KVKK – Anonim, Anonimleştirilmiş, Niteleyici, Kimliği Belirleyen, Kimliği Belirli, Rumuzlu, Kişisel Olan ve Olmayan Veriler…

28 Ekim 2017 tarihi itibarı ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” resmi gazetede yayımlandı. Konu sıcak iken kişisel veri korumaya ilişkin bazı kavramları irdelemek güzel olabilir. Buyurun sizleri buradan alalım:


Kişisel Veriler – Kişisel Olmayan Veriler

KVKK ve Avrupa Birliğindeki Kişisel Verileri Koruma Kanunlarındaki yaklaşımlara göre; Kişisel Veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade etmektedir.

“Belirlenebilir gerçek kimse”den kasıt; “doğrudan ya da dolaylı olarak, özellikle bir isim, kimlik numarası, lokasyon bilgisi, çevrimiçi tanımlayıcı” ya da “fiziki, fizyolojik, genetik, zihinsel, ekonomik, kültürel ya da sosyal kimlik biyolojik ve çevresel faktörlere özgü bir ya da birden fazla faktör gibi tanımlayıcılara atıfta bulunularak, belirlenebilir olan” kişidir.

Burada tanımlanan anahtar kelime” ilişkin “ibaresidir. Bu geniş ibare, kişinin kim olduğuna veya kişinin bilinmesine yardımcı olup olmadığına bakılmaksızın, belirli bir kişiyle ilgili herhangi bir veri veya bilgiye karşılık gelir. Bu; bir bireyle ilişkisi ve kişisel olmayan veriden, açık biçimde farklı bir veridir diyebiliriz.

Örneklerle ilerlersek:

Kişisel Veri: “Ayşe Yıldız’ın saçları kızıl renklidir”

Bu cümlede, üç kişisel veri parçası bulunmaktadır. İlki; bir ad olan Ayşe’dir ki, adı ve soyadı Ayşe Yıldız olan bir bireye ilişkin ilk isimdir. İkincisi soyadıdır. Son olarak, kızıl saçlar da Ayşe Yıldız ile ilgilidir.

Kişisel Olmayan Veri: “Bazı insanların saçları kızıl renklidir”

Yukarıdaki cümlede herhangi bir kişisel veri belirtilmemiştir, çünkü veriler bir kişiyle alakalı, tanımlanmış veya tanımlanabilir değildir. Genel olarak insanlarla ilgilidir.

Kimliği Belirli Veriler – Rumuzlu (Bulanıklaştırılmış) Veriler

Rumuzlu (Bulanıklaştırılmış) veriler kavramı üzerinde, kanun yeni olduğu için bizde olmasa da yurtdışında çok gelgitler yaşanmış durumda. Bu yüzden GDPR’den gelsin tanım:

‘Rumuz Kullanımı (Bulanıklaştırma); kişisel verilerin kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile, ilave bilgilerin ayrı saklanması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesidir. Bu tanımdaki anahtar ifade, verilerin artık ek veriler olmaksızın bir kişiye atfedilemeyeceği, ilişkilendirilemeyeceğidir. Karışık gelmiş olabilir, örneklerle ilerleyelim:

Kimliği Belirli Veri: “Ayşe Yıldız’ın saçları kızıl renklidir”

Yukarda Kişisel Veri örneğimizde kullandığımız aynı ifade, kimliği belirli veridir çünkü birey Ayşe Yıldız, ifadede açıkça tanımlanmıştır.

Rumuzlu (Bulanıklaştırılmış) Veri: “Personel X’in saçları kızıldır.”

Burada, kişinin adı ve soyadı işlenmiştir ve Personel X ile değiştirilmiştir. Başka bir deyişle, “O”na bir rumuz atanmıştır fakat yine de kimliği hala belirlenebilir. Yukarıdaki tanımı hatırlarsak; Kişisel Veriler, kimliği belirlenmiş veya belirlenebilir bir kişiyle ilgili verilerdir. Kızıl saçlar, hâlâ belirlenebilir bir kişiyle, Personel X (diğer bir deyişle potansiyel olabilecek Ayşe Yıldız) ile ilgilidir. An itibarıyla kim olduğunu bilmiyoruz. Potansiyel olarak, Personel X’i, Ayşe Yıldız’a bağlayan bilgiler ile ilişkilendirebiliriz. Dikkat edilmesi gereken nokta; kızıl saçlar potansiyel olarak kimliği açığa çıkarabilir. Eğer Ayşe Yıldız ortamdaki tek kızıl saçlı personel ise, Personal X’i Ayşe Yıldız olarak tanımlamayı çok daha kolay hale getirir. Atfedilebilir (Niteleyici) verilerin birçoğu diğer verilerle birleştirildiğinde potansiyel olarak kişiyi yeniden belirleyebileceği için bu büyük bir gizlilik riskidir.

Kimliği Belirleyen Veriler – Niteleyici Veriler

“Ayşe Yıldız’ın saçları kızıl renklidir” ifadesine baktığımızda, “kimliği belirleyen veriler” ile “niteleyici veriler”in ayrımını yapabiliriz.

Kimliği Belirleyen Veri: “Ayşe Yıldız”

Dünyadaki Ayşe Yıldız’ların sayısı tartışmalarına girmeden, bir kişinin adını soyadını, kimlik belirleyici bir veri olarak düşünebiliriz.

Niteleyici Veri: “kızıl saçlar”

Kızıl saçlar bir atıftır, niteleyicidir. “Ayşe Yıldız’ın saçları kızıl renklidir” ifademiz söz konusu olduğunda, bir kişiyi niteleyebilir, bir kişiye atıfta bulunabilir. Bu, bir rumuzu da niteleyip, atfedebilir: “Personel X’in saçları kızıldır.” Aşağıda göreceğimiz gibi, aynı zamanda anonim şekilde de niteleyebilir.

Anonim Veriler – Anonimleştirilmiş Veriler

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Anonim Veri: “İnsanların saçları kızıl renklidir”

Bu açıklamada, belirli bir kişiden asla bahsetmedik; insanlar hakkında genel bir ifade ve insanlar tarafından paylaşılan bir atıf yapıyoruz.

Anonimleştirilmiş Veri: “Personel’in saçı kızıldır”

Bu açıklama için Kimliği Belirli Veri (“Ayşe Yıldız’ın saçları kızıl renklidir.”) kullandık ve potansiyel olarak anonim şekilde işleme tabi tutulduk. Şimdi, Rumuzlu Veri ile sunulan muammaya geri döndük. Özellikle, Ayşe Yıldız kızıl saçlı tek personel ise, o zaman bu anonim değildir. Ayşe Yıldız, kızıl saçlı bir avuç personelden biri olsa bile, anonim olma derecesi oldukça düşüktür. Bu, “k-anonimity” kavramı olup, belirli bir birey, veri setindeki diğer k-1 kişiden ayırt edilemez. Bununla birlikte, bu bile yeterli anonimleştirme garantisi sağlamayabilir. İsimlerin, etnik kökenlerin ve kalp rahatsızlıklarını ihtiva eden bir tıbbi veri setini düşünün. Bir hastane, kalp rahatsızlıklarının anonim bir listesini (kalp yetmezliği olan 3 kişi, olmayan 2 kişi) yayımlasın. Dışarıdan bilgisi olan (Ör, Japon kökenli kişilerin nadiren kalp yetmezliği olduğunu bilen ve hastaların adlarına sahip olan) birinin, kalp yetmezliği geçiren ve geçirmeyenler için oldukça doğru bir tahmin yapabilirdi. Bu çıkarım, anonimleştirilmiş verilerde l-diversity kavramını doğurmuştur. Buradaki önemli nokta, spesifik bir bireyle hiçbir zaman ilişkili olmayan Anonim Veriden farklı olarak, Anonimleştirilmiş Veri (ve Rumuzlu / Bulanıklaştırılmış Veri) potansiyel bir “kimliğinin yeniden tespit edilebilme riski” ne karşı dikkatlice incelenmelidir.


“Verilerin anonimleştirilmesi potansiyel bir mayın tarlasıdır.”

Anonimleştirilmiş Veri’ye aynı örnekten devam ederek noktalayalım.

(bu motto ve yazımıza ilham kaynağı olan privacy maverick’ e teşekkürler)

Artık her yazımızın sonuna Peter Drucker’a ait bir söz ekleyerek bitirelim:

“Bir cesedin kokuşmasını önlemeye çalışmak kadar zorlu, masraflı ve nafile bir çaba yoktur. Miadını doldurmuş işler için kaynakları israf etmekten vazgeçin ve yetenekli insanlarınızı yeni fırsatlardan yararlanmaları için özgür bırakın. “

Peter F. Drucker

KVKK Uyum Geçiş Süreçleri için Özdeğerlendirme Soruları

Bilindiği üzere organizasyonların, KVKK’yi (Kişisel Verileri Koruma Kanunu) 7 Ekim 2016 tarihi itibarı ile, uygulama yükümlülüğü mevcut. Avrupa Birliği ve Avrupa Ekonomik Alanı ülkeleri ise, kişisel veriler ile ilgili düzenlemeleri 1996 yılından (ve hatta kısmi olarak daha eski) bu yana hayatlarında tecrübe etmekteler. Kanunumuz ile; kurumların, yaşayan birey verisine dokunduğu süreçlerinde artık hiçbir şey eskisi gibi olmayacak. Lakin diğer regülasyonlarda tecrübe edildiği gibi, bizi öldürmeyen kuvvetlendireceğinden; mahremiyet, bilgi güvenliği, risk yönetimi vb. disiplinlerinde düzgün adaptasyon ile, ülke ve kurumlar olarak sıkılaşacağımızı düşünüyorum. Kanun’un ortaya çıkma sebeplerinden biri olan bireylerin temel hak ve özgürlüklerindeki kazanımlar da cabası.

Kanuna uyum ve kişisel verileri koruma; 
bir proje değil,
tamamlanma tarihi olmayacak,
yaşayan bir sistem...

Kanun’a uyum ve kişisel verileri koruma; bir proje değil, tamamlanma tarihi olmayacak, ve yönetim sistemlerinde (ISMS/BGYS, BCMS/İSYS, ITMS/BTYS, QMS/KYS vb.) olduğu gibi, tanımlanmış fazları (PDCA/PUKÖ vb.) ve döngüleri üzerinde ne kadar bilinçli spin atılırsa, o kadar olgunluğu artacak yaşayan bir sistem olacağı görüşündeyim. Bu yüzden henüz hayata geçirmemiş kurumlar, organizasyon şemalarında bu alana (mahremiyet/privacy) veya bu alanın da dahil edildiği ortak paydalı disiplinlere yer açmayı değerlendirmeleri faydalı olacaktır.

Hazır konuya girmişken bir öngörü daha yapalım o zaman: (bahsedeceğimiz birim/sorumluluk ile halihazırda yaşayan vizyoner kurumlarımızı hariç tutarak) nasıl ki mahremiyet (privacy) kapsamlı nur topu gibi bir bebeğimiz olduysa yakın/orta gelecekte konjonktüre binaen, “etik” adında başka bir sorumluluk ve yönetim alanımız da olabilecektir.

Bu yazımızda; hem GDPR üzerine doküman (özellikle BFDI yayını) incelemelerimizde hem de kişisel veriler uyum projelerimde, “atlanmaması gerekenler” olarak belirlediğim alanlara dair öz değerlendirme soruları sormaya çalışıyoruz. Aşağıda paylaşılanlar; çoğunun yerine getirilmesi haftalar alabilecek ana çalışma konuları altında, bir nevi checklist soruları olarak görülebilir. Baştan ifade etmekte fayda var, bunlar bir proje planı adımları değil ve Kurul’un duyuru ve yayınları ile eklenebilecek, yer verilmemiş kalemler de mevcut. Maksat; organizasyon olarak uyum sağlamaya çalıştığımız ve bazılarını henüz yapmamış olabileceğimiz çalışmaları gözden geçirmek, hatırlatmak ve eksiklikler varsa bir yerlere not almak ve en önemlisi düşündürmek amacıyla bazı sorular ile bir öz değerlendirme yaklaşımı… O zaman başlayalım:

I. Organizasyonel Yapı ve Sorumluluklar

  1. Şirkette, (kişisel) verileri korumanın, yönetimin sorumluluğu olduğunun farkındalığı var mıdır? Ör;
    • Veri koruma yönetmeliklerinin, politikalarının varlığı
    • Veri koruma hedeflerinin tanımlanmış olması
    • Sorumlulukların düzenlenmesi
    • Veri koruma riskleri konusunda farkındalık
  2. Şirketiniz, bir veri koruma görevlisine veya eşlenik sorumlukta bir role sahip mi?
    • Değilse neden?
    • Evet ise, hangi konularda kim tarafından hangi alanlarda görevlendirilecektir?
    • Evet ise hangi alanlarda görev, yetki ve sorumlulukları bulunmaktadır? Net ve resmi olarak tanımlanmış mıdır?
    • Evet ise, “Veri Sorumluları Sicili Hakkında Yönetmelik” te tanımlanan veri sorumlusu temsilcisi veya irtibat kişisi sıfatlarından herhangi birine haiz midir ve sicile bildirimi düşünülmekte midir?

II. İşleme faaliyetlerine genel bakış

  1. KVKK’nin “Kişisel Verilerin İşlenmesi” tanımında yer alan “kaydedilme” kapsamında işleme faaliyetleriniz hakkında kayıtlarınız ve bu kayıtların yönetim süreci var mı?
  2. Kurumunuz; her veri düzeltimi veya değiştirimi içeren işleme faaliyetinde; (kişisel) veri koruma hususlarının dikkate alındığını ve yönetildiğini nasıl garanti eder?

III. Üçüncü tarafların katılımı

  1. Faaliyetlerinizin yürütülmesi için üçüncü taraflar (veri işleyen) kullanıyor musunuz?
    • Evet ise, veri işleyenlerinize karşı gözetim süreciniz mevcut mudur?
    • Evet ise, tüm veri işleyenlerinizle KVKK Madde 12.2’nin asgari içeriğini içeren gerekli anlaşmaları imzaladınız mı?

IV. Şeffaflık, aydınlatma yükümlülükleri ve ilgili kişi haklarının güvencesi

  1. Veri toplama esnasında ilgili kişilerin veri korumasıyla ilgili bilgilendirme metinlerinizi KVKK Madde 10.1’e uygun hale getirdiniz mi?
    KV yükümlülüklerinize yönelik yakın gelecekte lazım olabilecek alttaki hazırlıklar, çalışma kapsamınızda mıdır?
    • Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri, VERBİS’in 2018 başında devreye gireceği bildiriliyor ve kişiyi tespit (ve ikna:) ) etme süresi azalıyor.
    • Kişisel verileri işlemenin hangi amaçla yapıldığı ki bunu data envanterinden toplamanız gerekebilir,
    • Kişisel verilerin aktarıldığı alıcı veya alıcı grupları, ki bu da uzun bir çalışma gerektirebilir structured bir knowledge management süreciniz yoksa
    • İlgili kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, yine VERBİS’in isteyeceği alanlardan bir tanesi
    • Kişisel verilerin işlenmesi için yasal dayanaklar. Bu sorunun cevabını ben değerli avukatlarımızdan destek alarak cevaplamanın doğru olduğu kanaatindeyim.
    • Verilerinizi sizin adınıza veya üçüncü şahıslar adına işlendiği durumlarda amaç, meşru menfaatler ise: bu meşru menfaatlerin neler olduğu
    • Saklama süresi; bu bilgi sağlanamıyorsa bile depolama periyodunun belirlenmesi.
    • Verisi işlenen ilgili kişinin verisine erişim, düzeltme, silme, işlemeyi kısıtlama hakları, özel durumlarda itiraz etme hakları ve verisinin taşınabilirliği için ortam mevcudiyeti
    • İşlemeye ilişkin yasal dayanak açık rıza ise: ilgili kişinin herhangi bir zamanda onayını geri çekme için bildirim veya kanal mevcut mudur?
    • Bir gözetim makamına şikayet etme hakkı, süreci biliyor musunuz?
    • Kişisel verilerin tedarik edilmesinin, bir yasal veya sözleşmeye dayalı gereklilik olup olmadığı veya bir sözleşmede şart olup olmadığı. Bu madde ile ilgili sözleşmelere vakıf olmak ve gerekliliklerimiz ile kendimizi Kanunun 5.2.c tentesinin altına almakta fayda var derim.
    • Kişisel verisini, ilgili kişiden temin etmediyseniz: kişisel verilerin hangi kaynaktan temin edildiği ve varsa kamuya açık kaynaklardan gelip gelmediği; dikkat alenileştirilmiş veriden bahsetmiyoruz.
    • Pazarlama izni kullanıyor iseniz; müşteriler, potansiyel müşteriler vb. için KVKK uyumlu hale getirilip getirilmediği; bu konuda da Kurul’umuzun aydınlattığı şekilde ilerlemek gerekecek zira muallak konular mevcut bu alanda.
  2. KVKK’ya göre ilgili kişinin kişisel verilere erişim taleplerini derhal ve tamamen yerine getirmek için bir prosedür oluşturdunuz/tasarladınız mı?
  3. Düzeltim ve silme taleplerinin kabulü ve gerçekleştirimi sonrası ilgili kişinin bu talepleri için bağlantılı ve aktarılmış taraflara da bildirimini karşılamak için prosedür hazırladınız mı? Konunun çok dışına çıkmadan bir ipucu: ISO 22301 İş Sürekliliği Yönetim Sisteminde çok güzel bir vektör vardır: İPA; İlgili Partiler Analizi, organizasyonda bu varsa taraflarınıza hakimiyetiniz daha fazla olacaktır, daha fazla bilgi için Özgüven Saymaz Hoca’nın kitap ve dokümanları iyi bir referans olabilir.

V. Yükümlülük, Bilgi Güvenliği ve Risk Yönetimi

  1. Her veri işleme faaliyetinin, hukuka uygun işlendiğini ispatlamayı sağlayan bilgi var mı? Ör. Amaçlarla ilgililik, kişisel veri kategorileri, alıcılar ve/veya silme periyotları
    • Veri işlemenizin dayandığı açık rıza metinlerinin KVKK’nin 10. maddesi (aydınlatma yükümlülüğü) gereklilikleri ile uyumlu olup olmadığını değerlendirdiniz mi?
    • Rızanın verildiğine ait tüm yazılı, sözlü ve (varsa) sosyal medya kanıtlarını gösterebilecek durumda mısınız?
  2. Veri işleme sürecinizin KVKK’a uyumlu olduğunu kanıtlamak, taahhüt edildiği gibi yaşadığına güvence sağlayabilmek ve sistemi sürdürülebilir kılmak için bir Veri Koruma Yönetim Sistemi planladınız mı?
  3. Var olan güvenlik süreçlerinizi; KVKK’nın 8.2.b, 12.1, 12.2 ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı’nın 3.7.1.d-e, 4.8.2, 4.8.3.c, 4.9.2 maddelerine göre analiz ettiniz ve gerekli düzenlemeleri yapmaya başladınız mı?
    • Güvenlik önlemlerinin düzenli gözden geçirilmesi, değerlendirilmesi ve iyileştirilmesi için uygun bir yönetim sistemi uygulanmakta mıdır? (ISO 27001, PCI/DSS, CobIT denetimleri, kısmen ise penetrasyon testleri fayda sağlayacaktır)
    • Mevcut kurumsal ve BT Risk Yönetimi yaklaşımınıza yakın gelecekte Mahremiyet Etki Analizi (Privacy Impact Analysis) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) bileşenini de dahil etmeniz gerektiğini biliyor musunuz?
  4. Yakın gelecekte kurumsal risk yönetimi yapınıza bir bileşen olarak girebilecek Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) hakkında bilginiz var mı?
    • (Evet ise); organizasyonunuzda bir Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) yapılıp yapılmayacağını belirlemek için uygun bir yöntem oluşturdunuz mı? Organizasyonunuzda uygun bir risk metodu kurguladınız mı? Bu değerlendirmeleri yapabilmek için organizasyonunuzda bir süreç seçtiniz mi?

VI. Kişisel Veri İfşa ve İhlalleri

  1. Önümüzdeki dönemlerde yapılacak düzenlemeler çerçevesinde kişisel veri ihlallerinin denetim otoritesine bildirilmesi gerekeceğini biliyor musunuz?
    •  Organizasyonunuzda veri ihlallerinin tespit kabiliyetine sahip misiniz?
    •  İhlallerinin risklerini tespitine yönelik uygun bir yönteme sahip olduğunuzu düşünüyor musunuz?
    • Olası ihlaller ile ilgili dahili olarak nasıl başa çıkılacağı üzerine bir süreç düşündünüz mü?

Bu özdeğerlendirme sorularını tablo formatında incelemek isterseniz aşağıdaki tabloyu kullanabilirsiniz:

KVKK – Veri Kategorileri

Bu yazımıza; 07 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’un amaç kısmı ile giriş yapalım:

…kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerintemel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir

Bu amaç doğrultusunda kanun; kurumlara kişilerin verilerini işlerken şimdiye kadar yaşam döngülerinde alışa gelmedikleri kadar yükümlülükler getirmektedir. Kurumların hayatlarında artık ilgilenmeleri (/daha fazla ilgilenmeleri) gereken nur topu gibi mahremiyet (privacy), bilgi güvenliği, hukuk, uyum ve risk gibi kaçınılmaz global disiplinler arası yaklaşımlar mevcut. Genel olarak organizasyonlarda “biz fazla kişisel veri işlemiyoruz zaten”, “çalışan sayımız az, kanun muhtemelen bizi çok etkilemez”, “hukukçularımız ilgilenir”, “çalışanlara protokol imzalattık, web sayfamıza da bildirimi koyduk, yeterli aydınlatmayı da yaptık mı çoğunu halletmiş oluyoruz” gibi kulağımızın üzerine yatma meylimiz olduğu gibi, bu konuyu çok güzel yürütmeye çalışan, yeri geldiğinde danışmanlık alan, rol ve sorumluluklarını belirleyip, düzenli aralıklar ile proje adımlarını raporlayan yaklaşımlar da görmekteyiz.

Bu girizgahın ardından, kanunda geçen “kişiler” sözcüğünün biraz hafife aldığımızı düşündüğümüzü belirtmek istiyorum. Sadece müşteri ve çalışan odaklı çalışmalar yapmak; puzzle‘da bir süre sonra parçaların yanlış yerleştirildiğini fark etmeyi, resmin bir türlü neden tamamlanamadığına kafa yormayı, eksik parçaların halının altlarında aranması gibi tekrar süreçlerini doğurabilir. Bu bağlamda müşterilerin ve çalışanların yanı sıraçalışan adaylarının, taşeron çalışanların ve tedarikçiiş ortağı çalışanlarına ait verilerini de yönetmek gerekiyor. Filmin bu aktörlerine ait bileşen kategorilerine bazı örnekleri aşağıda bulabilirsiniz. Altını çizmemiz gereken ise, bu kategorilerin norm olmadığı, aşağıdakiler ile sınırlı kalmayabileceği ve kurum, sektör bünyesine göre eklemeler, çıkarımlar gösterebileceğinin hatırlanmasıdır.

ÇALIŞANLARA AİT KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad soyad, * Tüm kimlik bilgileri, *TC kimlik numarası, *Milliyeti, *Medeni durumu, * Doğum tarihi, *Bazı durumlarda kimlik fotokopisi

İletişim Bilgisi

*Telefon numarası, *Açık adres bilgisi, *e-posta adresi

Finansal Bilgi

*Finansal ve maaş detayları, *Çalışanlara özel kredi risk raporları, *Prim listesi, *İcra takip dosyalarına ilişkin dosya ve borç bilgileri, *Banka bilgileri

Eğitim Bilgisi

* Öğrenim durumu, * Sertifika ve diploma fotokopileri, * Eğitim ve beceriler, * CV

Görsel ve İşitsel Veri

* Gerçek kişiye ait fotoğraf, *ses kayıtları, *kamera kayıtları

Çalışan Performans ve Kariyer Gelişim Bilgisi

* Eğitim katılım formları, * eğitim saatleri ve süreleri, * (varsa) sınav sonuçları, * iç terfi değerlendirme süreçleri (İngilizce, genel yetenek sınavları, kişilik envanteri), * etik uygunsuzluk raporları, * personel terfi transfer hareketleri dosyası, * dış arama ekibi puantaj ve performans raporları, * toplantı kayıtları, * scorecard bilgileri, * işe giriş tarihi, * haftalık çalışma saatleri (login-logout kayıtları)

Aile, Yakın Bilgisi

* Aile bildirim formları

Özel Nitelikli Kişisel Veri

* Sağlık poliçeleri, * Engeli ile ilgili sağlık raporları, * Sağlık beyan belgesi, * Sağlık raporları, * Hamilelik durumu, hamilelik raporu, * Meslek hastalığı kayıtları, * İşe giriş muayene formu, * Günlük hasta şikâyetleri, * Kullanmakta olduğu ilaçlar, * Klinik geçmişi, * Akciğer grafisi, * İşitme testi, * Göz muayenesi, * Kan grubu bilgisi, * Sabıka kaydı, * Din bilgisi, * Oruç tutanlar listesi

Diğer

* Araç bilgileri, * çalışanların kullandığı iş bilgisayarlarının IP adresleri, * web gezinti hareketleri, * hobileri, * çıkış mülakat raporları, * terhis belgesi, * yıllık izin kullanım defteri / kayıtları, * işten çıkış mülakat formları, * SGK sicil numarası

ÇALIŞAN ADAYLARINA İLİŞKİN KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad-soyad, * TC Kimlik Numarası, * Milliyeti, * Medeni durumu, * Bazı durumlarda kimlik fotokopisi 

İletişim Bilgisi 

* Kişiyle iletişime geçilmesini sağlayacak herhangi bir iletişim bilgisi (Tel, e-mail, adres, sosyal medya hesabı, vb)

Finansal Bilgi 

* Finansal ve maaş detayları, * Adaylara özel kredi risk raporları 

Eğitim Bilgisi

* Öğrenim durumu, * Eğitim ve beceriler, * Sertifika ve diplomalara ait detaylar 

Görsel Veri 

* Vesikalık fotoğraf, * Kamera kaydı 

Mevcut İş Bilgisi 

* İş ünvanı, * CV, * aday başvuru formları 

TAŞERON ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad Soyad, * Nüfus cüzdanı fotokopisi, * Ehliyet fotokopisi,

İletişim Bilgisi

*Telefon numarası, *Açık adres bilgisi, *e-posta adresi

Finansal Bilgi

* Aylık maaş dekontları, * sigorta primi ödeme bilgileri

Özel Nitelikli Kişisel Veri

* Sabıka kaydı, * işe giriş periyodik muayene formu, * portör muayene bilgileri (yemek şirketi çalışanlarına özel), * psikoteknik belgesi (raporu)

Diğer

* İş sözleşmeleri, * mesai süreleri, * ruhsat fotokopisi, * serc2 belgesi (Sürücü mesleki yeterlilik), * İSG eğitim belgesi, * SGK tedarikçi firmada işe giriş formu 

İŞ ORTAĞI/TEDARİKÇİ ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ*

Kimlik Bilgisi

* Ad Soyad

İletişim Bilgisi

*Telefon numarası, *e-posta adresi

(*) İş ortağı/ Tedarikçi olarak; OSGB personeli (iş yerinde tam zamanlı çalışmayan iş yeri hekimi, iş güvenliği uzmanı, var ise sağlık personeli), yazılım firmalarının bakım-onarım için gönderdiği çalışanlar, elektrik firması çalışanları, teknik onarım firması çalışanları, toplu e-mailing firmaları çalışanları ve gümrük komisyoncularının çalışanları vb sınıflar olabilir.

SON NOT

BU YAZIMIZI VERBİS YAYINLANMADAN YAKLAŞIK BİR YIL ÖNCE YAZMIŞTIK. Genel normlar kapsamında şirketinizde kullanabileceğiniz veri envanteri için yukarıdakiler good practice’dir. VERBİS’in yayımladığı ve sisteminde istediği Veri Kategorileri ise aşağıdaki gibidir.

1-Kimlik •Ad soyad •Anne – Baba Adı •Anne kızlık soyadı •Doğum tarihi •Doğum yeri •Medeni hali •Nüfus cüzdanı seri sıra No •T.C. Kimlik No. •vb.

2-İletişim •Adres no, •E-posta adresi •İletişim adresi •Kayıtlı e-posta adresi

3-Lokasyon •Bulunduğu yerin konum bilgileri

4-Özlük •Bordro bilgileri •Disiplin soruşturması •İşe giriş-çıkış belgesi kayıtları •Mal bildirimi bilgileri •Özgeçmiş bilgileri •Performans değerlendirme raporları •vb.

5-Hukuki İşlem •Adli makamlarla yazışmalardaki bilgiler •Dava dosyasındaki bilgiler •vb.

6-Müşteri İşlem •Çağrı merkezi kayıtları •Fatura •Senet •Çek bilgileri •Gişe dekontlarındaki bilgiler •Sipariş bilgisi •Talep bilgisi •vb.

7-Fiziksel Mekân Güvenliği •Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri •Kamera kayıtları •vb.

8-İşlem Güvenliği •IP adresi bilgileri •İnternet sitesi giriş çıkış bilgileri •Şifre ve parola bilgileri •vb.

9-Risk Yönetimi •Ticari •Teknik •İdari risklerin yönetilmesi için işlenen bilgiler •vb.

10-Finans •Bilanço bilgileri •Finansal performans bilgileri •Kredi ve risk bilgileri •Malvarlığı bilgileri •vb.

11-Mesleki Deneyim •Diploma bilgileri •Gidilen kurslar •Meslek içi eğitim bilgileri •Sertifikalar •Transkript bilgileri •vb.

12-Pazarlama •Alışveriş geçmişi bilgileri •Anket •Çerez kayıtları •Kampanya çalışmasıyla elde edilen bilgiler

13-Görsel ve İşitsel Kayıtlar •Görsel ve işitsel kayıtlar •vb.

14-Irk ve Etnik Köken •Irk ve etnik kökeni bilgileri •vb.

15-Siyasi Düşünce Bilgileri •Siyasi düşüncesini belirten bilgiler •Siyasi parti üyeliği bilgisi •vb.

16-Felsefi İnanç, Din, Mezhep ve Diğer İnançlar •Dini aidiyetine ilişkin bilgiler •Felsefi inancına ilişkin bilgiler •Mezhep aidiyetine ilişkin bilgiler •Diğer inançlarına ilişkin bilgiler •vb.

17-Kılık ve Kıyafet •Kılık ve kıyafete ilişkin bilgiler

18-Dernek Üyeliği •Dernek üyeliği bilgileri •vb.

19-Vakıf Üyeliği •Vakıf üyeliği bilgileri •vb.

20-Sendika Üyeliği •Sendika üyeliği bilgileri •vb.

21-Sağlık Bilgileri •Engellilik durumuna ait bilgiler •Kan grubu bilgisi •Kişisel sağlık bilgileri •Kullanılan cihaz ve protez bilgileri •vb.

22-Cinsel Hayat •Cinsel hayata ilişkin bilgiler •vb.

23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri •Ceza mahkûmiyetine ilişkin bilgiler •Güvenlik tedbirlerine ilişkin bilgiler •vb.

24-Biyometrik Veri •Avuç içi bilgileri •Parmak izi bilgileri •Retina taraması bilgileri •Yüz tanıma bilgileri •vb.

25-Genetik Veri •Genetik veriler •vb.

26-Diğer Bilgiler •Kullanıcı tarafından belirlenecek veri türleri •vb.

Kişisel Verileri Koruma (KVK) – İlgili Kişi Erişim Taleplerinin Karşılanması ve Aydınlatma Yükümlülüğü (Subject Access Request)

Merhabalar;

Bu paylaşımımda KVK Kanununun 10. maddesi ve 11.maddesi ile ilişkili olan “İlgili Kişi Erişim Taleplerinin Karşılanması”nda ICO (UK) yaklaşımını ve sitesinde yer alan bilgilerin iş akış diyagramına dönüştürdüğüm halini bulabilirsiniz. Yine son günlerde cep telefonlarınıza SMS olarak gelen veya karşılaştığınız web sitelerinde pop up veya kutucuklar ile sürekli olarak size farkındalık yaratmaya çalışan aydınlatma bildirimlerinin de alttaki süreçler ile ilgili olduğunu belirtebiliriz.

Öncelikle KVKK’de yer alan ve organizasyonların belirli şartlar altında uymakla mükellef olduğu ilgili maddeleri refere edelim:

Kanunumuzun 10. maddesi: Veri Sorumlusunun Aydınlatma Yükümlülüğü 

Kanunumuzun 11. maddesi: İlgili Kişinin Hakları

Kanun kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere ilgili verileri konusunda belirli çerçevede bilgi vermekle yükümlüdür. Yine aynı bağlamda herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verileri dahilinde öğrenme, bilgi edinme, itiraz etme, düzeltim isteği, silinme, üçüncü taraflara bildirim yapılması, belirli şartlarda zararın giderilmesi gibi taleplerde bulunma haklarına sahiptir. Bu kapsamda verisi işlenen ilgili kişinin bir talebi geldiğinde ne yapılması gerektiğine dair yol haritası aşağıdaki metodoloji ile iyi pratik olarak benimsenmiştir.

KVKK kapsamında; organizasyonunuzun yapılandırdığı yanıt kanalına bir talep geldiğinde, ne yapmanız gerektiğine dair bu güzel süreç ile ilgili daha ayrıntılı bilgiyi sonraki postlarımızda yazabiliriz diyerek şimdilik topu taca atalım ve “Bir resim (diagram), bin sözcüğe bedeldir” mottosu ile, beğendiğim bu süreci iş akış diagram formuna çevirip, süreçlerimizde daha etkin fayda sağlayacağını düşünerek paylaşalım.

Not: Diagramı incelediğinizde bazı minör kısımların şimdilik bizim kanunumuzda henüz belirtilmeyen ama karşılaşabileceğimiz karar mekanizmalarına da yer verdiğini görebileceksiniz. Örneğin ilgili kişinin bilgiye erişim talebi; organizasyonlar açısından database samanlıklarımızda bir record iğnesini bulmak kadar meşakkatli olabileceğinden bazı erişim talepleri için ücret ödenmesi gerekliliğinden dem vurmakta. Düşündüğümüzde gayet mantıklı zira elin adamı;

bu çark su ile dönmüyor”, “ben de bu bilgiyi başka partilerden (sorgu başına ücret ödenen özel veya devlet kurumları vb) ücret mukabilinde alıp/teyit edip sana sunacağım” veya her önüne gelen bi öğlen kahvesi içtikten sonra “dur bakim ben bu alışveriş sitesini bi yoklayayım, bakim benim bilgilerimi nereye koymuş”

gibi gerekçeler nedeni ile bu kontrolü almış olabiliyor.

Görselin daha büyük halini indirmek için:

İyi Çalışmalar

Referans: @ICO’dan yararlanılmıştır.