrollerin güçlendirilmesi | MFA, parola politikası, loglama, yedekleme, güvenli paylaşım ve uç nokta güvenliği |
| İhlal bildirim ve eskalasyon hattı | Şüpheli durumlarda hızlı reaksiyon, koordinasyon ve kayıt altına alma |
| Periyodik eğitim takvimi | Yılda en az bir tekrar ve yeni personel için oryantasyon modülü ile süreklilik |
