İletişim
NTT DATA Business Solutions
Musa Özkan | Ağustos 20, 2020

Büyük Veri Çağında Kişisel Veri Gizliliği Nasıl Sağlanıyor?

Tüm dünya, her gün 2,5 eksabayt (1 eksabayt = 1.073.741.824 gigabayt) hacminde veri üretiyor. Sadece Google arama motorunda her 60 saniyede 3.7 milyon arama yapılıyor. Ancak insanların kendi rızalarıyla paylaştıkları milyarlarca veri sadece bulutta kalmıyor. Bana ait kişisel verileri, bilgileri kim neden toplasın, sosyal medyada paylaştığım bir iki fotoğraf veya attığım tweetler kime ne fayda sağlayacak diye düşünmeyin. Milyonlarca hatta milyarlarca insan hakkında bu bilgilerin toplanmasıyla oluşturulan ayrıntılı bilgi havuzları maalesef kötü niyetli kişiler tarafından kontrol ediliyor.

Günümüz dijital çağını aynı zamanda büyük veri çağı olarak da adlandırabiliriz. İş hayatında ve modellerinde yaşanan gelişmeler, teknolojinin sunmuş olduğu imkanlar, internetin bilgisayarların ve akıllı telefonların gelişim hızının artmasıyla her geçen gün verilerin niteliği ve niceliği de artıyor. İnsanların her dakika oluşturmakta olduğu büyük veri yığını, verilerin doğru biçimde analiz edilmesinin, petrolden bile daha kıymetli olduğunu ortaya koydu.

1950’lerde bilgisayarların veriyi işlemede kullanılması ile başlayan ve şu anda Facebook veya Google gibi şirketlerin veri analizleri ve yapay zekaya dayalı iş modelleri, insanları çoğu konu da arkadaşlarından hatta ailelerinden bile daha yakından tanıyabilmelerini sağlıyor. Kişisel veriler işlendikce ve incelendikçe kısa sürede beklendiğinden daha değerli ticari bir değer olduğu ortaya çıkmaya başladı. Bu ticari değer; kişiler üstünde gözlem yapıp, elde edilen gözlem verilerini işleyen ve daha sonra bunlar üstünde veri madenciliği yapan bir sisteme dönüştü. Bu sistem günümüzün en büyük şirketlerinin iş modellerinin bel kemiği haline geldi.

Kişiselleştirilmiş hizmet alabilmek adına toplanmasına izin vermiş olduğumuz kişisel verilerimizin artış göstermesi bizi bekleyen mahremiyet risklerinin de aynı oranda çoğalmasına neden oldu. Bu da, insanların mahremiyetini yasalarla koruma altına alma gereksinimini doğurdu.

KVKK’ya Neden İhtiyaç Duyulmuştur?

Veri erişim ve aktarım hızının teknoloji ile en üst seviyelere çıkması ve her alanda yaygınlaşmış bir şekilde verilerin kullanılmasından doğan koruma ihtiyacı bu yasanın çıkmasının en temel nedenidir. KVKK, kişisel verilerin amaç dışı işlenmesini veya kötüye kullanımının engellenmesini, kişisel hakların ihlal edilmesinin önüne geçilmesini, verinin güvenliğinin sağlanmasını amaçlamıştır. KVKK, tüm bu ihtiyaçların sonucunda ortaya çıkan yasal düzenleme ihtiyacını karşılamaktadır. Bu kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası ya da amaç dışı veya kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

KVKK Ne Zaman Yürürlüğe Girdi?

Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel Veri Nedir ?

Geleneksel anlamda kişisel veri, kişileri direk olarak veya başka bir bilgi ile birleştirildiğinde tanımlamaya / kim olduğuna anlamaya yarayan bilgiler olarak tanımlanır.

Örnek olarak “Fenerbahçe’nin 2019 yılındaki teknik patronu” ifadesinde bahsedilen kişinin kimliği belirlenebildiği için bu bilgi kişisel veri olacaktır. Ancak “Fenerbahçe Takımının taraftarları” bilgisinde bu tanıma uyan binlerce taraftar olduğundan ve direkt olarak kimden bahsedildiği anlaşılamadığından dolayı kişisel veri olmayacaktır.

Özel Nitelikli Kişisel Veri Nedir ?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel verilere örnek vermek gerekirse; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi ya da diğer inançları, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler biçiminde sıralayabiliriz. Bu duruma göre hassas nitelikteki kişisel veriler genel itibari ile pek çok sektörü sorumlu tutmaktadır.

Açık Rıza Nedir ?

Kişisel verilerin işlenmesinin hukuka uygun olabilmesi için verinin sahibi olan ilgili kişinin, mevzuat tarafından verileri işleyecek olan kişi veya kuruma izin vermesi gerekmektedir. Bu izinlerin veri güvenliği açısından karşılığı da “rıza” kavramı olarak karşımıza çıkıyor. Ancak dikkat edilmesi gereken husus; kişisel verileri işlemek için karşı tarafın rızasına sahip olmanız, bu verileri dilediğiniz gibi kullanabileceğiniz manasına gelmediğidir. Ayrıca rıza bakımından unutulmaması gereken bir diğer durum da verilen her rızanın maalesef geçerli olarak kabul edilmediğidir.

Kişisel verilerin işlenmesi için alınan bir rızanın geçerli sayılabilmesi için özgürce, sınırları ve kapsamı belirli bir amaç için, pozitif bir aksiyon alarak verilmiş olması ve gerekli tüm bilgiler verilerek alınmış olması gerekmektedir. Bunlara ilave olarak, rızanın usulüne uygun olarak alındığını kanıtlama yükümlülüğü de yanı sıra gelmektedir. Açık rızanın olduğunu kanıtlama yükümlülüğü veri sorumlusuna aittir. Rızanın alınma aşamasında başka işlemlerin arasına sıkıştırılmaması, gerekirse değişik bir belgede alınması, basit bir dil kullanılması, hukuka aykırı bir hüküm içermemesi ve kolayca erişilebilir olması şartlarının hepsi karşılanmalıdır.

Şirketler KVKK gereksinimlerini karşılamak için hangi yol haritasını takip etmelidir?

Yazılımsal ve donanımsal dönüşümüm yanı sıra kültürel bir dönüşüme de hazırlık yapılmalıdır. Firmalar, KVKK konusunda öncelikle kanun kapsamını dikkate alarak mevcut durum analizi ve uyumluluk değerlendirmesi yapmalı,  ardından veri çözümleme ve değerlendirmesi yaparak kişisel veri envanteri oluşturmalı ve bu envanterde sahip olunan ve olunacak kişisel veriler detaylandırılmalıdır. (Hangi veri, hangi amaçla toplanıyor, nasıl kayıt ediliyor, hassas içerikli veri işleniyor mu, ne kadar saklanıyor, verilere kim nasıl erişiyor, nasıl yok ediliyor, üçüncü taraflarla paylaşılıyor mu, nasıl ve ne amaçla paylaşılıyor gibi) Ardından mevcut bilgi güvenliği kontrollerinin nasıl yönetildiği analiz edilmeli ve teknik güvenlik tedbirleri değerlendirilmeli. Yurt dışına veri çıkışı olup olmadığı, var ise nasıl yürütüldüğü, alt veri işleyenlerin olup olmadığı ve şartları, mevcut politikaların yeterliliği incelenmelidir. Bu analizlere göre ortaya çıkan ihtiyaçlar ve iyileştirmeler için aksiyonlar planlanmalı ve hayata geçirilmelidir. İzlenebilir bir yönetim sistemi kurulmalı ve sürekliliği sağlanmalıdır.

NTT DATA Business Solutions Bu Konuda Size Nasıl Destek Olabilir?

NTT DATA Business Solutions Türkiye olarak hem veri sorumlusu sıfatıyla yasal yükümlülüklerimizi yerine getirmek üzere çalışıyor, hem de it.privacy ürünümüzün geliştirmeleri yapıyoruz. Konu ile alakalı it.privacy’de altyapısal olarak gerçekleştirdiğimiz çalışmaların beraberinde KVKK admin paneli uygulamalarımız ile kişisel verilerin toplanması, kayıt edilmesi, bilgilendirme ve açık rıza taleplerinin alınması, cevap olarak gelen tercihlerin uygulanması, müracaat mekanizmasının işletilmesi, verilerin maskelenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, süresi dolan verilerin süre sorunda otomatik yok edilmesi ve benzeri tüm gereklilikleri yöneteceğimiz ürünümüzü geliştirdik. Yetki minimizasyonu üstünde çalıştık, ihtiyaca uygun hale getirdik. Tüm iş süreçlerini it.privacy ile yöneten işletmeler için KVKK yükümlülüklerini de it.privacy üstünde etkin şekilde yönetebilecekleri uygulamalar hazırladık. Sürecin ilerleyişine ve etkileşimde olduğumuz tüm taraflardan gelen geri bildirimlere göre de çalışmalarımıza devam ediyor ve sürekli geliştiriyoruz.