KVKK Uyum Sürecinde Sorumluluk Matrisi (RACI Matrix) Görev, Sorumluluk ve Yetkileri Netleştirme Rehberi
Sorumluluk Matrisi; görev, sorumluluk ve yetkilerin net olarak belirlenmesi için kullanılan pratik bir yönetim aracıdır. Sorumlulukların netleştiği yapılarda işlerin daha hızlı ilerlemesi, karar mekanizmasının hızlanması ve “kim neyi yapacak?” sorusunun tek bir tabloda cevaplanması beklenir.
Bu yaklaşım, İngilizce Responsible (Sorumlu), Accountable (Yönetici/Karar Verici), Consulted (Danışılan) ve Informed (Bilgilendirilen) rollerinin baş harflerinden oluştuğu için RACI Matrix olarak da adlandırılır. KVKK uyumunda ise; envanter, aydınlatma, VERBİS, risk analizi, veri güvenliği ve ihlal yönetimi gibi işlerin sahipliğini netleştirerek “uyumun sürdürülebilir” hale gelmesine yardım eder.
R: işi yapan kişi/ekip (en az 1).
A: son kararı veren ve çıktının sahibi olan kişi (her görevde 1 adet).
C: görüşü alınan uzman/paydaş (çok fazla olmamalı).
I: süreç/sonuç hakkında bilgilendirilen taraf (operasyonel şeffaflık sağlar).
KVKK faydası: görev sahipliği + denetim izi + sürdürülebilir uyum.
1. RACI Nedir? Roller ve Temel Kurallar
RACI Matrix, görevlerin “kim tarafından nasıl sahiplenileceğini” tek tabloda gösterir. Amaç; görev, sorumluluk ve yetki dağılımını netleştirerek belirsizliği azaltmaktır.
| Rol | Rol Kodu | Tanım | Bu Rol İçin Sorulacak Sorular (Örnek) |
|---|---|---|---|
| Sorumlu (Responsible) | R | Görevi yapan/gerçekleştiren kişidir. Her görevde en az 1 kişi R olabilir. | Bu işi kim yapacak? Bu işe kim atandı? |
| Yönetici / Hesap Veren (Accountable) | A | Son kararı verir, çıktının sahibidir. Her görevde yalnızca 1 A atanmalıdır. | Karar verici kim? İş yanlış ilerlerse kim durdurur/başlatır? |
| Danışman (Consulted) | C | Görev yapılmadan önce görüşü alınır. Çok fazla C, karar süreçlerini yavaşlatabilir. | En iyi pratiği kim söyler? Paydaş/uzman kim? |
| Bilgilendirilen (Informed) | I | Görev tamamlandıktan sonra bilgi verilir. Operasyonel şeffaflık sağlar. | Kim haberdar olmalı? Kimin işi bu çıktıya bağlı? |
1.1. RACI Tasarımında “Altın Kurallar”
- Her görevde tek A: “Hesap veren” rolü çoğalırsa karar kilitlenir.
- En az bir R: İşin fiilen yapılacağı taraf net olmalıdır.
- C sayısını sınırlayın: Danışılanlar değer katar; ancak aşırı C “komite etkisi” yaratır.
- I rolünü unutmayın: Bilgilendirme eksikliği; operasyonel kopukluk ve tekrar iş üretir.
- Tabloyu canlı tutun: Organizasyon değiştikçe RACI güncellenmelidir (özellikle KVKK süreçlerinde).
2. KVKK Uyumunda RACI Matrix Nerelerde Kullanılır?
KVKK uyum sürecinde aynı anda birden fazla iş kalemi yürür: envanter, VERBİS, aydınlatma metinleri, açık rıza süreçleri, saklama-imha politikaları, teknik/idari tedbirler, eğitim, denetim, ihlal müdahalesi… RACI matrisi; bu işlerin kimin liderliğinde ve kimlerin katkısıyla yürüyeceğini netleştirir.
2.1. KVKK Süreçlerinde Tipik RACI Başlıkları
- Kişisel Veri Envanteri (kategoriler, süreçler, alıcı grupları, saklama süreleri)
- VERBİS beyanı (envanterle tutarlılık, güncellik, beyanlanan tedbirler)
- Aydınlatma metinleri ve web yayın süreçleri
- İlgili kişi başvuruları (erişim, düzeltme, silme/itiraz süreçleri)
- Veri güvenliği (loglama, erişim yönetimi, şifreleme, yedekleme, sızma testi)
- Veri ihlali yönetimi (tespit, sınıflandırma, bildirim, kriz iletişimi)
- Tedarikçi/veri işleyen yönetimi (sözleşmeler, denetimler, kontroller)
- Eğitim & farkındalık ve iç denetim
2.2. KVKK Uyumunda RACI’nin Sağladığı Somut Faydalar
- Belirsizliği azaltır: “Bu iş kimde?” tartışmasını bitirir.
- Denetim izi üretir: Kim onayladı, kim uyguladı, kim bilgilendirildi netleşir.
- Hız kazandırır: A rolü net olduğunda kararlar gecikmez.
- İş sürekliliği sağlar: Personel değişimlerinde sorumluluklar kaybolmaz.
3. KVKK Uyumuna Uygun Örnek RACI Tablosu
Aşağıdaki örnek tablo, KVKK uyumunda en sık karşılaşılan görevler için pratik bir RACI kurgusudur. Kurumunuza göre “rol isimlerini” ve “görev başlıklarını” uyarlayabilirsiniz.
| Görev / Süreç | R (Yapan) | A (Hesap Veren) | C (Danışılan) | I (Bilgilendirilen) |
|---|---|---|---|---|
| KVKK Uyum Projesi Başlatma & Kapsam Belirleme | Uyum Ekibi / Proje Ekibi | Üst Yönetim / Proje Sponsoru | Hukuk, IT, İK | Birim Yöneticileri |
| Kişisel Veri İşleme Envanteri Hazırlama | Süreç Sahipleri + Uyum Ekibi | Veri Sorumlusu Temsilcisi | Hukuk, IT Güvenlik | Üst Yönetim |
| VERBİS Beyanı ve Güncellemeler | Uyum Ekibi | Veri Sorumlusu / Yetkili | Hukuk, IT | Üst Yönetim |
| Aydınlatma Metinleri & Politika Dokümanları | Hukuk / Uyum | Veri Sorumlusu Temsilcisi | İK, IT, Pazarlama (web) | Tüm Çalışanlar |
| İlgili Kişi Başvuruları (Talep Yönetimi) | Uyum / DPO Benzeri Rol | Veri Sorumlusu Temsilcisi | Hukuk, IT, Süreç Sahibi | Üst Yönetim (özet rapor) |
| Teknik Tedbirler (Loglama, Erişim, Şifreleme) | IT & Bilgi Güvenliği | IT Direktörü / CISO | Hukuk, Uyum | Üst Yönetim |
| Sızma Testi ve Zafiyet Kapatma Planı | IT Güvenlik + Dış Tedarikçi | IT Direktörü / CISO | Uygulama Sahibi, Uyum | Üst Yönetim (risk özeti) |
| Veri İhlali Müdahale & Bildirim Süreci | Olay Müdahale Ekibi | Veri Sorumlusu Temsilcisi | Hukuk, PR/İletişim, IT | Üst Yönetim + İlgili Birimler |
3.1. RACI Tablosunu “İş Planına” Çevirme
- Her görev için çıktı tanımı yapın (ör. “Aydınlatma Metni yayınlandı” gibi).
- R ve A için hedef tarih belirleyin, gecikme kriteri oluşturun.
- Bilgilendirme (I) için kanal tanımlayın (e-posta, ticket, toplantı notu).
- Danışılan (C) roller için onay/görüş SLA belirleyin (ör. 2 iş günü içinde geri dönüş).
4. Yetki Matrisi Olarak Kullanımı: Kişisel Verilere Erişim Haritalandırması
Sorumluluk Matrisi, yalnızca proje görevleri için değil; kurum içindeki kişisel verilere kimlerin, hangi kapsamla erişebileceğini belirlemek için de kullanılabilir. Bu kullanım, pratikte bir yetki matrisi yaklaşımıdır.
4.1. Yetki Matrisi Mantığı
- Veri seti / Sistem: CRM, İK sistemi, e-posta, loglar, kamera kayıtları, çağrı merkezi kayıtları vb.
- Rol: İnsan Kaynakları, Finans, IT Destek, Satış, Uyum, Hukuk vb.
- Erişim seviyesi: görüntüleme / düzenleme / dışa aktarma / silme / raporlama
- Kontroller: MFA, loglama, periyodik yetki gözden geçirme, ayrılan personel yetki iptali
4.2. Mini Örnek Yetki Matrisi
| Sistem / Veri Seti | Rol | Erişim Seviyesi | Kontrol / Kısıt |
|---|---|---|---|
| İK Sistemi (Çalışan dosyaları) | İK Uzmanı | Görüntüle + Düzenle | MFA + Log + Periyodik yetki kontrolü |
| CRM (Müşteri kayıtları) | Satış Temsilcisi | Görüntüle + Sınırlı düzenleme | Rol bazlı alan kısıtı + DLP |
| Log / SIEM | Güvenlik Ekibi | Görüntüle + Raporla | Değiştirilemez log depolama + erişim kayıtları |
| Aydınlatma/Politika Dokümanları | Uyum/Hukuk | Düzenle + Yayın onayı | Versiyonlama + onay akışı (A rolü) |
5. Uygulama İpuçları, Hatalar ve En İyi Uygulamalar
RACI matrisi, doğru tasarlandığında KVKK uyumunu hızlandırır; yanlış tasarlandığında ise “kâğıt üzerinde kalan” bir dokümana dönüşebilir. Aşağıdaki öneriler, uygulamada en sık görülen sorunları önlemeye yöneliktir.
5.1. Sık Yapılan Hatalar
- Birden fazla A atanması: Karar verici çoğalınca sorumluluk dağılır ve süreç yavaşlar.
- C’nin şişirilmesi: Çok fazla danışılan rol, “herkesin fikri var ama kimse karar vermiyor” etkisi yaratır.
- I’nin unutulması: Bilgilendirme eksikliği tekrar iş, gecikme ve uyumsuzluk doğurur.
- Görev tanımının belirsiz olması: “Politika hazırlanacak” yerine “Saklama-İmha Politikası taslağı + onay + yayın” gibi netleştirin.
- Güncellenmemesi: Organizasyon değişikliği sonrası RACI eski kalırsa süreçler kırılır.
5.2. En İyi Uygulamalar (KVKK İçin)
- Kanıt odaklı çalışın: Her görevin çıktısını “doküman/ekran görüntüsü/ticket” gibi kanıtla ilişkilendirin.
- RACI + takvim: Tabloyu proje planı ile birleştirin (hedef tarih, sorumlu, durum).
- Yetki matrisi ile bağlayın: RACI’de teknik süreçler yer alıyorsa erişim yönetimiyle tutarlı olsun.
- Eğitim ve farkındalık ekleyin: KVKK uyumunda sürdürülebilirlik için eğitim görevleri RACI’ye dahil edilmelidir.
- Periyodik gözden geçirme: Üçer/altışar aylık periyotlarla tabloyu revize edin.
6. Sık Sorulan Sorular
RACI matrisi sadece KVKK için mi kullanılır?
Hayır. RACI matrisi herhangi bir iş, proje veya süreçte kullanılabilir. KVKK uyumunda ise özellikle çok paydaşlı işlerde (Hukuk + IT + İK + Operasyon) koordinasyonu güçlendirdiği için çok faydalıdır.
Her görevde kaç kişi “R” olabilir?
Bir görevde birden fazla “R” olabilir; ancak pratikte işi fiilen yürütecek ana sorumluları net tutmak gerekir. Belirsizlik artıyorsa görev alt kırılımlara bölünmelidir.
“A” rolünü kim üstlenmeli?
“A”, çıktının sahibi ve karar vericidir. KVKK uyumunda bu rol çoğu zaman veri sorumlusu temsilcisi, proje sponsoru veya ilgili birim yöneticisi tarafından üstlenilir. Önemli olan her görevde tek A olmasıdır.
RACI ile yetki matrisi aynı şey mi?
Değil. RACI; görev/süreç sahipliğini gösterir. Yetki matrisi ise sistem/veri bazında erişim seviyelerini haritalandırır. Ancak KVKK uyumunda bu iki tablo birlikte kurgulanırsa hem süreç hem de erişim yönetimi tutarlı hale gelir.
