Yayım tarihi

GDPR, KVKK – Kişisel Veri İşleme ve İlkeleri (KVKK, GDPR ve OECD İlkeleri)

Bu yazımızda; veri işleme ve KVKK, OECD ile GDPR veri işleme prensiplerine değineceğiz.

Veri işleme kuralları ve düzenlemelerinin kapsamını aktarmak için öncelikle ‘veri işleme’ terimi iyi anlaşılmalıdır. Veri işleme, sadece kişisel verileri toplamaktan çok daha fazlasını içerir. GDPR’nin 4 (2). Maddesi, işlemeyi, veri üzerinde gerçekleştirilen ‘herhangi bir işlem’ olarak tanımlamaktadır ve veri yaşam döngüsündeki birçok olası eylemi içermektedir. Örneklerle verinin işlenme yolculuğuna çıkacak olursak, her gün aslında veri işlemenin birçok çeşit ve yüzeyine temas ettiğimizi görürüz:

Bir müşteri hizmetleri temsilcisi ile yaptığınız görüşme, belirli yükümlülükler çerçevesinde kaydedilir. Temsilci ilgili kişinin bilgilerine erişmek için yetkilendirme kriterlerine dair ad, soyad ve doğum tarihi sorar, herhangi bir yanlış cevapta bilgilere erişemiyorsa veriye erişim kullanımı engellenmiş olur yani kısıtlanmıştır. Görüşme sırasında temsilci bir harf hatası nedeni ile erişilemediğini fark eder, hatayı düzeltip hesap bilgilerine erişirse kişisel veriyi değiştirir ve yeniden düzenlemiş olur. Görüşmenin ilerleyen safhalarında arayanın bulunduğu bölgede bir servis sağlayıcısını kendisine önermek için lokasyonunu danışabilir.

Benzer olarak, bir ürün geliştirme ekibi, bir ticari fuardaki müşteri memnuniyeti anketlerinden elde edilen sonuçları toplar. Anket sonuçları demografik bilgilere göre kategoriler halinde düzenlenebilir. Anketlerin elle doldurulmuş kağıt kopyaları bilgisayar ortamına veri girişi yapılarak depolanırken formu, ortamı ve yapısı değiştirilmiş olur. Anketlerden elde edilen birleştirilmiş veriler, önceki anketlerden sağlanan sonuçlarla karşılaştıran bir grafikte gösterildiğinde başka bir form şeklinde yapılandırılmış olur. Ekip yeni bir ürün adına bir pazarlama planı oluşturmak için anket sonuçlarını kullanır.

Başka bir örnekte ise İK müdürü, ekibiyle açık bir iş pozisyonu için aday listesini paylaşarak veriyi açıklamış ve aktarmış olur. İstihdam için gerekli başvurular ve diğer ilgili belgeler ihtiyaç duyulmadığında imha edilir. İK departmanı, yeni işe alınan çalışanın iş başvurusunu, performans yorumlarını ve fayda bilgilerini içeren bir dosyayı saklar, depolar. Çalışanın altı aylık performans incelemelerinin birleştirilmesi yıllık incelemesini geri bildirimi için kullanılır.


VERİ İŞLEME İLKELERİ

7 Nisan 2016 tarihinde devreye giren KVKK’mize göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Şimdi 1980’lere kadar uzanıp bu ilkelerin nereden geldiğine dair köklere dokunalım:


OECD Veri İşleme İlkeleri

Kişisel Verilerin ve Sınır Ötesi Veri Akışlarının Korunmasına İlişkin Ekonomik İşbirliği ve Kalkınma Kılavuzları Örgütü (OECD Kılavuzları), belki de kayda değer uygulamalar içinde en yaygın kabul gören çerçevedir. 1980 de oluşturulmuş bu ilkelere değinecek olursak:

  • Veri Toplama Sınırlaması: Kişisel verilerin toplanmasına sınırlama getirilmeli ve bu tür verilerin yasal ve adil yollarla ve gerektiğinde, ilgili kişinin bilgisi veya rızasıyla elde edilmesi gerekir.
  • Veri Kalitesi: Kişisel veriler, kullanılacakları amaçlarla ilgili olmalı ve bu amaçlar için gerekli olduğu ölçüde, doğru, eksiksiz ve güncel tutulmalıdır.
  • Amacın Belirtilmesi: Kişisel verilerin toplanma amacı ve söz konusu verilerin kullanımı, bu amaçların ya da bu amaçlarla uyumsuz olmayan diğer amaçların yerine getirilmesiyle sınırlı olmak kaydıyla, verilerin toplandığı tarihten daha geç olmamak kaydıyla belirlenmeli ve her türlü amaç değişikliği belirtilmelidir.
  • Kullanım sınırlaması: ‘Kişisel veriler; a) ilgili kişinin rızası b) kanun yetkisi istisnaları dışında açıklanmamalı, kullanıma sunulmamalı veya belirtilenler dışında başka amaçlar için kullanılmamalıdır (amacın belirtilmesi ilkesi)
  • Güvenlik önlemleri: Kişisel veriler; kayıp veya yetkisiz erişim, imha, kullanım, değiştirilme veya verilerin ifşası gibi risklere karşı makul güvenlik önlemleri ile korunmalıdır.
  • Açıklık: Kişisel verilerle ilgili gelişmeler, uygulamalar ve politikalar konusunda genel bir açıklık politikası olmalıdır. Kaynaklar; kişisel verilerin mevcudiyetini, mahiyetini ve bunların kullanımının ana amaçlarının yanı sıra veri sorumlusunun kimliği ve olağan ikametgahını saptanmasına yönelik kolayca erişilebilir olmalıdır.
  • Bireysel katılım: Bir birey şu haklara sahip olmalıdır: a) bir veri sorumlusundan bilgi temini veya diğer bir deyişle, veri sorumlusunun kendisine ait verilere sahip olup olmadığının teyidi; b) kendisiyle ilgili verilerin kendisine, makul bir süre içinde ve varsa aşırı olmayan bir ücret karşılığında, makul bir şekilde ve halihazırda okunabilir bir biçimde bildirilerek bilgilendirilmesi, c) (a) ve (b) şıklarında belirtilen taleplerin reddedilmesi halinde sebeplerin belirtilmiş olması ve bu redde itirazda bulunulabilmesi; ve d) kendisiyle ilgili verilere itiraz etmek ve eğer itiraz başarıya ulaşmış ise verilerinin silinmesi, düzeltilmesi, eksikliklerin tamamlanması veya değiştirilme hakkına sahip olması.
  • Yükümlülük (hesap verilebilirlik): Bir veri sorumlusu, yukarıda belirtilen ilkelere etki eden tedbirlere uymaktan sorumlu olmalıdır.

GDPR Veri İşleme İlkeleri

GDPR’nin 5. maddede belirtilen işleme esasları, OECD Kılavuzları da dahil olmak üzere önceki yasa ve yönetmeliklerden süregelmektedir. Geniş çapta yorumlanabilmelerine rağmen, bu ilkelerin ihlalleri, GDPR altında geniş idari para cezalarına yol açabilir. Veri işleme ilkeleri şunlardır: hukuka uygunluk, dürüstlük ve veri işlemede şeffaflık; amaç sınırlaması; veri minimizasyonu; veri kalitesi ve doğruluğu; veri saklama sınırlaması; bütünlük ve gizlilik; ve yükümlülük (hesap verilebilirlik)

  • Hukuka Uygunluk; Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.
  • Şeffaflık; veri sorumlusu ve ilgili taraflar arasında her türlü iletişim özlü, şeffaf ve anlaşılabilir olmalıdır. Veri sorumluları, bir bireyin verilerini nasıl, neden toplandığı ve işlendiği hakkında net ve açık bilgi sağlamalıdır. Veri sorumluları, veri koruma görevlisi, veri sorumlusu ve ilgili kişinin sahip olduğu belirli haklar da dahil olmak üzere kuruluştaki bireyler hakkında proaktif olarak bilgi sağlama yükümlülüğüne sahiptir. Tüm ilgili kişiler, kendi verilerine dair silme, düzeltme, itiraz etme, bilgilendirilme, taşıma, kısıtlama, profil oluşturulmasına itiraz, haklarına sahiptir.
  • Amaç sınırlaması; yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.
  • Veri minimizasyonu ve orantılılık ilkesi, yalnızca amaç için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.
  • Veri kalitesi ve doğruluğu, eksiksiz ve güncel kişisel verilerin işlenmesini içerir.
  • Veri saklama sınırlaması, yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.
  • Gizlilik ve bütünlük, kişisel verilerin güvende olmasını gerektirir.
  • Yükümlülük (hesap verebilirlik), kişisel verileri sorumlu bir şekilde işlemek ve AB ve üye devlet veri koruma yasalarına uygunluğu kanıtlanması anlamına gelir.

Geleneğimizi sürdürelim ve sözü duayene bırakalım:

“Ekipler bir gecede kurulamaz. İşleyebilecek duruma gelmeden önce uzun zamana ihtiyaçları vardır. Ekipler karşılıklı güven ve anlayışa dayanır ve bunu oluşturmak da yıllar alır. Benim deneyimime göre, bunun için en az süre, üç yıldır.” 

Peter F. Drucker

Yayım tarihi

KVKK – Anonim, Anonimleştirilmiş, Niteleyici, Kimliği Belirleyen, Kimliği Belirli, Rumuzlu, Kişisel Olan ve Olmayan Veriler…

28 Ekim 2017 tarihi itibarı ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” resmi gazetede yayımlandı. Konu sıcak iken kişisel veri korumaya ilişkin bazı kavramları irdelemek güzel olabilir. Buyurun sizleri buradan alalım:


Kişisel Veriler – Kişisel Olmayan Veriler

KVKK ve Avrupa Birliğindeki Kişisel Verileri Koruma Kanunlarındaki yaklaşımlara göre; Kişisel Veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade etmektedir.

“Belirlenebilir gerçek kimse”den kasıt; “doğrudan ya da dolaylı olarak, özellikle bir isim, kimlik numarası, lokasyon bilgisi, çevrimiçi tanımlayıcı” ya da “fiziki, fizyolojik, genetik, zihinsel, ekonomik, kültürel ya da sosyal kimlik biyolojik ve çevresel faktörlere özgü bir ya da birden fazla faktör gibi tanımlayıcılara atıfta bulunularak, belirlenebilir olan” kişidir.

Burada tanımlanan anahtar kelime” ilişkin “ibaresidir. Bu geniş ibare, kişinin kim olduğuna veya kişinin bilinmesine yardımcı olup olmadığına bakılmaksızın, belirli bir kişiyle ilgili herhangi bir veri veya bilgiye karşılık gelir. Bu; bir bireyle ilişkisi ve kişisel olmayan veriden, açık biçimde farklı bir veridir diyebiliriz.

Örneklerle ilerlersek:

Kişisel Veri: “Ayşe Yıldız’ın saçları kızıl renklidir”

Bu cümlede, üç kişisel veri parçası bulunmaktadır. İlki; bir ad olan Ayşe’dir ki, adı ve soyadı Ayşe Yıldız olan bir bireye ilişkin ilk isimdir. İkincisi soyadıdır. Son olarak, kızıl saçlar da Ayşe Yıldız ile ilgilidir.

Kişisel Olmayan Veri: “Bazı insanların saçları kızıl renklidir”

Yukarıdaki cümlede herhangi bir kişisel veri belirtilmemiştir, çünkü veriler bir kişiyle alakalı, tanımlanmış veya tanımlanabilir değildir. Genel olarak insanlarla ilgilidir.

Kimliği Belirli Veriler – Rumuzlu (Bulanıklaştırılmış) Veriler

Rumuzlu (Bulanıklaştırılmış) veriler kavramı üzerinde, kanun yeni olduğu için bizde olmasa da yurtdışında çok gelgitler yaşanmış durumda. Bu yüzden GDPR’den gelsin tanım:

‘Rumuz Kullanımı (Bulanıklaştırma); kişisel verilerin kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile, ilave bilgilerin ayrı saklanması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesidir. Bu tanımdaki anahtar ifade, verilerin artık ek veriler olmaksızın bir kişiye atfedilemeyeceği, ilişkilendirilemeyeceğidir. Karışık gelmiş olabilir, örneklerle ilerleyelim:

Kimliği Belirli Veri: “Ayşe Yıldız’ın saçları kızıl renklidir”

Yukarda Kişisel Veri örneğimizde kullandığımız aynı ifade, kimliği belirli veridir çünkü birey Ayşe Yıldız, ifadede açıkça tanımlanmıştır.

Rumuzlu (Bulanıklaştırılmış) Veri: “Personel X’in saçları kızıldır.”

Burada, kişinin adı ve soyadı işlenmiştir ve Personel X ile değiştirilmiştir. Başka bir deyişle, “O”na bir rumuz atanmıştır fakat yine de kimliği hala belirlenebilir. Yukarıdaki tanımı hatırlarsak; Kişisel Veriler, kimliği belirlenmiş veya belirlenebilir bir kişiyle ilgili verilerdir. Kızıl saçlar, hâlâ belirlenebilir bir kişiyle, Personel X (diğer bir deyişle potansiyel olabilecek Ayşe Yıldız) ile ilgilidir. An itibarıyla kim olduğunu bilmiyoruz. Potansiyel olarak, Personel X’i, Ayşe Yıldız’a bağlayan bilgiler ile ilişkilendirebiliriz. Dikkat edilmesi gereken nokta; kızıl saçlar potansiyel olarak kimliği açığa çıkarabilir. Eğer Ayşe Yıldız ortamdaki tek kızıl saçlı personel ise, Personal X’i Ayşe Yıldız olarak tanımlamayı çok daha kolay hale getirir. Atfedilebilir (Niteleyici) verilerin birçoğu diğer verilerle birleştirildiğinde potansiyel olarak kişiyi yeniden belirleyebileceği için bu büyük bir gizlilik riskidir.

Kimliği Belirleyen Veriler – Niteleyici Veriler

“Ayşe Yıldız’ın saçları kızıl renklidir” ifadesine baktığımızda, “kimliği belirleyen veriler” ile “niteleyici veriler”in ayrımını yapabiliriz.

Kimliği Belirleyen Veri: “Ayşe Yıldız”

Dünyadaki Ayşe Yıldız’ların sayısı tartışmalarına girmeden, bir kişinin adını soyadını, kimlik belirleyici bir veri olarak düşünebiliriz.

Niteleyici Veri: “kızıl saçlar”

Kızıl saçlar bir atıftır, niteleyicidir. “Ayşe Yıldız’ın saçları kızıl renklidir” ifademiz söz konusu olduğunda, bir kişiyi niteleyebilir, bir kişiye atıfta bulunabilir. Bu, bir rumuzu da niteleyip, atfedebilir: “Personel X’in saçları kızıldır.” Aşağıda göreceğimiz gibi, aynı zamanda anonim şekilde de niteleyebilir.

Anonim Veriler – Anonimleştirilmiş Veriler

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Anonim Veri: “İnsanların saçları kızıl renklidir”

Bu açıklamada, belirli bir kişiden asla bahsetmedik; insanlar hakkında genel bir ifade ve insanlar tarafından paylaşılan bir atıf yapıyoruz.

Anonimleştirilmiş Veri: “Personel’in saçı kızıldır”

Bu açıklama için Kimliği Belirli Veri (“Ayşe Yıldız’ın saçları kızıl renklidir.”) kullandık ve potansiyel olarak anonim şekilde işleme tabi tutulduk. Şimdi, Rumuzlu Veri ile sunulan muammaya geri döndük. Özellikle, Ayşe Yıldız kızıl saçlı tek personel ise, o zaman bu anonim değildir. Ayşe Yıldız, kızıl saçlı bir avuç personelden biri olsa bile, anonim olma derecesi oldukça düşüktür. Bu, “k-anonimity” kavramı olup, belirli bir birey, veri setindeki diğer k-1 kişiden ayırt edilemez. Bununla birlikte, bu bile yeterli anonimleştirme garantisi sağlamayabilir. İsimlerin, etnik kökenlerin ve kalp rahatsızlıklarını ihtiva eden bir tıbbi veri setini düşünün. Bir hastane, kalp rahatsızlıklarının anonim bir listesini (kalp yetmezliği olan 3 kişi, olmayan 2 kişi) yayımlasın. Dışarıdan bilgisi olan (Ör, Japon kökenli kişilerin nadiren kalp yetmezliği olduğunu bilen ve hastaların adlarına sahip olan) birinin, kalp yetmezliği geçiren ve geçirmeyenler için oldukça doğru bir tahmin yapabilirdi. Bu çıkarım, anonimleştirilmiş verilerde l-diversity kavramını doğurmuştur. Buradaki önemli nokta, spesifik bir bireyle hiçbir zaman ilişkili olmayan Anonim Veriden farklı olarak, Anonimleştirilmiş Veri (ve Rumuzlu / Bulanıklaştırılmış Veri) potansiyel bir “kimliğinin yeniden tespit edilebilme riski” ne karşı dikkatlice incelenmelidir.


“Verilerin anonimleştirilmesi potansiyel bir mayın tarlasıdır.”

Anonimleştirilmiş Veri’ye aynı örnekten devam ederek noktalayalım.

(bu motto ve yazımıza ilham kaynağı olan privacy maverick’ e teşekkürler)

Artık her yazımızın sonuna Peter Drucker’a ait bir söz ekleyerek bitirelim:

“Bir cesedin kokuşmasını önlemeye çalışmak kadar zorlu, masraflı ve nafile bir çaba yoktur. Miadını doldurmuş işler için kaynakları israf etmekten vazgeçin ve yetenekli insanlarınızı yeni fırsatlardan yararlanmaları için özgür bırakın. “

Peter F. Drucker
Yayım tarihi

Kişisel Verileri Koruma (KVK) – İlgili Kişi Erişim Taleplerinin Karşılanması ve Aydınlatma Yükümlülüğü (Subject Access Request)

Merhabalar;

Bu paylaşımımda KVK Kanununun 10. maddesi ve 11.maddesi ile ilişkili olan “İlgili Kişi Erişim Taleplerinin Karşılanması”nda ICO (UK) yaklaşımını ve sitesinde yer alan bilgilerin iş akış diyagramına dönüştürdüğüm halini bulabilirsiniz. Yine son günlerde cep telefonlarınıza SMS olarak gelen veya karşılaştığınız web sitelerinde pop up veya kutucuklar ile sürekli olarak size farkındalık yaratmaya çalışan aydınlatma bildirimlerinin de alttaki süreçler ile ilgili olduğunu belirtebiliriz.

Öncelikle KVKK’de yer alan ve organizasyonların belirli şartlar altında uymakla mükellef olduğu ilgili maddeleri refere edelim:

Kanunumuzun 10. maddesi: Veri Sorumlusunun Aydınlatma Yükümlülüğü 

Kanunumuzun 11. maddesi: İlgili Kişinin Hakları

Kanun kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere ilgili verileri konusunda belirli çerçevede bilgi vermekle yükümlüdür. Yine aynı bağlamda herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verileri dahilinde öğrenme, bilgi edinme, itiraz etme, düzeltim isteği, silinme, üçüncü taraflara bildirim yapılması, belirli şartlarda zararın giderilmesi gibi taleplerde bulunma haklarına sahiptir. Bu kapsamda verisi işlenen ilgili kişinin bir talebi geldiğinde ne yapılması gerektiğine dair yol haritası aşağıdaki metodoloji ile iyi pratik olarak benimsenmiştir.

KVKK kapsamında; organizasyonunuzun yapılandırdığı yanıt kanalına bir talep geldiğinde, ne yapmanız gerektiğine dair bu güzel süreç ile ilgili daha ayrıntılı bilgiyi sonraki postlarımızda yazabiliriz diyerek şimdilik topu taca atalım ve “Bir resim (diagram), bin sözcüğe bedeldir” mottosu ile, beğendiğim bu süreci iş akış diagram formuna çevirip, süreçlerimizde daha etkin fayda sağlayacağını düşünerek paylaşalım.

Not: Diagramı incelediğinizde bazı minör kısımların şimdilik bizim kanunumuzda henüz belirtilmeyen ama karşılaşabileceğimiz karar mekanizmalarına da yer verdiğini görebileceksiniz. Örneğin ilgili kişinin bilgiye erişim talebi; organizasyonlar açısından database samanlıklarımızda bir record iğnesini bulmak kadar meşakkatli olabileceğinden bazı erişim talepleri için ücret ödenmesi gerekliliğinden dem vurmakta. Düşündüğümüzde gayet mantıklı zira elin adamı;

bu çark su ile dönmüyor”, “ben de bu bilgiyi başka partilerden (sorgu başına ücret ödenen özel veya devlet kurumları vb) ücret mukabilinde alıp/teyit edip sana sunacağım” veya her önüne gelen bi öğlen kahvesi içtikten sonra “dur bakim ben bu alışveriş sitesini bi yoklayayım, bakim benim bilgilerimi nereye koymuş”

gibi gerekçeler nedeni ile bu kontrolü almış olabiliyor.

Görselin daha büyük halini indirmek için:

Kişisel Verileri Koruma – İlgili Kişi Erişim Taleplerinin Karşılanması ve Aydınlatma Yükümlülüğü

İyi Çalışmalar

Referans: @ICO’dan yararlanılmıştır.