İLKE NEDİR? VERİ KORUMA İLKELERİ NE İŞE YARAR?
Öncelikle “ilke” kavramını inceleyecek olur isek, “Davranış veya değerlendirme için rehber olan bir öneri veya değerdir” der sevgili Wikipedia. Bir sistemin ilkeleri; kullanıcıları tarafından sistemin temel özellikleri veya sistemin tasarlanan amacını yansıtması olarak kabul görür ve bu ilkelerden herhangi biri göz ardı edilirse, sistemin etkin çalışması veya kullanılması imkansız hale gelir. Bu bağlamda ilkeler; standartları, hakları ve yükümlülükleri yönetirler ve ilgili kanunlar için de mihenktaşları, sütunlardır dersek yanlış olmaz kanaatimce. Bir sütunun zarar görmesi veya yıkılması da, üzerinde taşıdığı çatıyı, kanunu ve dolayısıyla korumaya çalıştığı toplumsal düzenleyici unsurları da sakatlayacaktır.
Federal trade Commision (FTC); kişisel verilerin gizliğinin (mahremiyetin) korunmasının temel ilkeleri ancak onları uygulayacak ve kontrol edecek bir mekanizma varsa etkili olabilir der. Veri Koruma İlkeleri’nin neler olduğuna aşağıda yer alan tabloda yer veriyor olacağız. Öncesinde biraz daha analiz. Kişisel verileri korumanın amacı; sadece kişinin verilerini korumak değil, bu verilerle ilgili kişilerin temel hak ve özgürlüklerini de korumaktır. Örnek verecek olur isek, sağlık verilerinizin tutulduğu ana veritabanı hacklendiğini ve kan grubunuzun (ameliyatta cerrahların bilmesi ve buna göre karar alması gereken kronik rahatsızlığınız da olabilir) değiştirildiğini farz edelim, ve bundan habersiz olarak ilgili veriyi kullanacak hastanede ameliyata alındığınız zaman, sadece basit bir kişisel veriniz değil, temel hak ve özgürlüklerinizden yaşama özgürlüğünüz de korunamamış ve tehlikeye girmiş olacaktır. Demek ki bu çatı ve sütunlar, sadece altlarında barındırdıkları değerli paketleri değil, aynı zamanda paketlerin sahibi olan insanları da yağmura, fırtınaya, saldırılara ve bilimum negatif olay ve düzensizliklere karşı koruyor.
Bizim bu yazımızda odaklandığımız nokta ise, binada (sistemimiz) yapılabilecek tadilat, renovasyon ve eklemelerin (sistemlerimizdeki değişikliklerin veya yeniliklerin); koruyucu çatıyı (kanun/tüzük) taşıyan mihenktaşları ve sütunlarına (ilkeler) zarar vermemesi için müteahhitin (veri sorumlusu) ustabaşısının (bu yazı okuyorsanız muhtemelen veri koruma sorumlusu/uzmanı olarak sizsiniz) gözlem ve kontrolleri (etki değerlendirmeleri) ve bildirim ile müdahalesini (VKED/DPIA değerlendirme sonuçları ve aksiyonları) resmetmeye çalışmaktan ibarettir.
VERİ KORUMA ETKİ DEĞERLENDİRMESİ (VKED/DPIA) NEDİR?
GDPR’ın 35 ve 36. Maddeleri uyarınca; özellikle yeni teknolojilerin kullanıldığı veri işleme çalışmalarının gerçek kişilerin temel hak ve özgürlükleri için yüksek riskler doğurması olasılığına yönelik, Veri Sorumlusu’nun yapması gereken değerlendirmedir. Ek olarak, anlamı ve rolü, Resital 84 tarafından şu şekilde açıklığa kavuşturulmuştur; veri sorumlusu, özellikle bu riskin kökenini, niteliğini, özelliğini ve önem derecesini değerlendirmek için bir veri koruma etki değerlendirmesinin (VKED/DPIA) yürütülmesinden sorumlu olmalıdır.
Bu değerlendirme (VKED/DPIA), kişisel verilerin korunmasını sağlamak, GDPR’a uygunluğun gösterilmesi ve kişilerin verilerine ve dolayısı ile kendilerine yönelik negatif etkileri minimuma indirme hedefi güdülerek riskleri minimize etmek amacıyla, önlemleri/kontrolleri kapsayacak şekilde gerçekleştirilmelidir.
Fotoğraftaki makus talihli bodybuilder gibi, bünyeye enjekte ettiğimiz bileşenin etkisini iyi değerlendirmezsek, sonuçlar bünye bakımından pişmanlık ve vehamet ile sonuçlanabilir.
VKED/DPIA’nın, bir program ya da sistemin geliştirilme süreci boyunca kişisel verilerin gizlilik risklerini tanımlamak ve değerlendirmek için yapılan kişisel veri gizlilik/mahremiyet etki değerlendirmesi (MED/PIA) ile ortak paydaları mevcuttur.
GDPR’a göre hazırladığım DPIA iş akışını, GDPR sunumlarımdan birinden çekerek bilginize sunuyorum;
VKED/DPIA sürecinde, aşağıdaki değerlendirme soruları, yapılacak değişiklik ve/veya projenin, ilgili kanun ve regülasyonlar çerçevesinde risklerin ne ve nerede olduğunu belirlemenize yardımcı olması amacı ile hazırlanmıştır.
|
VERİ KORUMA İLKELERİ (GDPR ve KVKK)
|
VERİ KORUMA ETKİ DEĞERLENDİRMELERİ (VKED/DPIA) ÖZDEĞERLENDİRME |
|
|
|
||
|
GDPR |
Hukuka, dürüstlük kurallarına uygun ve ilgili kişiye karşı şeffaf işleme
[Hukuka ve Dürüstlük Kurallarına Uygunluk ve Şeffaflık İlkesi]
Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.
|
İlgili kişiye ilişkin kişisel veriler, hukuka uygun, adil ve şeffaf bir şekilde işlenmelidir.
· VKED/DPIA gerektiren projenin amacını belirlediniz mi? · Bireylere (ilgili kişilere), kişisel verilerinin kullanımı hakkında nasıl bilgi vereceksiniz? · Veri koruma aydınlatma bildirimlerinizi değiştirmeniz gerekir mi? · 3rd parti tedarikçi kullanacak iseniz ilgili kişilere bildirim sürecini değerlendirdiniz mi? · Yurtdışına veri transferi yapacak iseniz ilgili kişilere bildirim sürecini değerlendirdiniz mi? · Yeni değişiklikler için hangi hukuki işleme koşullarının geçerli olduğunu belirlediniz mi? · Kişisel verilerin işlenmesine ilişkin hukuki dayanağınız (açık) rıza ise, bu rızayı nasıl toplayacak ve verilmemesi ya da geri çekilmesi durumunda nasıl hareket edeceksiniz?
|
|
KVKK |
Hukuka ve dürüstlük kurallarına uygun olma
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir
|
|
|
|
||
|
GDPR |
Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi
[Amaçla Sınırlılık İlkesi]
Yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.
|
· Proje planınız; kişisel verilerin işlenmesi için tüm amaçları içeriyor mu? (projede amacını içermeyen veya aşan kısım kaldı mı?) · Proje kapsamının genişlemesi durumunda, potansiyel yeni amaçlar belirlediniz mi? (az çok falliyetin ne olduğu ve kapsamının ve etkileşimlerinin nereye doğru gideceği tahmin edilebilir) · Gelecekteki KV işlemelerine ilişkin değişiklik planlamaları için, uygun incelemenin yapılmasını sağladınız mı? (Bu değişikliklikler, proje başlangıcındaki hedefleri, hedef kitleyi, veri türlerini, etkilerini ne kadar değiştirecek? Örnek, AI gibi ileri işleme kullanılacak ise bunun kanun/tüzüğe uygun kurgulanmasının ve ilgili kişilere bildiriminin düzgün, açık ve net yapılmasının değerlendirilmesi)
|
|
KVKK |
Belirli, açık ve meşru amaçlar için işlenme
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi; • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, • Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
|
|
|
|
||
|
GDPR |
Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işleme
[Veri Minimizasyonu İlkesi]
yalnızca işleme amacı için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.
|
Kişisel verileri işleme faaliyeti, işlenme amacına bağlı olarak olarak bağlantılı, ölçülü ve sınırlı olmalıdır.
· Verinin kalitesi; kullanıldığı amaçlar için, yeterince iyi midir, yeni resimde modifikasyon veya kaynak gerekecek midir? (bütünlük, tamlık, geçerlilik, tutarlılık, güvenilebilirlik sağlıyor mu?) · Projenin ihtiyaçlarından taviz vermeden, hangi kişisel verileri kullanamayabilirsiniz?
|
|
KVKK |
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.
|
|
|
|
||
|
GDPR |
Doğru olarak, gerekli hallerde işleme ve güncel olma
[Doğruluk İlkesi]
Eksiksiz ve güncel kişisel verilerin işlenmesini içerir.
|
İşlenen kişisel veriler doğru olmalı, gerektiğinde, güncel tutulmalı ve yanlış olan kişisel verilerin (işlenme amacına bağlı kalarak) gecikmeden silinmesini veya düzeltilmesini sağlamak için makul adımlar atılmalıdır.
· Yeni yazılım temin ediyorsanız, gerektiğinde kişisel veriler üzerinde değişiklik yapmanıza izin veriyor mu? · Yazılım tedarikçisinin değerlendirilmesi yapıldı mı? (referanslar, kullandığı standartlar, Repütasyon ceza veya negatif, finansal sürdürülebilirliği, kısıtları ve bağımlılıkları, yurtdışı veri transferi (cloud), güvenlik) · Bireylerden veya diğer kuruluşlardan elde edilen kişisel verilerin doğruluğunu nasıl teyit ediyorsunuz? · Kişisel verilerin doğruluğu ile ilgili sorgular için ilgili kişileri kime yönlendirirsiniz? Bu kişi; yükümlülükleri, hızlı ve etkin bir şekilde yerine getirmede ne kadar iyi desteklenmektedir?
|
|
KVKK |
Doğru ve gerektiğinde güncel olma
Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.
|
|
|
|
||
|
GDPR |
Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması
[Saklamanın Sınırlandırılması İlkesi]
yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.
|
kişisel veriler; ilgili kişinin kimliğinin tespit edilmesine izin verecek şekilde, işlenme amacının gerektirdiği süreyi aşacak şekilde tutulamaz.
· İşleyeceğiniz kişisel veriler için ne kadar saklama süreleri gereklidir? · Saklama sürelerinize uygun olacak şekilde bilgileri silmenizi sağlayacak yazılım tedarik ediyor musunuz? Bu yazılım, tüm kişisel verileri mi, yoksa istatistik gibi diğer amaçlar için gerekli bilgileri saklayacak şekilde sadece ilgili kişinin kimliğini belirleyici verileri mi siler? · Kimlik belirleyici özellikler/nitelikler kaldırılırsa, bu her ne durumda olursa olsun kimliğin belirlenmesini önler mi? · 3rd parti kullanacak iseniz iş devam ederken transfer ve silme, iş bittikten sonra geri teslim, imha ve sır saklama vb yükümlülükleri sözleşmelerde HSA’lar ve rücu mekanizmaları ile sıkıca kontrol altına aldınız mı?
|
|
KVKK |
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. |
|
|
|
||
|
GDPR |
İşlemenin güvenli olması gerekmektedir
[Bütünlük ve Gizlilik İlkesi]
kişisel verilerin güvende olmasını gerektirir.
|
İşleme faaliyeti; uygun teknik ve idari tedbirler kullanılarak, yetkisiz veya hukuka aykırı işlemenin yanı sıra kazara kayıp, imha veya zarar görmesi durumlarına karşı korunma da dahil olmak üzere, kişisel verilerin güvenliğini sağlayacak biçimde gerçekleştirilmelidir.
· 3rd parti kullanacak iseniz idari ve teknik tedbirleri ayrıntılı olarak ilettiniz mi? Standart, belgelendirme, denetim, transferin güvenli kanallardan ve teyitli mekanizmalar ile yapılması, ÖNKV için extra güvenlik maddelerini sözleşmelerde HSA’lar ve rücu mekanizmaları ile sıkıca kontrol altına aldınız mı? · 3rd parti kullanacak iseniz acil durum, kesinti ve ihlal gibi olağanüstü duurmlarda bildirim zamanı, RTO/RPO taahhütleri, izolasyon, BCP veya DRP taahütleri
|
|
KVKK |
– |
|
|
|
||
|
GDPR |
Veri kontrolörünün sayılan tüm temel prensiplerden sorumlu olması (hesap verebilirlik prensibi)
[Hesap Verebilirlik (Yükümlülük) İlkesi]
Yükümlülük; kişisel verileri sorumlu bir şekilde işlemek ve yasalara uygunluğunun kanıtlanması anlamına gelir.
|
Veri Sorumlusu, veri koruma ilkelerine uymaktan sorumludur ve bunu gösterebilmelidir.
|
|
KVKK |
– |
|
Drucker Köşesi “Eğer beşten fazla hedefiniz varsa, hiçbirine sahip değilsiniz demektir.” Peter Drucker