Son zamanlarda hemen hemen her kurumun gündeminde olan ve kurumlar açısından ciddi değişikliklerin yapılmasını zorunlu kılan, Kişisel Verilerin Korunması Kanunu (KVKK) hakkında bir yazı yazmak istedim. Umarım faydalı bir çalışma olur.

Kişisel Verilerin Korunması Kanunu (KVKK) Kanunu Tam olarak Nedir?

Kanunun tam olarak ne olduğunu anlatmadan önce sadece ne olmadığı hakkında birkaç madde yazacak olursak:

  • Sadece Uyumluluk sorunu değil
  • Sadece bir Risk meselesi değil
  • Sadece bir Güvenlik meselesi değil
  • Sadece Veri sorunu değil
  • Sadece Yasal bir mesele değil

Bunların hepsi ve daha fazlasıdır. Biraz daha detaylı anlatacak olursak;

24 Mart 2016 tarihi itibari ile yasalaşan, “Kişisel Verilerin Korunması Kanunu”, başta özel hayatın gizliliği olmak üzere, kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacı taşımaktadır.

Ve kanun kapsamında, kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtildi.

Özetle kanun bizlere şunu söylemekte: kişisel verileri işleyen, taşıyan ve saklayan kurumlar özelinde ciddi bir yaptırımla ile birlikte ciddi bir dönüşüm gerekliliği vurgulanmaktadır. Peki kurumlar buna ne kadar hazır? Kanun uygulama esasları tam olarak neler ve kurumda neleri etkiliyor?


Kanunun Uygulama Esasları Neler?

Kanunun uygulama esaslarını detaylı bir şekilde inceleyecek olursak, bir çok konunun temelinde daha önceki yazımda da belirtmiş olduğum “Veri Yönetişimi – Teknoloji, Politika&Süreçler, Standartlar&Tanımlar ve Organizasyon ” konusu karşımıza çıkmakta. Bu konuyu kanun uygulama esasları üzerinden inceliyor olursak;

  • Kişisel Veri:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Hassas Verilerin Tespiti ve Kategorizasyonu Gereksinimi)

  • Veri Kayıt Sistemi:

Kişisel verlerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi (Kişisel Verilerin Yönetim Gereksinimi)

  • Açık Rıza:

Belirli bir konuya iliskin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza (Açık Rıza Bilgilerinin Yönetim Gereksinimi)

  • İhlal Bildirimi:

Veri ihlali durumunda bildirim. (İzleme ve Uyarı Altyapısı Gereksinimi)

  • Kişisel Veri Komisyonu:

Kanun ve Kurulca belirlenen hususlar hakkında Bakanlık politikalarına uygun şekilde görüş bildirmek, anlaşmazlıkları çözmek, şikayetleri incelemek, denetimleri yapmak. (Politikaların Belirlenmesi, Süreçler ve Organizasyonel Yönetim Gereksinimi)

  • Veri İşleme:

İlgili izinler doğrultusunda kişisel verilerin kurum içerisindeki temel ihtiyaçlar doğrultusunda işlenmesi. (Verinin Dönüşüm Gereksinimi)

  • Veri Aktarımı:

Kurum ve Bakanlık nezdinde İlgili izinler doğrultusunda kişisel verilerin veri aktarım protokolleri doğrultusunda paylaşımı (Veri Aktarım ve Takip Gereksinimi)

  • Silme & Anonimleştirme:

Kullanım amacı kalmayan veriler silinir ya da anonimleştirilir. Silinmesi talep edilen veriler merkezi bir sistemde arşivlenir, 10 yıl sonra yerel sistemden silinir. (Verinin Maskelenmesi ve Arşivlenmesi/Silinmesi Gereksinimi)

  • Bilgi Sistemleri:

Merkezi veri sisteminin kurulması, entegrasyonunun sağlanması, gerekli standartların ve onay akışlarının belirlenmesi, güvenlik önlemlerinin alınması (Değişiklik ve Onay Mekanizması Gereksinimi)

Peki KVKK Kurum İçerisinde Neleri Etkiliyor?

Yukarıda da belirtmiş olduğum üzere, Veri Yönetişimi konusuna esasen uçtan uca kurumun;

  • Organizasyon Yapısı:

KVKK kanunu doğrultusunda yeni rol ve sorumlulukların belirlenmesi

  • Veri Yönetimi:

  1. Hassas Verilerin Tespiti
  2. Kişisel Verilerin Kategorize Edilmesi
  3. Verinin İzlemesi ve İhlal Durumunda Uyarı Altyapısının Kurulması
  4. Kişisel Veri ve Açık Rıza Verisinin Yönetimi
  5. Verinin Dönüşümü/Aktarımı/Takibi/Paylaşılması
  6. Verinin Anonimleştirilmesi/Arşivlenmesi/Silinmesi


  • Süreç Yönetimi:

  1. Politikaların Belirlenmesi
  2. Değişiklik ve Onay Mekanizması
  3. • Talep ve Şikayet Yönetimi
  • Hukuk ve Veri Güvenliği Birimi
  • Teknolojik Altyapısı gibi bir çok farklı yapıyı etkilemektedir.


Peki Bu Kanuna Kurum Olarak Hazır Mıyız?

Aşağıdaki sorulara eğer olumlu bir dönüş verebiliyorsak, büyük ölçüde hazırız diyebiliriz. Eğer bazı sorular eksik kalıyorsa bir sonraki kısımda Informatica Veri Yönetişimi’nin sizlere bu konuda ne gibi çözümler sunduğundan kısaca bahsediyor olacağım.

Informatica Veri Yönetişimi Sizlere Bu konuda Ne Çözüm Sağlıyor?
Informatica Veri Yönetişimi, sunmuş olduğu teknoloji bileşenleri doğrultusunda yukarıda bahsetmiş olduğumuz kapsam dahilinde sizlere şu çözümleri sağlamaktadır;

Discovery (Keşif):

  • Hassas Verilerin Keşfi
  • Verilerin Sınıflandırılması ve Kategorizasyonu

Define & Govern (Tanımlama & Yönetme):

  • Standartların ve Güvenlik Politikaların Tanımlanması
  • Rol ve Sorumlulukların Belirlenmesi ve Yönetimi
  • Değişiklik Yönetimi ve Onay Mekanizması

Detect (Tespit):

  • Kuraldışı İşlerin Tespiti
  • Kullanıcı Hareketlerinin Takibi

Protect (Koruma):

  • Verinin Maskelenmesi
  • Verinin Arşivlenmesi/Silinmesi

Monitor (İzleme/Takip):

  • Metadata Takibi
  • Risklerin Takibi

Bu yazımı da burada sonlandırarak bir sonraki yazı dizisinde buluşmak üzere diyelim. Umarım faydalı bir çalışma olmuştur sizler için, görüşmek üzere.

Saygılarımla,

Evrim AY