Blog (tr) Privacy

Kişisel Veri Envanteri Hakkında Bir Kavramsal Çerçeve Çalışması

Envanterin Gerekçesi

Aslında gerekçe olarak yasalar böyle buyurdu desem her şey çözülmüş olur. Tabi ki konunun karışıklığı nedeniyle burayı biraz açmak gerek. Kişisel Verileri Koruma Kurulu, yasayla birlikte Türkiye’deki bütün veri işleyen firma ve kuruluşları “Tam Bir Bağımsızlıkla” denetleme yetkisine sahip oldu. Hatta bu o kadar büyük bir yetki ki kuruluşundan çok öncesinde çıkan Sağlık Bakanlığının mevzuatını değiştirebildi. Bakanlığın kendine verdiği denetleme yetkisini iptal ettirip bütün denetimi kendi bünyesinde topladı.

Denetim için; bir muhatap, denetlenecek “şey” ve denetleme yönteminin varlığı gerektiğinden, Kurul çıkardığı bir yönetmelikle bunları düzenlemeye başladı. Muhatap olarak veri sorumlusunu, denetlenecek şey olarak “kişisel veri ve özel nitelikli kişisel veri”yi, denetleme yöntemi olarak da envanteri ortaya koydu. İlk iki konu açık bir şekilde çözüldüğü halde an itibariyle envanter’in yapısı ve standartları vs koca bir soru işareti olarak kalmaya devam etmektedir. Bilgilendirme notları aksini söylemiş olsa bile önümüzdeki günlerde bu konuyu da açıklığa kavuşturacaklarını düşünüyorum.

Envanterin Yapısı

Uluslararası tartışmalar genel olarak GDPR’ın 30. maddesi üzerinden yapılmaktadır. Bu madde bizim yukarıda alıntıladığımız tanımlamanın açıklaması gibi; biraz daha detaylandırılmış olduğunu söyleyebiliriz.

Tartışmalara baktığımızda envanterin 5 W (why, who, what, when, where) üzerinde kurgulandığını görebiliriz. Türkçe olarak değerlendirirsek: Neden, Kim, Ne, Ne zaman (Nasıl’ı da buraya ekleyebiliriz), Nerede soruları envanterin temelini oluşturmaktadır.

Bu soruları açtığımızda aşağıdaki tablo karşımıza çıkmaktadır:

5N 1K

Soru

Başlık

Neden

Neden bu veriyi topluyorsun? Amaç
Veriyi toplama gerekçen nedir? Gerekçe
Veriyi paylaşma amacın nedir? Paylaşılma Amacı
Paylaşılmasına esas olan sözleşme nedir? Paylaşılma Gerekçesi

Kim

Veriyi toplayan departmanın kim? Departman
Veriyi toplayan kişi kim? Oluşturan Kişi
Veri sahibinden gerekli izni aldın mı? İzin Durumu
Veriye erişim izni olan kişiler kimler? Erişim Yetkisi Olan Kişiler
Bu veriyi paylaştığın kişi veya kişiler kim Paylaşılan Kurum ve Kişiler
Verinin erişiminden kim sorumlu? Erişim Sorumlusu
Verinin erişim yetkisini kim veriyor? Erişim Uygulayıcısı
Verinin güncellemesinden kim sorumlu? Güncelleme Sorumlusu
Verinin güncellemesini kim uyguluyor? Güncelleme Uygulayıcısı
Verinin depolanmasından kim sorumlu? Depolama Sorumlusu
Verinin depolanmasını kim uyguluyor? Depolama Uygulayıcısı
Verinin denetiminden kim sorumlu? Denetleme Sorumlusu
Verinin denetimini kim yapıyor? Denetleme Uygulayıcısı
Verinin paylaşılmasından kim sorumlu? Paylaşım Sorumlusu
Verinin paylaşımını kim yapıyor? Paylaşım Uygulayıcısı
Verinin imhasından kim sorumlu? İmha Sorumlusu
Verinin imhasını kim yapıyor? İmha Uygulayıcısı

Ne

Topladığın verinin kategorisi nedir? Kategori
Topladığın veri nedir? Veri
Topladığın verinin kaynağı nedir? Kaynak
Verinin işlenmesinden elde ettiğin çıktı nedir? Çıktı
Bu veri kullanılıyor mu? Kullanılma Durumu
Bu veriyi paylaşıyor musun? Paylaşım Durumu
Veriyi güncelliyor musun? Güncelleme Durumu
Veri imha edildi mi? İmha Durumu
Veri denetleniyor mu? Denetleme Durumu

Ne Zaman (Nasıl)

Veriyi ne zaman elde ettin? Oluşturulma Tarihi
Veriyi nasıl elde ettin? Oluşturulma Metodu
Veriyi ne kadar sıklıkla kullanılıyorsun? Kullanım Sıklığı
Veriyi ne kadar sıklıkla güncelliyorsun? Güncelleme Sıklığı
Veriyi nasıl güncelliyorsun? Güncelleme Metodu
Veriyi güncellerken aldığın güvenlik önlemleri nelerdir? Güncelleme Standardı
Veriyi ne zaman kullandın? Kullanma Tarihi
Veriyi ne kadar süre elinde tutacaksın? Son Kullanma Tarihi
Veri ne zaman imha edildi? İmha Tarihi
Son kullanma tarihi bittiğinde veriye ne yapacaksın? İmha Metodu
Veriyi hangi standarlarda yok edeceksin? İmha Standardı
Verileri nasıl kullanıyorsun? Kullanılma Metodu
Veriyi kullanırken aldığın güvenlik önlemleri nelerdir? Kullanılma Standardı
Veriyi ne kadar sıklıkla denetliyorsun? Denetleme Sıklığı
Veriyi denetleme yöntemin nedir? Denetleme Metodu
Veriyi denetleme standardın nedir? Denetleme Standardı
Veriyi nasıl paylaşıyorsun? Paylaşım Metodu
Veriyi ne zaman paylaşmaya başladın? Paylaşım Başlangıç Tarihi
Veriyi ne sıklıkla paylaşıyorsun? Paylaşım Sıklığı
Veri paylaşımı son tarihin nedir? Paylaşım Son Tarihi
Veriyi paylaşırken esas aldığın güvenlik önlemleri nelerdir? Paylaşma Standardı
Veriye erişimi nasıl yönetiyorsun? Erişim Standardı
Veri sanal olarak mı yoksa fiziksel olarak mı tutuluyor? Depolama Metodu
Veri depolama da kullandığın güvenlik önlemleri nedir? Depolama Standardı

Nerede

Veri nerelerde kullanıyor? Kullanım Yeri
Verinin tutulduğu fiziksel ortam nedir? Veri Ortamı

 

Sonraki sayfa…

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s