Genel Veri Koruma Tüzüğü (GDPR), 25 Mayıs 2018 tarihinde Avrupa Birliği ve Avrupa Ekonomik Alanı’nda kişisel verilerin korunması için tek tip bir çerçeve sunmuştur. Bu tarihten itibaren, organizasyonlar, tüm veri işleme faaliyetlerinin hukuka uygunluk ve şeffaflık açısından katı gerekliliklere uymak zorundadır, burada veri sahiplerinin gizlilik hakları merkezdedir. GDPR’nin oluşturduğu haklar ve yükümlülükler sistemi, veri minimizasyonu ve amacın sınırlanması gibi temel ilkelere kadar, veri sahiplerinin erişim, düzeltme, silme ve veri taşınabilirliği haklarını elde etmesine kadar geniş bir yelpazeye yayılmaktadır. Bu haklar, yalnızca hukuki soyutlamalar olmakla kalmaz, aynı zamanda IT sistemlerinde, iç süreçlerde ve sözleşmesel ve organizasyonel sorumluluklarda uyarlamalar gerektirir, böylece veri işleme zincirinin ön uçtan arka uca kadar kontrol altında olması sağlanır.
Bu geniş hak yelpazesi ile birlikte, hem özel sektördeki işletmelerin hem de kamu kurumlarının yönetici ve yöneticileri için önemli zorluklar ortaya çıkmıştır. Bir ay içinde taleplere yanıt verme zorunluluğu, taleplerin işlenmesi için otomatikleştirilmiş iş akışları ve kimlik doğrulama işlemlerinin veri ihlali olmadan yapılabilmesi için sıkı kimlik doğrulama yöntemleri gerektirir. Ayrıca, silme hakkının, vergi veya cezai amaçlar için yasal saklama yükümlülükleriyle çeliştiği durumlar da göz önünde bulundurulmalıdır. Bu çıkarlar arasındaki sürekli dengeyi sağlamak ve aynı zamanda denetim otoriteleri ve kamu nezdinde güven oluşturmak, güçlü bir yönetişim, araçlara yapılacak sağlam yatırımlar ve gizliliğin korunmasının derinlemesine entegre olduğu bir kültür gerektirir.
Erişim Hakkı (Madde 15)
Erişim hakkı, veri sahibine toplanan kişisel veriler üzerinde geniş bir kontrol sağlar ve tüm veri işleme faaliyetlerinin tam bir kopyasını almasını sağlar. Bu, yalnızca işlenen verilerin gerçek kümesine değil, aynı zamanda işlenen verilerin kategorilerine, amaçlara ve alıcılara veya alıcı kategorilerine dair bir görüş sunar. Organizasyonlar, verilerin saklanma sürelerini sunmak zorundadır ve eğer veriler doğrudan veri sahibinden alınmamışsa, bu verilerin kaynağını da belirtmelidir. Bu, müşteri ilişkileri sistemleri, pazarlama veri tabanları, insan kaynakları platformları ve diğer veri depoları arasında kesintisiz bir entegrasyon gerektirir, böylece işlenen tüm nitelikler hızla ve doğru bir şekilde toplanabilir.
Bu hakkın pratikte uygulanması, talepleri ek engeller yaratmadan doğrulama yapabilen sağlam bir portal gerektirir. Aynı zamanda, portalda belgeler, ekran görüntüleri ve veri işleme zincirinin dolandırıcılık istatistikleri gibi verilerin toplanabilmesi gereklidir. Kimlik doğrulama yöntemleri, başka kişilerin kişisel verilerinin ifşasına yol açmamalıdır, ancak erişim sağlayan kişinin kötüye kullanmasını engellemek için yeterli güvence sağlamalıdır. Sıfır bilgi kanıtı teknikleri ve gizliliği koruyan kimlik doğrulama gibi teknik çözümler, bu dengeyi sağlamak için yardımcı olabilir.
Düzeltme Hakkı (Madde 16)
Düzeltme hakkı, veri sahibine yanlış veya eksik kişisel verileri düzeltme imkânı sağlar ve böylece veri kalitesinin ve süreçlerin doğruluğunun korunmasına yardımcı olur. Organizasyonlar, her düzeltme talebini güvenilir kaynak verileri veya dış otoritelerle doğrulayan süreçler kurmalıdır. Doğrulama, kişisel verilerin yeniden ifşa edilmesine yol açmamalıdır, ancak değişikliğin haklı olduğunu kesin bir şekilde kanıtlamalıdır, örneğin, hükümet veri tabanları veya sertifikalı veri tedarikçileri ile otomatik çapraz kontroller yoluyla.
Bir düzeltme onaylandığında, bu değişiklik verilerin bulunduğu tüm sistemlerde tutarlı bir şekilde uygulanmalıdır. Bu genellikle, veri göletleri, analiz silo katmanları ve dış raporlama sistemleri üzerindeki işlem tutarlılığı gerektirir. Bu tutarlılığı sağlamak için olay tabanlı mimariler veya toplu işlemle senkronizasyon rutinleri gereklidir, ayrıca düzeltmelerin bir ortamda yapılırken diğerlerinde yapılmadığını tespit etmek için kontroller yapılmalıdır. Ayrıca, her değişiklik, ileride yapılacak denetim ve hesap verebilirlik için kaydedilmelidir.
Silme Hakkı (Unutulma Hakkı) (Madde 17)
Unutulma hakkı, veri sahibine kişisel verilerin, veriler toplandığı amaçlar için artık gerekli olmadığında, veri sahibinin rızasını geri çekmesi durumunda veya işleme yasa dışı olduğunda silinmesini talep etme hakkı verir. Operasyonel olarak, bu, tüm verilerin dinlenme ve geçiş halindeki verilerinin haritalandırılmasını gerektirir, böylece silme işlemleri yedeklemelerde veya arşivlerde kalıntılar bırakmaz. Organizasyonlar, verilerin tamamen ve geri alınamaz şekilde silinmesini sağlamak için süreçler oluşturmalıdır, bunun yanı sıra dizinlerin ve meta verilerin temizlenmesi de gereklidir.
Aynı zamanda, vergi saklama süreleri veya devam eden dava süreçleri gibi yasal saklama yükümlülükleri, karşıt göstergeler olarak dikkate alınmalıdır. Bu gibi durumlarda, silme talebi reddedilmeli veya sınırlı bir şekilde yerine getirilmelidir ve istisnaların gerekçeleri hakkında veri sahibine açık iletişim sağlanmalıdır. Otomatikleştirilmiş saklama politikaları ve dosya incelemesi için hukuki iş akışları gibi teknik önlemler, bu hassas dengenin yönetilebilir olmasını sağlamak için gereklidir.
İşleme Sınırlama Hakkı (Madde 18)
İşleme sınırlama talebi durumunda, organizasyon işlemi durdurmalı – askıya almalı – ancak veriyi tamamen silmemelidir. Veriler saklanmaya devam eder, ancak daha fazla kullanım engellenir. Bu, örneğin verilerin doğruluğunun araştırıldığı bir dönemde geçerlidir. Teknik olarak, bu, sınırlama etkinleştirildiğinde tüm işlemleri engelleyen bayraklarla veritabanlarında sağlanmalıdır. Uygulamalar ve API çağrıları, bu bayrakları dikkate almalı ve yalnızca yetkili yöneticilerin sınırlamayı kaldırmasına izin verilmelidir.
Operasyonel olarak, hizmet sağlayıcı ekiplerinin, müşteri destekten pazarlama ve analitiğe kadar, hangi verilerin sınırlama altına alındığı konusunda bilgilendirilmesi gerekir. İş süreçleri, söz konusu verilerle istemeden e-posta göndermek veya pazarlama kampanyaları yürütmek gibi hataları önlemek için uyarlanmalıdır. Ayrıca, raporlama araçları ve paneller, verilerin sınırlama altına alındığını gösterecek şekilde yapılandırılmalı, böylece yönetim operasyonel etkiyi ve değerlendirme sürecinin ilerlemesini gerçek zamanlı olarak izleyebilir.
Veri Taşınabilirliği Hakkı (Madde 20)
Veri taşınabilirliği hakkı, organizasyonları, kişisel verileri yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta sunmaya zorlar, böylece ilgili kişi bu verileri başka bir veri sorumlusuna kolayca taşıyabilir. Bu, JSON şemaları veya CSV formatları gibi açık standartlarda dışa aktarma dosyalarının üretimini gerektirir ve veri sözlüğü meta verilerini içerir. Ayrıca, API uç noktalarının teknik sınırlamaları, dosya boyutları ve aktarım güvenliği de dikkate alınmalıdır, örneğin şifreli kanallar veya zaman sınırlı indirme bağlantıları üzerinden.
Aktarım da orantılı olmalıdır: yalnızca hizmetle veya verilerin toplanmasının başlangıç amacıyla doğrudan ilişkili veriler dışa aktarılabilir. Mikro hizmet ortamlarından, ETL boru hatlarından veya analitik veri platformlarından gelen karmaşık veri kümeleri, ilgili alanlar doğrultusunda filtrelenmelidir. Veri maskeleme veya takma adlandırma ile otomasyon, iç denetim günlükleri veya IP adresleri gibi hassas yan verilerin dışa aktarılmamasına yardımcı olabilir.
İtiraz Etme Hakkı (Madde 21)
İlgili kişi, ‘meşru çıkar’ veya ‘kamu görevi’ temelli işleme faaliyetlerine itiraz edebilir ve organizasyonlar, ardından bir çıkarlar dengesi yapmalıdır. Bu süreç açık bir prosedür gerektirir: Hukuk ekiplerinin, iş çıkarlarının neden daha ağır bastığını veya işlemenin neden değişmeden devam edebileceğini açıklayan belgelenmiş bir risk değerlendirmesi yapması gerekir. Bu değerlendirme şeffaf bir şekilde iletilmeli ve idari bir belge olarak saklanmalıdır.
Operasyonel olarak, işlem sistemleri, itiraz alındıktan sonra tüm işlemleri, profil oluşturma ve otomatik veri odaklı pazarlamayı da dahil olmak üzere hemen askıya alabilmelidir. İşleme uygulamaları, belirli kayıtlar için bir ‘duraklatma düğmesi’ ile donatılmalı ve itirazın ne zaman çözüme kavuşturulduğunu kontrol eden iş akışlarıyla bağlantılı olmalıdır. Uyumluluk, IT güvenliği ve iş birimleri arasında yakın koordinasyon çok önemlidir.
Otomatik Karar Alma ve Profil Oluşturma Hakkı (Madde 22)
Kararlar yalnızca otomatik işleme temel alınarak veriliyorsa ve bu kararların hukuki veya eşdeğer sonuçları varsa, ilgili kişi insan müdahalesi talep etme hakkına sahip olmalıdır. Organizasyonlar, algoritmanın mantığını, kullanılan verileri ve beklenen etkisini içeren şeffaf açıklama modelleri geliştirmelidir. Bu, ilgili kişinin temel parametreleri ve olasılıkları görebileceği interaktif açıklama portalları ile desteklenebilir.
Ayrıca, sağlam bir eskalasyon seviyesi olmalıdır: Teknik ekiplerin, adli inceleme için alt kod ve eğitim verilerine erişimi olmalı, uyumluluk görevlileri ise nihai kararı gözden geçirebilmelidir. Bu prosedürler, SLAlar (Hizmet Seviyesi Anlaşmaları) ve iç politika belgelerinde yer almalıdır, böylece şikayetler veya incelemeler durumunda, otomatik bir kararın değerlendirilmesinde ve yeniden değerlendirilmesinde hangi rolün kimin tarafından oynandığı açıkça belirtilmiş olur.
Onayın Geri Alınması Hakkı (Madde 7)
İlgili kişi, işleme için verdiği onayı her zaman geri alabilir ve yalnızca bu onaya dayanan işlemler derhal durdurulmalıdır. Bu, organizasyonların verilen tüm onayları, kapsamını ve geri çekilme tarihini kaydeden merkezi bir onay kaydı tutmalarını gerektirir. Otomatik açma ve kapama mekanizmaları, iş akışlarının, bildirimlerin ve veri akış servislerinin hemen yeni onay durumu ile uyumlu hale getirilmesini sağlamalıdır.
Arka plan sistemleri – CRM platformlarından analitik motorlara kadar – onay kaydı ile entegrasyona sahip olmalıdır, böylece onayın geri alınması gerçek zamanlı veri işleme üzerinde hemen etkili olur. Ayrıca, devam eden e-posta kampanyaları veya planlanan analizler gibi downstream etkiler göz önünde bulundurulmalıdır ve net bir prosedür, hangi işlemlerin devam edebileceğini ve hangilerinin derhal durdurulması gerektiğini belirlemelidir. Tüm bu değişiklikler, ilgili kişiye hizmetleri üzerindeki etkileriyle birlikte onaylanmalıdır.
