KVKK BAKIMINDAN SHADOW DATA’NIN DEĞERLENDİRİLMESİ
Yazar: Av. Yiğit Neyiğit
Dijitalleşmenin hızlanmasıyla birlikte kurumların veri işleme süreçleri giderek daha karmaşık bir hâl almakta; resmi veri envanterlerinde görünmeyen, izlenmeyen ve çoğu zaman silinmeyen veri kümeleri “Shadow Data” (“gölge veri”) olgusunu doğurmaktadır. Shadow Data, kurumların fiilen işlediği ancak varlığından haberdar olmadığı, denetimden ve yönetişim mekanizmalarından tamamen bağımsız kişisel veri kategorilerini ifade etmektedir.
Bu yazı, Shadow Data’nın kapsamını, ortaya çıkış biçimlerini, Kişisel Verilerin Korunması Kanunu (“KVKK”) bakımından doğurduğu yükümlülük ve riskleri ile kurumların bu görünmeyen veriyi nasıl tespit edip yönetebileceğini incelemektedir.
1. SHADOW DATA NEDİR?
Shadow Data, kurumun resmî veri envanterinde yer almayan; buna rağmen çeşitli teknolojik süreçler nedeniyle tutulan, işlenen veya farklı sistemlere aktarılan kişisel verilerdir. Veri sorumlusu çoğu zaman bu veri kategorisini teknik, operasyonel veya organizasyonel nedenlerle fark edemez; bu nedenle söz konusu veriler hiçbir uyum veya güvenlik mekanizması tarafından kontrol edilmez.
Shadow Data tipik olarak şu kaynaklardan doğabilmektedir:
• Yedekleme sistemlerinde bırakılan eski kayıtlar
• SaaS/bulut uygulamalarına “geçici” amaçlarla yüklenen belgeler
• Çalışanların kişisel cihazlarında tutulan iş verileri ve mesajlaşma uygulamalarındaki paylaşımlar
• Log, hata raporu, telemetri, erişim kayıtları
• Gerçek verilerin test ortamlarına aktarılması
• Kullanımdan kaldırılmış uygulama ve depolama alanlarındaki unutulmuş veri kümeleri
Shadow Data’nın en kritik özelliği, veri sorumlusu tarafından fark edilmediği için işleme amacına, saklama süresine ve güvenlik tedbirlerine ilişkin hiçbir kontrol mekanizmasına tabi olmamasıdır.
2. KVKK BAKIMINDAN ORTAYA ÇIKAN YÜKÜMLÜLÜKLER VE RİSKLER
Shadow Data, KVKK’nun temel ilkelerinin neredeyse tamamı açısından doğrudan ihlal riski barındırmaktadır.
A) KVKK M. 4 İLKELERİNİN SİSTEMATİK İHLALİ
KVKK m.4 kapsamında veri sorumlusunun kişisel veri işleme faaliyetlerini;
• hukuka ve dürüstlük kuralına uygun,
• belirli, açık ve meşru amaçlarla sınırlı,
• gerekli süre kadar muhafaza edilen
bir şekilde yürütmesi gerekir.
Shadow Data’nın varlığı ise şu sonuçları doğurur:
• Veri sorumlusu fiilen işlediği veriden haberdar değildir, dolayısıyla hukuka uygunluk şartları sağlanmaz.
• İşleme amacı çoğu zaman belirsizdir veya tamamen sona ermiştir.
• Saklama süresi tanımlanmadığından veriler gereğinden uzun süre muhafaza edilir.
• Veri sorumlusu teknik ve idari tedbirleri Shadow Data üzerinde uygulayamaz; bu durum dürüstlük kuralını da ihlal eder.
B) KVKK M. 12 KAPSAMINDA VERİ GÜVENLİĞİNİN SAĞLANAMAMASI
Shadow Data, teknik güvenlik bakımından en savunmasız veri kategorisidir. Çünkü çoğu zaman şifrelenmez; erişim kontrolü, loglama, silme veya anonimleştirme süreçlerine tabi değildir ve güvenlik testlerinde, penetrasyon taramalarında veya risk analizlerinde hiç dikkate alınmaz. Bu nedenle bir veri ihlali yaşandığında; hangi verinin sızdığı, kimlere ait olduğu, etkilenen kişi sayısı, ifşa edilen veri kategorileri çoğu zaman tespit edilemez.
Bu durum KVKK m. 12/5 uyarınca yapılması gereken ihlal bildirim yükümlülüğünün yerine getirilememesi sonucunu doğurur.
C) VERİ MİNİMİZASYONU İLKESİNİN İHLALİ (KVKK M. 4/1-Ç)
Shadow Data’nın doğası gereği:
• İşleme amacı sona ermiş,
• Kullanılmayan,
• Güncelliğini kaybetmiş
kayıtlar sistemlerde tutulmaya devam eder.
Bu durum ölçülülük ve sınırlılık ilkelerinin ihlali niteliğindedir ve veri sorumlusunu ağır yaptırımlara açık hâle getirir.
3. SHADOW DATA’NIN EN SIK ORTAYA ÇIKTIĞI ALANLAR
Shadow Data pek çok kaynaktan ortaya çıkmakla birlikte en kritik risk alanları aşağıdaki gibi özetlenebilir:
A)BULUT SERVİSLERİ VE SAAS ARAÇLARI
Harici platformlara “geçici” amaçlarla yüklenen belgeler çoğu zaman silinmez ve denetlenemez.
B)ÇALIŞANLARA AİT KİŞİSEL CİHAZLAR
WhatsApp gruplarında paylaşılan müşteri belgeleri, kişisel bilgisayara indirilen sözleşmeler ve mobil cihazlara aktarılan çıktılar, kurumsal kontrolün tamamen dışında kalan veri kümelerine örnektir.
C) SİSTEM LOGLARI VE TELEMETRİ VERİLERİ
Hata logları, kullanım istatistikleri ve erişim kayıtları çoğu zaman kişisel veri içerir ancak veri işlemenin bir parçası olarak görülmediğinden denetime tabi tutulmaz.
D)TEST ORTAMLARI
Üretim ortamından alınan gerçek müşteri verilerinin test sistemlerine aktarılması, Shadow Data’nın en yaygın ve en riskli biçimidir.
E)ESKİ UYGULAMALAR VE YEDEKLER
Kullanımdan kaldırılmış sistemlerin diskleri, klasörleri ve yedekleme arşivleri, unutulmuş veri depoları hâline gelir.
4. SHADOW DATA NASIL TESPİT EDİLİR VE YÖNETİLİR?
Shadow Data teknik, hukuki ve yönetişimsel boyutu olan çok katmanlı bir risk alanıdır. Bu nedenle çözüm de bütüncül olmalıdır.
A) VERİ ENVANTERİNİN TEKNİK ARAÇLARLA YENİDEN TARANMASI
• DLP (Data Loss Prevention),
• CASB,
• Dosya indeksleme sistemleri,
• Bulut yapılandırma denetimleri
kullanılarak görünmeyen veri kümeleri sistematik olarak tespit edilmelidir.
B) VERİ AKIŞLARININ AYRINTILI HARİTALANDIRILMASI
Her uygulamanın, her iş sürecinin, her harici servisin kişisel veri açısından nasıl çalıştığı baştan sona analiz edilmelidir. “Bu uygulama hangi veriyi nerede tutuyor?” sorusu net şekilde yanıtlanmalıdır.
C) KURUM İÇİ FARKINDALIK VE VERİ DİSİPLİNİ OLUŞTURULMASI
Çalışanların kişisel cihaz kullanımı, mesajlaşma uygulamalarında belge paylaşımı, buluta dosya yükleme pratikleri politikalarla düzenlenmeli; eğitim, denetim ve yaptırım sistemleri etkin kılınmalıdır.
D) YEDEKLEME VE ARŞİV YÖNETİMİNİN DİSİPLİNE EDİLMESİ
Her yedekleme faaliyeti ayrı bir kişisel veri işleme faaliyetidir. Bu nedenle:
• Yedeklerin ne zaman alındığı,
• Hangi verileri içerdiği,
• Ne kadar süre saklanacağı,
• Kimlerin erişebileceği
açık ve denetlenebilir şekilde tanımlanmalıdır.
5.SONUÇ
Shadow Data, kurumların farkında olmadan yürüttüğü fiili veri işleme faaliyetlerini görünür kılarak KVKK bakımından çok katmanlı riskler doğuran kritik bir alandır. Bu görünmeyen veri varlıkları; şeffaflık, ölçülülük, saklama süresi, güvenlik tedbirleri ve ihlal bildirim yükümlülükleri açısından ciddi ihlaller doğurabilir. Kurumlar, bilinmeyen veri varlıklarını da teknik araçlarla tespit etmek, denetlemek ve kontrol altına almakla yükümlüdür.
Yazarın “Kripto Varlık Hizmet Sağlayıcıları Hissedarlar Sözleşmesi” yazısını bağlantıdan okuyabilirsiniz.