search
TR/EN
search
[wpml_language_selector_widget]

About GDPR and Informatica Solutions…

I wanted to write an article about the General Data Protection Regulation (GDPR), which is recently takes place on the agenda of almost every organization and necessitates serious changes for institutions. I hope it’s a useful study.

What is the Law on the General Data Protection Regulation (GDPR) Exactly?

Before tell what the law is exactly, I write a few paragraphs about what just isn’t:

  • It is not just a Compatibility issue.
  • It’s not just a matter of risk.
  • It’s not just a matter of security.
  • It is not just a Data issue.
  • It’s not just a legal issue.

This is all and more. A little more detailed;
The Law on Protection of Personal Data, which was enacted on 24 March 2016, aims to protect the fundamental rights and freedoms of individuals, especially the privacy of private life, and to regulate the procedures and principles to be followed by the real and legal persons processing personal data.
And under the law, it is stated that the law will be applicable on real and legal persons those who process personal data, fully or partially automated or part of any data recording system, provided that the non-automatic means of processing.
Briefly, the law tells us : It emphasizes the necessity of a serious transformation along with a serious sanction for the organizations that process, carry and store personal data. Well, How ready are the organizations for this? What exactly are the principles of implementation of law and what parts of organizations will be affected?

What are the Implementation Principles of the Law?
If we examine the implementation principles of the law in detail, we come across the subject of – Data Governance – Technology, Policy & Processes, Standards & Definitions and Organization, which I mentioned in my previous article in the root of many issues. If we examine this issue on the basis of implementation of the law;

  • Personal Data:

All kinds of information relating to an identified or identifiable natural person (Requirement for Identification and Categorization of Sensitive Data)

  • Data Recording System:

Recording system in which personal data is structured and processed according to certain criteria (Management Requirement of Personal Data)

  • Explicit Consent:

A consent based on information on a particular subject, which is stated with free-willed and in informed manner (Management Requirement of Explicit Consent Information)

  • Infringement Notification:

Notification in case of data infringement. (Monitoring and Warning Infrastructure Requirement)

  • Personal Data Commission:

Proving opinions in accordance with the policies of the Ministry on matters determined by the Law and the Board, resolving disputes, handling complaints and conducting audits. (Policy Setting, Processes and Organizational Management Requirement)

  • Data processing:

Processing of personal data in accordance with the basic needs of the organization in accordance with the relevant permits. (Data Transformation Requirement)

  • Data transfer:     

Sharing of personal data in accordance with the data transfer protocols in accordance with permissions of the ministry and the board (Data Transfer and Tracking Requirement)

  • Deletion & Anonym zing:

Data that has not purpose for use left is deleted or anonymized. The data requested to be deleted are archived in a centralized system and deleted after 10 years from the local system. (Requirement of Data Masking and Archiving/Deletion)

  • Information systems:

Establishment and integration of central data system, determination of required standards and approval flows, taking security measures (Requirement of Amendment and Approval Mechanism)

What does PoPD affect inside the institution?
As I mentioned above, Data Governance essentially affects many functions of an end-to-end organization as listed below;

  • Organizational Structure:

Determination of new roles and responsibilities in line with PoPD law

  • Data Management:
    • Detection of Sensitive Data
    • Categorization of Personal Data
    • Monitoring of Data and Establishment of Alert Infrastructure in case of Infringement
    • Management of Personal Data and Explicit Consent Data
    • Conversion/Transfer/Tracking/Sharing of Data
    • Anonymization/Archiving/Deleting of Data
  • Process management:
    • Determination of Policies
    • Change and Approval Mechanism
    • Claim and Complaint Management
  • Legal and Data Security Unit
  • Technological infrastructure.

Are we ready as an organization for this law?
If we are able to give affirmative responses to the following questions, we can say that we were largely ready. If some questions remain incomplete, I will briefly talk about what Informatica Data Governance offers you for this issue in the next section.

 

What solutions Informatica Data Governance offers you in this matter?
Informatica Data Governance provides you with the following solutions within the above-mentioned scope in line with the technology components it offers;

Discovery:

  • Discovery of Sensitive Data
  • Classification and Categorization of Data

Define & Govern:

  • Defining Standards and Security Policies
  • Determination and management of Roles and Responsibilities
  • Change Management and Approval Mechanism

Detect:

  • Detection of infringing transactions
  • Tracking User Actions

Protect::

  • Data Masking
  • Archiving/Deleting of Data

Monitor: 

  • Metadata Tracking
  • Risk Monitoring

Let’s end this article here and wish to meet you in the next series of articles. I hope it has been useful work for you. Hope to see you.

Best,

Evrim AY

By |2021-11-24T11:53:53+03:0028/09/2021|Blog, Data Quality|

KVKK ve Informatıca Çözümleri Üzerine…

Son zamanlarda hemen hemen her kurumun gündeminde olan ve kurumlar açısından ciddi değişikliklerin yapılmasını zorunlu kılan, Kişisel Verilerin Korunması Kanunu (KVKK) hakkında bir yazı yazmak istedim. Umarım faydalı bir çalışma olur.

Kişisel Verilerin Korunması Kanunu (KVKK) Kanunu Tam olarak Nedir?

Kanunun tam olarak ne olduğunu anlatmadan önce sadece ne olmadığı hakkında birkaç madde yazacak olursak:

  • Sadece Uyumluluk sorunu değil
  • Sadece bir Risk meselesi değil
  • Sadece bir Güvenlik meselesi değil
  • Sadece Veri sorunu değil
  • Sadece Yasal bir mesele değil

Bunların hepsi ve daha fazlasıdır. Biraz daha detaylı anlatacak olursak;

24 Mart 2016 tarihi itibari ile yasalaşan, “Kişisel Verilerin Korunması Kanunu”, başta özel hayatın gizliliği olmak üzere, kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacı taşımaktadır.

Ve kanun kapsamında, kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtildi.

Özetle kanun bizlere şunu söylemekte: kişisel verileri işleyen, taşıyan ve saklayan kurumlar özelinde ciddi bir yaptırımla ile birlikte ciddi bir dönüşüm gerekliliği vurgulanmaktadır. Peki kurumlar buna ne kadar hazır? Kanun uygulama esasları tam olarak neler ve kurumda neleri etkiliyor?


Kanunun Uygulama Esasları Neler?

Kanunun uygulama esaslarını detaylı bir şekilde inceleyecek olursak, bir çok konunun temelinde daha önceki yazımda da belirtmiş olduğum “Veri Yönetişimi – Teknoloji, Politika&Süreçler, Standartlar&Tanımlar ve Organizasyon ” konusu karşımıza çıkmakta. Bu konuyu kanun uygulama esasları üzerinden inceliyor olursak;

  • Kişisel Veri:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Hassas Verilerin Tespiti ve Kategorizasyonu Gereksinimi)

  • Veri Kayıt Sistemi:

Kişisel verlerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi (Kişisel Verilerin Yönetim Gereksinimi)

  • Açık Rıza:

Belirli bir konuya iliskin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza (Açık Rıza Bilgilerinin Yönetim Gereksinimi)

  • İhlal Bildirimi:

Veri ihlali durumunda bildirim. (İzleme ve Uyarı Altyapısı Gereksinimi)

  • Kişisel Veri Komisyonu:

Kanun ve Kurulca belirlenen hususlar hakkında Bakanlık politikalarına uygun şekilde görüş bildirmek, anlaşmazlıkları çözmek, şikayetleri incelemek, denetimleri yapmak. (Politikaların Belirlenmesi, Süreçler ve Organizasyonel Yönetim Gereksinimi)

  • Veri İşleme:

İlgili izinler doğrultusunda kişisel verilerin kurum içerisindeki temel ihtiyaçlar doğrultusunda işlenmesi. (Verinin Dönüşüm Gereksinimi)

  • Veri Aktarımı:

Kurum ve Bakanlık nezdinde İlgili izinler doğrultusunda kişisel verilerin veri aktarım protokolleri doğrultusunda paylaşımı (Veri Aktarım ve Takip Gereksinimi)

  • Silme & Anonimleştirme:

Kullanım amacı kalmayan veriler silinir ya da anonimleştirilir. Silinmesi talep edilen veriler merkezi bir sistemde arşivlenir, 10 yıl sonra yerel sistemden silinir. (Verinin Maskelenmesi ve Arşivlenmesi/Silinmesi Gereksinimi)

  • Bilgi Sistemleri:

Merkezi veri sisteminin kurulması, entegrasyonunun sağlanması, gerekli standartların ve onay akışlarının belirlenmesi, güvenlik önlemlerinin alınması (Değişiklik ve Onay Mekanizması Gereksinimi)

Peki KVKK Kurum İçerisinde Neleri Etkiliyor?

Yukarıda da belirtmiş olduğum üzere, Veri Yönetişimi konusuna esasen uçtan uca kurumun;

  • Organizasyon Yapısı:

KVKK kanunu doğrultusunda yeni rol ve sorumlulukların belirlenmesi

  • Veri Yönetimi:

  1. Hassas Verilerin Tespiti
  2. Kişisel Verilerin Kategorize Edilmesi
  3. Verinin İzlemesi ve İhlal Durumunda Uyarı Altyapısının Kurulması
  4. Kişisel Veri ve Açık Rıza Verisinin Yönetimi
  5. Verinin Dönüşümü/Aktarımı/Takibi/Paylaşılması
  6. Verinin Anonimleştirilmesi/Arşivlenmesi/Silinmesi


  • Süreç Yönetimi:

  1. Politikaların Belirlenmesi
  2. Değişiklik ve Onay Mekanizması
  3. • Talep ve Şikayet Yönetimi
  • Hukuk ve Veri Güvenliği Birimi
  • Teknolojik Altyapısı gibi bir çok farklı yapıyı etkilemektedir.


Peki Bu Kanuna Kurum Olarak Hazır Mıyız?

Aşağıdaki sorulara eğer olumlu bir dönüş verebiliyorsak, büyük ölçüde hazırız diyebiliriz. Eğer bazı sorular eksik kalıyorsa bir sonraki kısımda Informatica Veri Yönetişimi’nin sizlere bu konuda ne gibi çözümler sunduğundan kısaca bahsediyor olacağım.

Informatica Veri Yönetişimi Sizlere Bu konuda Ne Çözüm Sağlıyor?
Informatica Veri Yönetişimi, sunmuş olduğu teknoloji bileşenleri doğrultusunda yukarıda bahsetmiş olduğumuz kapsam dahilinde sizlere şu çözümleri sağlamaktadır;

Discovery (Keşif):

  • Hassas Verilerin Keşfi
  • Verilerin Sınıflandırılması ve Kategorizasyonu

Define & Govern (Tanımlama & Yönetme):

  • Standartların ve Güvenlik Politikaların Tanımlanması
  • Rol ve Sorumlulukların Belirlenmesi ve Yönetimi
  • Değişiklik Yönetimi ve Onay Mekanizması

Detect (Tespit):

  • Kuraldışı İşlerin Tespiti
  • Kullanıcı Hareketlerinin Takibi

Protect (Koruma):

  • Verinin Maskelenmesi
  • Verinin Arşivlenmesi/Silinmesi

Monitor (İzleme/Takip):

  • Metadata Takibi
  • Risklerin Takibi

Bu yazımı da burada sonlandırarak bir sonraki yazı dizisinde buluşmak üzere diyelim. Umarım faydalı bir çalışma olmuştur sizler için, görüşmek üzere.

Saygılarımla,

Evrim AY

By |2021-11-23T22:58:07+03:0011/08/2017|Blog, Veri Kalitesi|
Go to Top