Şirketlerden elde ettikleri kişisel verileri güvende tutmak ve korumanın yanı sıra bu verilerin işleme amacı kalmadığında da kanuna uygun hareket etmesi bekleniyor. Aksi gibi bir durumun şirketler için ciddi yaptırımlarla sonuçlanabileceğinin altını çizen Siberasist Genel Müdürü Serap Günal, işleme amacı kalmayan verilerin olası bir veri ihlali durumunda kurumları zor durumda bırakacağını belirterek izlenmesi gereken adımları şu şekilde sıraladı:
• İşleme amacı kalmayan verileri tespit edin. Periyodik olarak kontrol edilen verilerden hangilerinin işleme amacı kalmadığını tespit etmek şirketlerin dikkat etmesi gereken ilk husus olarak sıralanıyor. Bu nedenle silme işlemi gerçekleşecek kişisel verilerin belirlenmesi önem taşıyor.
• İlgili kullanıcıları tespit edin. İşleme amacı kalmayan verilerin tespit edilmesinden sonraki aşamada tespit edilen veriler için ilgili kullanıcıların da belirlenmesi gerekiyor. Bunun için şirketlere erişim yetki ve kontrol matrisi ya da benzeri bir sistem kullanmaları öneriliyor.
• Erişim yöntemlerini ve yetkilerini tespit edin. İşleme amacı kalmayan verilerin ve kullanıcıların tespitinden sonra ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması gerekiyor.
• İşleme amacı kalmayan verileri silin. Son aşamada şirketlerden kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin tamamen ortadan kaldırılması gerçekleşiyor.
