Yayım tarihi

GDPR, KVKK – Kişisel Veri İşleme ve İlkeleri (KVKK, GDPR ve OECD İlkeleri)

Bu yazımızda; veri işleme ve KVKK, OECD ile GDPR veri işleme prensiplerine değineceğiz.

Veri işleme kuralları ve düzenlemelerinin kapsamını aktarmak için öncelikle ‘veri işleme’ terimi iyi anlaşılmalıdır. Veri işleme, sadece kişisel verileri toplamaktan çok daha fazlasını içerir. GDPR’nin 4 (2). Maddesi, işlemeyi, veri üzerinde gerçekleştirilen ‘herhangi bir işlem’ olarak tanımlamaktadır ve veri yaşam döngüsündeki birçok olası eylemi içermektedir. Örneklerle verinin işlenme yolculuğuna çıkacak olursak, her gün aslında veri işlemenin birçok çeşit ve yüzeyine temas ettiğimizi görürüz:

Bir müşteri hizmetleri temsilcisi ile yaptığınız görüşme, belirli yükümlülükler çerçevesinde kaydedilir. Temsilci ilgili kişinin bilgilerine erişmek için yetkilendirme kriterlerine dair ad, soyad ve doğum tarihi sorar, herhangi bir yanlış cevapta bilgilere erişemiyorsa veriye erişim kullanımı engellenmiş olur yani kısıtlanmıştır. Görüşme sırasında temsilci bir harf hatası nedeni ile erişilemediğini fark eder, hatayı düzeltip hesap bilgilerine erişirse kişisel veriyi değiştirir ve yeniden düzenlemiş olur. Görüşmenin ilerleyen safhalarında arayanın bulunduğu bölgede bir servis sağlayıcısını kendisine önermek için lokasyonunu danışabilir.

Benzer olarak, bir ürün geliştirme ekibi, bir ticari fuardaki müşteri memnuniyeti anketlerinden elde edilen sonuçları toplar. Anket sonuçları demografik bilgilere göre kategoriler halinde düzenlenebilir. Anketlerin elle doldurulmuş kağıt kopyaları bilgisayar ortamına veri girişi yapılarak depolanırken formu, ortamı ve yapısı değiştirilmiş olur. Anketlerden elde edilen birleştirilmiş veriler, önceki anketlerden sağlanan sonuçlarla karşılaştıran bir grafikte gösterildiğinde başka bir form şeklinde yapılandırılmış olur. Ekip yeni bir ürün adına bir pazarlama planı oluşturmak için anket sonuçlarını kullanır.

Başka bir örnekte ise İK müdürü, ekibiyle açık bir iş pozisyonu için aday listesini paylaşarak veriyi açıklamış ve aktarmış olur. İstihdam için gerekli başvurular ve diğer ilgili belgeler ihtiyaç duyulmadığında imha edilir. İK departmanı, yeni işe alınan çalışanın iş başvurusunu, performans yorumlarını ve fayda bilgilerini içeren bir dosyayı saklar, depolar. Çalışanın altı aylık performans incelemelerinin birleştirilmesi yıllık incelemesini geri bildirimi için kullanılır.


VERİ İŞLEME İLKELERİ

7 Nisan 2016 tarihinde devreye giren KVKK’mize göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Şimdi 1980’lere kadar uzanıp bu ilkelerin nereden geldiğine dair köklere dokunalım:


OECD Veri İşleme İlkeleri

Kişisel Verilerin ve Sınır Ötesi Veri Akışlarının Korunmasına İlişkin Ekonomik İşbirliği ve Kalkınma Kılavuzları Örgütü (OECD Kılavuzları), belki de kayda değer uygulamalar içinde en yaygın kabul gören çerçevedir. 1980 de oluşturulmuş bu ilkelere değinecek olursak:

  • Veri Toplama Sınırlaması: Kişisel verilerin toplanmasına sınırlama getirilmeli ve bu tür verilerin yasal ve adil yollarla ve gerektiğinde, ilgili kişinin bilgisi veya rızasıyla elde edilmesi gerekir.
  • Veri Kalitesi: Kişisel veriler, kullanılacakları amaçlarla ilgili olmalı ve bu amaçlar için gerekli olduğu ölçüde, doğru, eksiksiz ve güncel tutulmalıdır.
  • Amacın Belirtilmesi: Kişisel verilerin toplanma amacı ve söz konusu verilerin kullanımı, bu amaçların ya da bu amaçlarla uyumsuz olmayan diğer amaçların yerine getirilmesiyle sınırlı olmak kaydıyla, verilerin toplandığı tarihten daha geç olmamak kaydıyla belirlenmeli ve her türlü amaç değişikliği belirtilmelidir.
  • Kullanım sınırlaması: ‘Kişisel veriler; a) ilgili kişinin rızası b) kanun yetkisi istisnaları dışında açıklanmamalı, kullanıma sunulmamalı veya belirtilenler dışında başka amaçlar için kullanılmamalıdır (amacın belirtilmesi ilkesi)
  • Güvenlik önlemleri: Kişisel veriler; kayıp veya yetkisiz erişim, imha, kullanım, değiştirilme veya verilerin ifşası gibi risklere karşı makul güvenlik önlemleri ile korunmalıdır.
  • Açıklık: Kişisel verilerle ilgili gelişmeler, uygulamalar ve politikalar konusunda genel bir açıklık politikası olmalıdır. Kaynaklar; kişisel verilerin mevcudiyetini, mahiyetini ve bunların kullanımının ana amaçlarının yanı sıra veri sorumlusunun kimliği ve olağan ikametgahını saptanmasına yönelik kolayca erişilebilir olmalıdır.
  • Bireysel katılım: Bir birey şu haklara sahip olmalıdır: a) bir veri sorumlusundan bilgi temini veya diğer bir deyişle, veri sorumlusunun kendisine ait verilere sahip olup olmadığının teyidi; b) kendisiyle ilgili verilerin kendisine, makul bir süre içinde ve varsa aşırı olmayan bir ücret karşılığında, makul bir şekilde ve halihazırda okunabilir bir biçimde bildirilerek bilgilendirilmesi, c) (a) ve (b) şıklarında belirtilen taleplerin reddedilmesi halinde sebeplerin belirtilmiş olması ve bu redde itirazda bulunulabilmesi; ve d) kendisiyle ilgili verilere itiraz etmek ve eğer itiraz başarıya ulaşmış ise verilerinin silinmesi, düzeltilmesi, eksikliklerin tamamlanması veya değiştirilme hakkına sahip olması.
  • Yükümlülük (hesap verilebilirlik): Bir veri sorumlusu, yukarıda belirtilen ilkelere etki eden tedbirlere uymaktan sorumlu olmalıdır.

GDPR Veri İşleme İlkeleri

GDPR’nin 5. maddede belirtilen işleme esasları, OECD Kılavuzları da dahil olmak üzere önceki yasa ve yönetmeliklerden süregelmektedir. Geniş çapta yorumlanabilmelerine rağmen, bu ilkelerin ihlalleri, GDPR altında geniş idari para cezalarına yol açabilir. Veri işleme ilkeleri şunlardır: hukuka uygunluk, dürüstlük ve veri işlemede şeffaflık; amaç sınırlaması; veri minimizasyonu; veri kalitesi ve doğruluğu; veri saklama sınırlaması; bütünlük ve gizlilik; ve yükümlülük (hesap verilebilirlik)

  • Hukuka Uygunluk; Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.
  • Şeffaflık; veri sorumlusu ve ilgili taraflar arasında her türlü iletişim özlü, şeffaf ve anlaşılabilir olmalıdır. Veri sorumluları, bir bireyin verilerini nasıl, neden toplandığı ve işlendiği hakkında net ve açık bilgi sağlamalıdır. Veri sorumluları, veri koruma görevlisi, veri sorumlusu ve ilgili kişinin sahip olduğu belirli haklar da dahil olmak üzere kuruluştaki bireyler hakkında proaktif olarak bilgi sağlama yükümlülüğüne sahiptir. Tüm ilgili kişiler, kendi verilerine dair silme, düzeltme, itiraz etme, bilgilendirilme, taşıma, kısıtlama, profil oluşturulmasına itiraz, haklarına sahiptir.
  • Amaç sınırlaması; yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.
  • Veri minimizasyonu ve orantılılık ilkesi, yalnızca amaç için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.
  • Veri kalitesi ve doğruluğu, eksiksiz ve güncel kişisel verilerin işlenmesini içerir.
  • Veri saklama sınırlaması, yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.
  • Gizlilik ve bütünlük, kişisel verilerin güvende olmasını gerektirir.
  • Yükümlülük (hesap verebilirlik), kişisel verileri sorumlu bir şekilde işlemek ve AB ve üye devlet veri koruma yasalarına uygunluğu kanıtlanması anlamına gelir.

Geleneğimizi sürdürelim ve sözü duayene bırakalım:

“Ekipler bir gecede kurulamaz. İşleyebilecek duruma gelmeden önce uzun zamana ihtiyaçları vardır. Ekipler karşılıklı güven ve anlayışa dayanır ve bunu oluşturmak da yıllar alır. Benim deneyimime göre, bunun için en az süre, üç yıldır.” 

Peter F. Drucker

Yayım tarihi

KVKK Uyum Geçiş Süreçleri için Özdeğerlendirme Soruları

Bilindiği üzere organizasyonların, KVKK’yi (Kişisel Verileri Koruma Kanunu) 7 Ekim 2016 tarihi itibarı ile, uygulama yükümlülüğü mevcut. Avrupa Birliği ve Avrupa Ekonomik Alanı ülkeleri ise, kişisel veriler ile ilgili düzenlemeleri 1996 yılından (ve hatta kısmi olarak daha eski) bu yana hayatlarında tecrübe etmekteler. Kanunumuz ile; kurumların, yaşayan birey verisine dokunduğu süreçlerinde artık hiçbir şey eskisi gibi olmayacak. Lakin diğer regülasyonlarda tecrübe edildiği gibi, bizi öldürmeyen kuvvetlendireceğinden; mahremiyet, bilgi güvenliği, risk yönetimi vb. disiplinlerinde düzgün adaptasyon ile, ülke ve kurumlar olarak sıkılaşacağımızı düşünüyorum. Kanun’un ortaya çıkma sebeplerinden biri olan bireylerin temel hak ve özgürlüklerindeki kazanımlar da cabası. 

Kanuna uyum ve kişisel verileri koruma; 
bir proje değil, 
tamamlanma tarihi olmayacak, 
yaşayan bir sistem...

Kanun’a uyum ve kişisel verileri koruma; bir proje değil, tamamlanma tarihi olmayacak, ve yönetim sistemlerinde (ISMS/BGYS, BCMS/İSYS, ITMS/BTYS, QMS/KYS vb.) olduğu gibi, tanımlanmış fazları (PDCA/PUKÖ vb.) ve döngüleri üzerinde ne kadar bilinçli spin atılırsa, o kadar olgunluğu artacak yaşayan bir sistem olacağı görüşündeyim. Bu yüzden henüz hayata geçirmemiş kurumlar, organizasyon şemalarında bu alana (mahremiyet/privacy) veya bu alanın da dahil edildiği ortak paydalı disiplinlere yer açmayı değerlendirmeleri faydalı olacaktır.

Hazır konuya girmişken bir öngörü daha yapalım o zaman: (bahsedeceğimiz birim/sorumluluk ile halihazırda yaşayan vizyoner kurumlarımızı hariç tutarak) nasıl ki mahremiyet (privacy) kapsamlı nur topu gibi bir bebeğimiz olduysa yakın/orta gelecekte konjonktüre binaen, “etik” adında başka bir sorumluluk ve yönetim alanımız da olabilecektir.

Bu yazımızda; hem GDPR üzerine doküman (özellikle BFDI yayını) incelemelerimizde hem de kişisel veriler uyum projelerimde, “atlanmaması gerekenler” olarak belirlediğim alanlara dair öz değerlendirme soruları sormaya çalışıyoruz. Aşağıda paylaşılanlar; çoğunun yerine getirilmesi haftalar alabilecek ana çalışma konuları altında, bir nevi checklist soruları olarak görülebilir. Baştan ifade etmekte fayda var, bunlar bir proje planı adımları değil ve Kurul’un duyuru ve yayınları ile eklenebilecek, yer verilmemiş kalemler de mevcut. Maksat; organizasyon olarak uyum sağlamaya çalıştığımız ve bazılarını henüz yapmamış olabileceğimiz çalışmaları gözden geçirmek, hatırlatmak ve eksiklikler varsa bir yerlere not almak ve en önemlisi düşündürmek amacıyla bazı sorular ile bir öz değerlendirme yaklaşımı… O zaman başlayalım:

I. Organizasyonel Yapı ve Sorumluluklar

  1. Şirkette, (kişisel) verileri korumanın, yönetimin sorumluluğu olduğunun farkındalığı var mıdır? Ör;
    • Veri koruma yönetmeliklerinin, politikalarının varlığı
    • Veri koruma hedeflerinin tanımlanmış olması
    • Sorumlulukların düzenlenmesi
    • Veri koruma riskleri konusunda farkındalık
  2. Şirketiniz, bir veri koruma görevlisine veya eşlenik sorumlukta bir role sahip mi?
    • Değilse neden?
    • Evet ise, hangi konularda kim tarafından hangi alanlarda görevlendirilecektir?
    • Evet ise hangi alanlarda görev, yetki ve sorumlulukları bulunmaktadır? Net ve resmi olarak tanımlanmış mıdır?
    • Evet ise, “Veri Sorumluları Sicili Hakkında Yönetmelik” te tanımlanan veri sorumlusu temsilcisi veya irtibat kişisi sıfatlarından herhangi birine haiz midir ve sicile bildirimi düşünülmekte midir?

II. İşleme faaliyetlerine genel bakış

  1. KVKK’nin “Kişisel Verilerin İşlenmesi” tanımında yer alan “kaydedilme” kapsamında işleme faaliyetleriniz hakkında kayıtlarınız ve bu kayıtların yönetim süreci var mı?
  2. Kurumunuz; her veri düzeltimi veya değiştirimi içeren işleme faaliyetinde; (kişisel) veri koruma hususlarının dikkate alındığını ve yönetildiğini nasıl garanti eder?

III. Üçüncü tarafların katılımı

  1. Faaliyetlerinizin yürütülmesi için üçüncü taraflar (veri işleyen) kullanıyor musunuz?
    • Evet ise, veri işleyenlerinize karşı gözetim süreciniz mevcut mudur?
    • Evet ise, tüm veri işleyenlerinizle KVKK Madde 12.2’nin asgari içeriğini içeren gerekli anlaşmaları imzaladınız mı?

IV. Şeffaflık, aydınlatma yükümlülükleri ve ilgili kişi haklarının güvencesi

  1. Veri toplama esnasında ilgili kişilerin veri korumasıyla ilgili bilgilendirme metinlerinizi KVKK Madde 10.1’e uygun hale getirdiniz mi?
    KV yükümlülüklerinize yönelik yakın gelecekte lazım olabilecek alttaki hazırlıklar, çalışma kapsamınızda mıdır?
    • Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri, VERBİS’in 2018 başında devreye gireceği bildiriliyor ve kişiyi tespit (ve ikna:) ) etme süresi azalıyor.
    • Kişisel verileri işlemenin hangi amaçla yapıldığı ki bunu data envanterinden toplamanız gerekebilir,
    • Kişisel verilerin aktarıldığı alıcı veya alıcı grupları, ki bu da uzun bir çalışma gerektirebilir structured bir knowledge management süreciniz yoksa
    • İlgili kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, yine VERBİS’in isteyeceği alanlardan bir tanesi
    • Kişisel verilerin işlenmesi için yasal dayanaklar. Bu sorunun cevabını ben değerli avukatlarımızdan destek alarak cevaplamanın doğru olduğu kanaatindeyim.
    • Verilerinizi sizin adınıza veya üçüncü şahıslar adına işlendiği durumlarda amaç, meşru menfaatler ise: bu meşru menfaatlerin neler olduğu
    • Saklama süresi; bu bilgi sağlanamıyorsa bile depolama periyodunun belirlenmesi.
    • Verisi işlenen ilgili kişinin verisine erişim, düzeltme, silme, işlemeyi kısıtlama hakları, özel durumlarda itiraz etme hakları ve verisinin taşınabilirliği için ortam mevcudiyeti
    • İşlemeye ilişkin yasal dayanak açık rıza ise: ilgili kişinin herhangi bir zamanda onayını geri çekme için bildirim veya kanal mevcut mudur?
    • Bir gözetim makamına şikayet etme hakkı, süreci biliyor musunuz?
    • Kişisel verilerin tedarik edilmesinin, bir yasal veya sözleşmeye dayalı gereklilik olup olmadığı veya bir sözleşmede şart olup olmadığı. Bu madde ile ilgili sözleşmelere vakıf olmak ve gerekliliklerimiz ile kendimizi Kanunun 5.2.c tentesinin altına almakta fayda var derim.
    • Kişisel verisini, ilgili kişiden temin etmediyseniz: kişisel verilerin hangi kaynaktan temin edildiği ve varsa kamuya açık kaynaklardan gelip gelmediği; dikkat alenileştirilmiş veriden bahsetmiyoruz.
    • Pazarlama izni kullanıyor iseniz; müşteriler, potansiyel müşteriler vb. için KVKK uyumlu hale getirilip getirilmediği; bu konuda da Kurul’umuzun aydınlattığı şekilde ilerlemek gerekecek zira muallak konular mevcut bu alanda.
  2. KVKK’ya göre ilgili kişinin kişisel verilere erişim taleplerini derhal ve tamamen yerine getirmek için bir prosedür oluşturdunuz/tasarladınız mı?
  3. Düzeltim ve silme taleplerinin kabulü ve gerçekleştirimi sonrası ilgili kişinin bu talepleri için bağlantılı ve aktarılmış taraflara da bildirimini karşılamak için prosedür hazırladınız mı? Konunun çok dışına çıkmadan bir ipucu: ISO 22301 İş Sürekliliği Yönetim Sisteminde çok güzel bir vektör vardır: İPA; İlgili Partiler Analizi, organizasyonda bu varsa taraflarınıza hakimiyetiniz daha fazla olacaktır, daha fazla bilgi için Özgüven Saymaz Hoca’nın kitap ve dokümanları iyi bir referans olabilir.

V. Yükümlülük, Bilgi Güvenliği ve Risk Yönetimi

  1. Her veri işleme faaliyetinin, hukuka uygun işlendiğini ispatlamayı sağlayan bilgi var mı? Ör. Amaçlarla ilgililik, kişisel veri kategorileri, alıcılar ve/veya silme periyotları
    • Veri işlemenizin dayandığı açık rıza metinlerinin KVKK’nin 10. maddesi (aydınlatma yükümlülüğü) gereklilikleri ile uyumlu olup olmadığını değerlendirdiniz mi?
    • Rızanın verildiğine ait tüm yazılı, sözlü ve (varsa) sosyal medya kanıtlarını gösterebilecek durumda mısınız?
  2. Veri işleme sürecinizin KVKK’a uyumlu olduğunu kanıtlamak, taahhüt edildiği gibi yaşadığına güvence sağlayabilmek ve sistemi sürdürülebilir kılmak için bir Veri Koruma Yönetim Sistemi planladınız mı?
  3. Var olan güvenlik süreçlerinizi; KVKK’nın 8.2.b, 12.1, 12.2 ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı’nın 3.7.1.d-e, 4.8.2, 4.8.3.c, 4.9.2 maddelerine göre analiz ettiniz ve gerekli düzenlemeleri yapmaya başladınız mı?
    • Güvenlik önlemlerinin düzenli gözden geçirilmesi, değerlendirilmesi ve iyileştirilmesi için uygun bir yönetim sistemi uygulanmakta mıdır? (ISO 27001, PCI/DSS, CobIT denetimleri, kısmen ise penetrasyon testleri fayda sağlayacaktır)
    • Mevcut kurumsal ve BT Risk Yönetimi yaklaşımınıza yakın gelecekte Mahremiyet Etki Analizi (Privacy Impact Analysis) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) bileşenini de dahil etmeniz gerektiğini biliyor musunuz?
  4. Yakın gelecekte kurumsal risk yönetimi yapınıza bir bileşen olarak girebilecek Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) hakkında bilginiz var mı?
    • (Evet ise); organizasyonunuzda bir Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) yapılıp yapılmayacağını belirlemek için uygun bir yöntem oluşturdunuz mı? Organizasyonunuzda uygun bir risk metodu kurguladınız mı? Bu değerlendirmeleri yapabilmek için organizasyonunuzda bir süreç seçtiniz mi?

VI. Kişisel Veri İfşa ve İhlalleri

  1. Önümüzdeki dönemlerde yapılacak düzenlemeler çerçevesinde kişisel veri ihlallerinin denetim otoritesine bildirilmesi gerekeceğini biliyor musunuz?
    •  Organizasyonunuzda veri ihlallerinin tespit kabiliyetine sahip misiniz?
    •  İhlallerinin risklerini tespitine yönelik uygun bir yönteme sahip olduğunuzu düşünüyor musunuz?
    • Olası ihlaller ile ilgili dahili olarak nasıl başa çıkılacağı üzerine bir süreç düşündünüz mü?

Bu özdeğerlendirme sorularını tablo formatında incelemek isterseniz aşağıdaki tabloyu kullanabilirsiniz: