KVKK Teknik Tedbirleri, Veri Keşfi, Silme ve Anonimleştirme

Kişisel verileri koruma kanunu şirketlere tuttukları verileri korumakla mükellef. Ayrıca açık rıza ile alınan kişisel veriler, veri sahibinin istemesi durumunda silinmek durumunda [1] .

Kişi vermiş olduğu onayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma hakkına sahiptir. Böyle bir durumda bütün sistemde bu verileri arayıp bulmak gerekecektir. Bunun için ANET tarafından geliştirilen Siperium [2,3] veri keşfi ve sınıflandırma yazılımı kullanılabilir. Siperium dosya sistemi ve veri tabanlarında arama yapabilir.

Ayrıca eğer kişi rızasını geri çekmiş ise kişisel verilerini yine KVKK kapsamında silmek ve anonimleştirmek zorunluluğu mevcut. Bu silme işlemi için özel yöntemlerin kullanılması gerekiyor [4]. Standart silme kabul edilmiyor. Siperium bu silme işlemini kanunda tarif edildiği gibi yapabilen bir tek veri keşfi çözümüdür.

Anonimleştirme de yine yönetmeliklerle tarif edilmiştir. Siperium veritabanlarında da anonimleştirme yapabilmektedir.

Dolayısı ile KVKK ile ilgili genel yanlışlardan biri de bana veri keşfi bir defa envanter çıkarırken lazım olacak. Ben bunu bir defa yaptırayım geçsin gitsin yaklaşımıdır.

Aşağıda yönetmelik işleyişi açıklamış. Bu işlemi yıl içinde onlarca veya yüzlerce kez yapmak durumunda kalabilirsiniz.

MADDE 12 — (1) (Değişik:RG-28/4/2019–30758) İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. [5]

Referanslar

1. https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
2. http://www.anetusa.net/downloads/Siperium.pdf
3. http://www.anetusa.net/downloads/Siperium%20Data%20Discovery&Classification.pdf
4. https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20S%C4%B0L%C4%B0NMES%C4%B0%2C%20YOK%20ED%C4%B0LMES%C4%B0%20VEYA%20ANON%C4%B0M%20HALE%20GET%C4%B0R%C4%B0LMES%C4%B0%20REHBER%C4%B0.pdf
5. https://kvkk.gov.tr/Icerik/5441/KISISEL-VERILERIN-SILINMESI-YOK-EDILMESI-VEYA-ANONIM-HALE-GETIRILMESI-HAKKINDA-YONETMELIK