Envanterin Gerekçesi
Aslında gerekçe olarak yasalar böyle buyurdu desem her şey çözülmüş olur. Tabi ki konunun karışıklığı nedeniyle burayı biraz açmak gerek. Kişisel Verileri Koruma Kurulu, yasayla birlikte Türkiye’deki bütün veri işleyen firma ve kuruluşları “Tam Bir Bağımsızlıkla” denetleme yetkisine sahip oldu. Hatta bu o kadar büyük bir yetki ki kuruluşundan çok öncesinde çıkan Sağlık Bakanlığının mevzuatını değiştirebildi. Bakanlığın kendine verdiği denetleme yetkisini iptal ettirip bütün denetimi kendi bünyesinde topladı.
Denetim için; bir muhatap, denetlenecek “şey” ve denetleme yönteminin varlığı gerektiğinden, Kurul çıkardığı bir yönetmelikle bunları düzenlemeye başladı. Muhatap olarak veri sorumlusunu, denetlenecek şey olarak “kişisel veri ve özel nitelikli kişisel veri”yi, denetleme yöntemi olarak da envanteri ortaya koydu. İlk iki konu açık bir şekilde çözüldüğü halde an itibariyle envanter’in yapısı ve standartları vs koca bir soru işareti olarak kalmaya devam etmektedir. Bilgilendirme notları aksini söylemiş olsa bile önümüzdeki günlerde bu konuyu da açıklığa kavuşturacaklarını düşünüyorum.
Envanterin Yapısı
Uluslararası tartışmalar genel olarak GDPR’ın 30. maddesi üzerinden yapılmaktadır. Bu madde bizim yukarıda alıntıladığımız tanımlamanın açıklaması gibi; biraz daha detaylandırılmış olduğunu söyleyebiliriz.
Tartışmalara baktığımızda envanterin 5 W (why, who, what, when, where) üzerinde kurgulandığını görebiliriz. Türkçe olarak değerlendirirsek: Neden, Kim, Ne, Ne zaman (Nasıl’ı da buraya ekleyebiliriz), Nerede soruları envanterin temelini oluşturmaktadır.
Bu soruları açtığımızda aşağıdaki tablo karşımıza çıkmaktadır:
|
5N 1K |
Soru |
Başlık |
|
Neden |
Neden bu veriyi topluyorsun? | Amaç |
| Veriyi toplama gerekçen nedir? | Gerekçe | |
| Veriyi paylaşma amacın nedir? | Paylaşılma Amacı | |
| Paylaşılmasına esas olan sözleşme nedir? | Paylaşılma Gerekçesi | |
|
Kim |
Veriyi toplayan departmanın kim? | Departman |
| Veriyi toplayan kişi kim? | Oluşturan Kişi | |
| Veri sahibinden gerekli izni aldın mı? | İzin Durumu | |
| Veriye erişim izni olan kişiler kimler? | Erişim Yetkisi Olan Kişiler | |
| Bu veriyi paylaştığın kişi veya kişiler kim | Paylaşılan Kurum ve Kişiler | |
| Verinin erişiminden kim sorumlu? | Erişim Sorumlusu | |
| Verinin erişim yetkisini kim veriyor? | Erişim Uygulayıcısı | |
| Verinin güncellemesinden kim sorumlu? | Güncelleme Sorumlusu | |
| Verinin güncellemesini kim uyguluyor? | Güncelleme Uygulayıcısı | |
| Verinin depolanmasından kim sorumlu? | Depolama Sorumlusu | |
| Verinin depolanmasını kim uyguluyor? | Depolama Uygulayıcısı | |
| Verinin denetiminden kim sorumlu? | Denetleme Sorumlusu | |
| Verinin denetimini kim yapıyor? | Denetleme Uygulayıcısı | |
| Verinin paylaşılmasından kim sorumlu? | Paylaşım Sorumlusu | |
| Verinin paylaşımını kim yapıyor? | Paylaşım Uygulayıcısı | |
| Verinin imhasından kim sorumlu? | İmha Sorumlusu | |
| Verinin imhasını kim yapıyor? | İmha Uygulayıcısı | |
|
Ne |
Topladığın verinin kategorisi nedir? | Kategori |
| Topladığın veri nedir? | Veri | |
| Topladığın verinin kaynağı nedir? | Kaynak | |
| Verinin işlenmesinden elde ettiğin çıktı nedir? | Çıktı | |
| Bu veri kullanılıyor mu? | Kullanılma Durumu | |
| Bu veriyi paylaşıyor musun? | Paylaşım Durumu | |
| Veriyi güncelliyor musun? | Güncelleme Durumu | |
| Veri imha edildi mi? | İmha Durumu | |
| Veri denetleniyor mu? | Denetleme Durumu | |
|
Ne Zaman (Nasıl) |
Veriyi ne zaman elde ettin? | Oluşturulma Tarihi |
| Veriyi nasıl elde ettin? | Oluşturulma Metodu | |
| Veriyi ne kadar sıklıkla kullanılıyorsun? | Kullanım Sıklığı | |
| Veriyi ne kadar sıklıkla güncelliyorsun? | Güncelleme Sıklığı | |
| Veriyi nasıl güncelliyorsun? | Güncelleme Metodu | |
| Veriyi güncellerken aldığın güvenlik önlemleri nelerdir? | Güncelleme Standardı | |
| Veriyi ne zaman kullandın? | Kullanma Tarihi | |
| Veriyi ne kadar süre elinde tutacaksın? | Son Kullanma Tarihi | |
| Veri ne zaman imha edildi? | İmha Tarihi | |
| Son kullanma tarihi bittiğinde veriye ne yapacaksın? | İmha Metodu | |
| Veriyi hangi standarlarda yok edeceksin? | İmha Standardı | |
| Verileri nasıl kullanıyorsun? | Kullanılma Metodu | |
| Veriyi kullanırken aldığın güvenlik önlemleri nelerdir? | Kullanılma Standardı | |
| Veriyi ne kadar sıklıkla denetliyorsun? | Denetleme Sıklığı | |
| Veriyi denetleme yöntemin nedir? | Denetleme Metodu | |
| Veriyi denetleme standardın nedir? | Denetleme Standardı | |
| Veriyi nasıl paylaşıyorsun? | Paylaşım Metodu | |
| Veriyi ne zaman paylaşmaya başladın? | Paylaşım Başlangıç Tarihi | |
| Veriyi ne sıklıkla paylaşıyorsun? | Paylaşım Sıklığı | |
| Veri paylaşımı son tarihin nedir? | Paylaşım Son Tarihi | |
| Veriyi paylaşırken esas aldığın güvenlik önlemleri nelerdir? | Paylaşma Standardı | |
| Veriye erişimi nasıl yönetiyorsun? | Erişim Standardı | |
| Veri sanal olarak mı yoksa fiziksel olarak mı tutuluyor? | Depolama Metodu | |
| Veri depolama da kullandığın güvenlik önlemleri nedir? | Depolama Standardı | |
|
Nerede |
Veri nerelerde kullanıyor? | Kullanım Yeri |
| Verinin tutulduğu fiziksel ortam nedir? | Veri Ortamı |
Abdullah Ömer Şeker 