Türkiye'nin Kişisel Verilerin Korunması Kanunu tam olarak yürürlüğe girdiğinde, örgütsel tepki öngörülebilirdi: hukuk inceledi, uyum bir politika taslağı hazırladı, BT bir kontrol listesi aldı. Web sitelerinde onay afişleri belirdi. Bir veri koruma sorumlusu atandı. Kutu işaretlendi.
Çoğu organizasyonda gerçekleşmeyen şey, kişisel verinin teknik mimari boyunca nasıl aktığının ciddi anlamda yeniden düşünülmesiydi. Türkiye'deki finansal hizmet firmaları için — bankalar, sigorta şirketleri, bireysel emeklilik şirketleri — kâğıt üzerindeki uyum ile pratikte uyum arasındaki uçurum önemini korumaya devam ediyor.
Kanun Gerçekte Ne Gerektiriyor
KVKK, temel ilkeler açısından büyük ölçüde GDPR ile hizalı: işleme için yasal dayanak, amaç sınırlılığı, veri minimizasyonu, doğruluk, saklama sınırlılığı ve erişim, silme ve taşınabilirlik hakları dahil bireysel haklar.
Bir veri ekibi için bunlar soyut prensipler değil. Teknik gereksinimler:
Amaç sınırlılığı, bir amaçla toplanan verinin sessizce başka amaçlarla kullanılamayacağı anlamına gelir. Hayat sigortası başvurusu sağlık bilgilerini sigortacılık değerlendirmesi için topladıysa, bu veri daha sonra ayrı bir yasal dayanak olmaksızın kayıp tahmini modeli eğitmek için kullanılamaz.
Saklama sınırlılığı, verinin bir saklama süresine sahip olduğu ve bu sürenin uygulanması gerektiği anlamına gelir — özlemle değil, fiilen. Yani ETL işlerinin buna uyması gerekiyor. Yani veri gölünün bunu uygulaması gerekiyor.
Bireysel haklar, organizasyonun erişim veya silme talebine yanıt verebilmesi gerektiği anlamına gelir. Bu da her kişisel verinin nerede olduğunu bilmeyi gerektiriyor. Çoğu organizasyon dürüstçe bunu bilmiyor.
Kimsenin Planlamadığı Mimari Çıkarımlar
KVKK öncesinde inşa edilen veri mimarileri operasyonel kullanım için optimize edilmişti. Veri, iş ihtiyacı noktasında yakalanıyor ve depolama ucuz, gelecekteki analitik kullanım vakaları öngörülemez olduğu için süresiz saklanıyordu.
Bu mimari artık bir uyum sorunu.
Veri keşfi zorunlu altyapı haline geliyor. "Bu müşterinin kişisel verileri nerede saklanıyor?" sorusunu doğru yanıtlayamazsanız, silme talebini yerine getiremezsiniz. Bu, bir dokümantasyon egzersizi değil — operasyonel altyapı olan bir veri katalogu gerektiriyor. Gördüğüm organizasyonların çoğunda bir proje sırasında inşa edilen ve gerçeklikten önemli ölçüde uzaklaşmış bir katalog var.
Saklama uygulama mühendislik problemi oluyor. Politika verinin on yıl saklandığını söylüyor. Veri ambarı bunu uyguluyor mu? Analitik platform? Yedek? Denetim günlüğü? Çoğu ortamda yanıt: bunların bir kısmı, tutarsız şekilde.
Sistemler arası veri akışları uyum yüzeyi oluyor. Veri kaynak sistemler, ara alanlar, ambarlar, raporlama veritabanları ve analitik platformlar arasında hareket ediyor. Her atlama potansiyel bir uyum boşluğu — politikanın izin verdiğinden daha uzun süre saklanan veri ya da beyan edilmemiş bir amaçla kullanılan veri.
Türk ve Avrupa Bağlamı Arasındaki Fark
Açıkça belirtilmesi gereken bir nüans: Türkiye'deki düzenleyici ve yaptırım ortamı, GDPR'ın tasarlandığı Avrupa bağlamından farklı. Kişisel Verileri Koruma Kurumu aktif olmuştur, ancak yaptırım örüntüleri Avrupa'dakinden farklı biçimde gelişmiştir.
Bununla birlikte, KVKK'yı iyi yöneten organizasyonların bunu yaptırımdan korktukları için yapmadıklarını gözlemledim. Veri sahibi haklarını ciddiye almak, verilerinizi gerçekten bilmeyi gerektirdiği ve verilerinizi bilmenin uyumdan bağımsız operasyonel nedenlerle değerli olduğu ortaya çıktığı için yaptılar.
KVKK uyumu için inşa ettiğiniz veri katalogu, düzenleyici raporlama pipeline'larınızı anlamak için kullandığınız katalogla aynı. Amaç sınırlılığı için uyguladığınız lineage takibi, denetim yanıtları için ihtiyaç duyduğunuz lineage takibiyle aynı. Uyum yatırımının uyum kullanım vakasının ötesinde değer taşıyan operasyonel altyapı oluşturma biçimi var.
Dürüst Değerlendirme
Türk finansal hizmetlerindeki çoğu veri ekibi KVKK'nın yüzey katmanını ele aldı: onay mekanizmaları, politikalar, sorumlu. Daha azı mimari katmanı ele aldı: kişisel veri gerçekte nerede yaşıyor, ne kadar süreyle, hangi amaçlarla ve hangi kontrollerle.
Organizasyonunuz bu soruları politika belgeleri değil teknik kanıtlarla yanıtlayamıyorsa, politikanın ne söylediğinden bağımsız olarak uyum boşluğu gerçek.
Finansal hizmetlerde KVKK uyumu, teknik boyutu olan hukuki bir sorun değildir. Yasal son tarihi olan bir veri mimarisi sorunudur. Birincisi olarak ele alan organizasyonlar hâlâ riski yönetiyor. İkincisi olarak ele alanlar ise kalıcı bir şey inşa ediyor.