Yeni KVKK yönetmeliği tüm detaylarıyla Lostar webinarında tartışıldı

Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.

KVKK ile ilgili beklenen önemli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği ise 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlandı.

Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi konulu webinarda ilgili yönetmelik hakkında bilgi verdi.

Lostar’a göre, son çıkan yönetmelik bir buçuk yıldan fazla bir süredir hayatımızda olan KVKK’ya uyum sürecinde rehber niteliği taşıyor.

LOSTAR’IN YOUTUBE KANALINA ULAŞMAK İÇİN TIKLAYINIZ

Yönetmelik maddelerini Bilgi Teknolojileri alanında neler yapılması gerektiğini açısından değerlendiren Lostar: “Bu yönetmelik aslında çok uzun bir yönetmelik olmamakla beraber hemen birinci maddesinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlediğini görüyoruz.” şeklinde konuştu.

Kurumların, KVKK’ya uyumlu hale gelmesini gereken bir yönetmelikle karşı karşıya olduklarının altını çizen Lostar, yönetmeliğin, veri saklama ve imha politikasına sahip olma ve veri saklama süreleri esaslarına dayandığını söyledi.

Kişisel verileri silme, yok etme veya anonim hale getirme sürelerini detaylandıran yönetmeliğe göre: 

MADDE 11- (1) –Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.”

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Lostar’a göre Madde 11 bizlere şunu söylemek istiyor; kurumların artık kişisel veri temizliği yapma günleri olacak.

Kurumlar ilk etapta periyodik imha işlemi denilen bir gün belirleyecekler. Regülasyon, imha işleminin her altı ayda bir yapılması gerektiğini söylüyor.

Lostar’a göre bu durum, kurumların yılda en az iki kere bahar temizliği yapar gibi kişisel verileri temizleme gününün olacağı anlamına geliyor.

-Kişisel verilerin silinmesi

Kurumlar açısından kanun kapsamında bahsedilen, müşterilere ait toplanan kişisel veriler, çalışanlara ait kişisel veriler, kuruma özgeçmini yollamış ama beraber çalışmadığı kişilere ait veriler gibi çok farklı veri türleri var.

Lostar’a göre, bütün bu kişisel verilerin her biri için yani her bir kategori için öncelikle bir politika belirleyip ve bu politikada hukukçularla beraber çalışarak bir iş bitirme süreci işletiyor olmak gerekiyor.

Bu işlem için de yönetmeliğin sunduğu 3 yöntemden bahsediyor tecrübeli CEO. Bunlardan ilki Kişisel Verilerin Silinmesi.

Yönetmeliğin 8. Maddesi 1. Fıkrasına göre:

“Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.”

Lostar’a göre bu madde içinde anahtar kelime aslında ilgili kullanıcılar denilen yer.

Yönetmeliğin 4. Madde 1. Fıkrası (b) bendinde ilgili kullanıcı “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanıyor.

Lostar, bu iki maddenin birbirini tamamlayıcı nitelikte olduğunu söylüyor ve ekliyor:

“Biz verileri silerken, verileri aslında işleyen ve o verilerin işlenmesinden bir fayda sağlayan kişilere karşı kullanılamaz hale getiriyor olmamız gerekiyor. Burada bazılarımızın aklına şu gelebilir ‘ben bunu silerim daha sonra günün birinde ihtiyacım olursa da o zaman bilgi teknolojilerine bu bilgiyi yedeklerden vermesini söylerim.’

İşte orada da Madde 8, 2. fıkrası karşımıza çıkıyor:

“Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

-Kişisel verilerin yok edilmesi

Yönetmeliğin sunduğu yöntemlerden ikincisi ise Kişisel Verilerin Yok Edilmesi. İlgili maddeye göre:

MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Bu maddeyi yorumlayan Lostar, maddede en çok dikkat edilmesi gerekenin ‘bilgilerin hiçbir şekilde erişilemez ve geri getirilemez’ kısmı olduğunu söyledi.

“Bilgi Teknolojileri açısından düşünürsek bizim ana sistemlerimizde sadece veriyi sildim demek yeterli değil, aynı zamanda bu verinin yedeklerden ve kopyalardan silinerek geri döndürülemez şekilde imha edilmesi anlamına geliyor. Son olarak da bütün eski ve yeni arşivlerimizden bu bilgilerin imha edilmesi anlamına geliyor. Buradaki düzenleme sadece elektronik ortamı kapsamıyor tüm fiziksel kopyalar için de geçerli,” diyor Lostar ve uyarıyor:

“Eğer kurumunuz herhangi bir veriyi geri getirmek isterse bu geri getirme işleminin sadece ve sadece ilgili kullanıcılar dışında yapılabilmesini garanti ediyor olmak gerekiyor.”

-Kişisel verilerin anonimleştirilmesi

Yönetmeliğin sunduğu üçüncü yöntem ise Kişisel Verilerin Anonim Hale Getirilmesi.

MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Lostar’a göre, anonimleştirme kişisel veri ile kişi arasındaki bağın kesilmesi anlamına geliyor.

“Yani veriler bir yerde mevcut ama o verileri gerçek kişiyle ilişkilendirmek geri dönülmez bir şekilde mümkün değil demek.”

Anonimleştirmenin yararları ama aynı zamanda zorlukları da var. Bu yöntemin en önemli yararı eldeki bilginin hala katma değer sağlamaya devam ediyor olması.

Fakat, Lostar, her kurum anonimleştirme yaparken kendine ‘Ben bu anonimleştirdiğim veriyi bir başka yerde sahip olduğum bir veriyle birleştirerek tekrar kişiselleştirebilir miyim ya da teknik değimiyle de-anonimleştirmek mümkün mü?’ sorusunun cevabını veriyor olması gerektiğini söylüyor.

“Her anonimleştirmenin öncelikle o sisteme özgü yapılıyor olması gerekiyor ve bunu yaparken kurumdaki farklı bir bilgi ile tekrar birleşerek de-anonimleştirmenin mümkün olmadığını garanti etmek gerekiyor.” şeklinde açıklıyor Lostar.

-Veri silme, yok etme ve anonimleştirme kayıtları

Yönetmelikte geçen önemli konulardan bir diğeri ise  bu verilerin silinmesi, yok edilmesi ve anonimleştirilmesi kayıtları üzerine.

‘Ben kaydın içine kimin verisini sildiğimi, yok ettiğimi ya da anonimleştirdiğimi yazarsam aslında bir kişisel veri yok ederken yeni bir kişisel veri yaratmış olmuyor muyum’ sorusuyla çok fazla karşılaştığını söyleyen Lostar, bunun sorunun veri imha politikası yoluyla çözülebileceğini ifade ediyor.

Veri imha politikası gereği, kurumların, tuttukları farklı kişisel veri türleri için her birinin ne sıklıkta ve ne kadar yaştan sonra hangi yöntemle ortadan kaldırılacağına ilişkin bir kayıt listesi olmalı.

Bu kayıtların üç yıl saklanması gerekiyor. Lostar’a göre kanunun üç yıl kuralının arkasındaki temel motivasyon, kurumların tabi tutulacakları denetimler aracılığıyla kanuna uygunluk açısından sorumluluklarını düzenli ve dönemsel olarak yerine getirmelerini sağlamak.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Yazıyı PaylaşTweet about this on TwitterShare on Facebook4Share on LinkedIn15Share on Google+0Email this to someonePrint this page

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*