Başarı Hikayesi

Şahinler Holding — KVKK ve Veri Gizliliği Yönetimi Projesi

Hukuki ve teknik icra — Nesil Teknoloji

Av. İrem Genç GÜL

Hukuki icra

Uygar Y. AYDIN

Teknik icra

Bölüm 1 — Projenin Çıkış Noktası ve İlk Temas

Şahinler Holding ile ilk masaya oturulduğunda netleşen ilk şey, karşımızda tek bir şirketin değil, farklı olgunluk seviyelerindeki onlarca tüzel kişinin oluşturduğu bir kümenin durduğuydu. Tekstil ve konfeksiyon üretiminin tarihsel çekirdeğini perakende, enerji, finansal hizmetler ve lojistik alanındaki iştirakler çevreliyordu; her birinin kendi ERP’si, kendi bordro altyapısı, kendi müşteri tabanı ve yıllar içinde biriktirdiği kendi veri alışkanlıkları vardı. Bu tablo, projenin en kritik hukuki tespitini ilk gün doğurdu: holding, 6698 sayılı Kişisel Verilerin Korunması Kanunu anlamında tek bir veri sorumlusu değildi. Her iştirak, kendi işleme faaliyetleri bakımından ayrı bir veri sorumlusu sıfatı taşıyordu; dolayısıyla VERBİS kaydından aydınlatma yükümlülüğüne, imha politikasından ihlal bildirimine kadar bütün sorumluluklar bu tüzel kişiler arasında bölünüyordu. Programın tüm mimarisi bu gerçeğin üzerine kuruldu.

İşlenen veri yığınının büyüklüğü holdingin operasyonel genişliğiyle doğru orantılıydı. On binlerce çalışanın özlük dosyaları, bordro ve yan hak kayıtları, işyeri hekimliği üzerinden tutulan sağlık verileri; üretim tesislerinde vardiya planları ve hat performans verileri; perakende kanadında sadakat programlarına bağlı müşteri profilleri; finans iştirakinde cari hesap ve ödeme bilgileri; tüm yerleşkelerde kapalı devre kamera (KGYS) görüntüleri ve ziyaretçi kayıtları. Bu verilerin azımsanmayacak bir kısmı özel nitelikli kişisel veri kategorisindeydi. Sağlık raporları ve birkaç tesiste kullanılan biyometrik geçiş sistemleri, Kanun’un 6. maddesi kapsamında ayrı ve daha ağır bir koruma rejimine tabiydi; bu da işin daha ilk gününde sıradan bir uyum projesinden ayrıldığının işaretiydi.

Projeyi tetikleyen tek bir kriz olmadı; üç ayrı sinyal aynı döneme denk geldi. Avrupalı bir kurumsal alıcı, tedarik sözleşmesinin yenilenmesi sırasında GDPR ile uyumlu bir veri işleme eki ve yerinde denetim hakkı talep etmişti. Bazı iştirakler için VERBİS kayıt ve güncelleme yükümlülükleri sıkışmıştı. Üçüncüsü, bir grup şirketinde bir Excel ekinin yanlış alıcıya gönderilmesiyle sonuçlanan küçük çaplı bir olay yaşanmış, mesele büyümeden kapatılmış ama yönetimde ‘bir dahaki sefere ne olur?’ sorusunu bırakmıştı. Onur OLCAY bu üç sinyali tek bir tabloda birleştirip üst yönetime tekil yamalar yerine holding genelinde tek elden yürütülecek bir program önerdi.

Holdingin bu alanda daha önce hiç adım atmadığını söylemek haksızlık olurdu; aydınlatma metinleri vardı, bazı iştirakler VERBİS’e kaydolmuştu, bir bilgi güvenliği politikası taslağı bile dolaşımdaydı. Ne var ki bu çabalar birbirinden kopuk, tek seferlik ve sahiplenilmemişti; bir iştirakte atılan adım diğerine taşınmıyor, belgeler güncellenmediği için kısa sürede gerçeği yansıtmaz hâle geliyordu. Bunun bedeli giderek ticari bir maliyete dönüşüyordu: Avrupalı alıcıların sözleşme ekinde istediği güvenceler verilemediğinde masaya yatırılan tek şey fiyat değil, ilişkinin kendisiydi. Projeyi ‘iyi olurdu’ seviyesinden ‘şart’ seviyesine taşıyan da bu ticari basınç oldu.

Holding tarafında işin iki süreç sahibi vardı. Onur OLCAY, bilgi teknolojileri ve uyum koordinasyonu kanadından, iştirakler arasındaki bilgi akışını ve önceliklendirmeyi üstlendi; farklı IT ekiplerini, farklı yöneticileri ve farklı takvimleri aynı hatta toplama işi büyük ölçüde onun omuzlarındaydı. Mustafa GÜLCAN ise en yoğun kişisel veri işleyen insan kaynakları ve idari süreçlerin sahibi olarak, sahadaki uygulamanın ve kurum içi benimsemenin lokomotifi oldu. İkisinin paylaştığı bakış açısı basitti: uyumu, hukuk biriminin tek başına taşıdığı bir ‘evrak yükü’ olmaktan çıkarıp süreç sahiplerinin günlük işine yedirmek. Bu cümle, sonraki altı ayın yön levhası oldu.

Nesil Teknoloji’nin teklif sürecinde ayrıştığı nokta da tam buydu. Piyasadaki çoğu yaklaşım ya yalnızca metin üretiyor — aydınlatma metni, politika, taahhütname — ya da yalnızca bir yazılım lisanslıyordu. Şahinler’in ihtiyacı ikisinin tek programda buluşmasıydı. Hukuki icra Av. İrem Genç GÜL’ün sorumluluğundaydı; sözleşmesel zemin, rıza mimarisi ve mevzuat yorumunu o kurguladı. Teknik mimari Uygar Y. AYDIN’a aitti; yetkilendirmeden loglamaya, şifrelemeden sızma testine kadar sahadaki dönüşümü o yönetti. Hukukun yazdığı her cümlenin teknikte bir karşılığı, tekniğin attığı her adımın hukukta bir dayanağı olacak şekilde iki disiplin baştan eşleştirildi.

İlk masada konuşulan hedefler somuttu. Her tüzel kişi için sahada doğrulanmış bir kişisel veri işleme envanteri çıkarılacak; VERBİS kayıtları bu envanterle bire bir tutacak; aydınlatma ve açık rıza süreç bazında yeniden tasarlanacak; Kanun’un 12. maddesindeki teknik ve idari tedbirler ISO/IEC 27001:2022 ve ISO/IEC 27701 kontrol setleriyle hizalanacak; ve bir veri ihlali anında Kurul’un 24.01.2019 tarihli, 2019/10 sayılı Kararı’yla tanımlanan 72 saatlik bildirim eşiğini karşılayacak bir müdahale kabiliyeti kurulacaktı. Bunlar dilek listesi değil, kabul kriterleriydi.

Risk iştahı da o ilk oturumda netleştirildi. Holdingin ihracat ağırlıklı yapısı ve marka değeri, düşük bir risk iştahını dayatıyordu; özellikle özel nitelikli veriler ve yurt dışı aktarımda toleransın sıfıra yakın olması istendi. Ancak yönetimin koyduğu bir kısıt vardı: uyum, üretim hattını ve satış hızını yavaşlatmayacaktı. ‘Önce iş durmasın, sonra her şey kurala otursun’ beklentisiyle ‘hiçbir veri kuralsız işlenmesin’ beklentisi arasındaki bu gerilim, projenin tasarım kısıtı hâline geldi. İki süreç sahibi ile iki danışman, ilk hafta yürütme komitesini, iştirak bazlı irtibat kişisi ağını ve iki haftalık çalışma ritmini kurarak bu gerilimi yönetilebilir bir çerçeveye aldı; dört köşeli sorumluluk dağılımı — koordinasyon, süreç, hukuk, teknik — buradan doğdu.

Bölüm 2 — Mevcut Durum Analizi (GAP) ve Veri Envanteri Çıkarma

Saha çalışması, masabaşı bir mevzuat okumasıyla değil, departman departman yürütülen veri keşif toplantılarıyla başladı. İnsan kaynakları, finans ve muhasebe, pazarlama ve müşteri ilişkileri, üretim, satınalma, bilgi işlem ve hukuk birimleri tek tek ele alındı. Her oturumda üç soru sabitti: hangi kişisel veriyi, hangi amaçla, hangi hukuki sebeple işliyorsunuz; bu veri nereden geliyor, nerede duruyor, kimlere aktarılıyor; ve ne kadar süreyle saklanıyor. Cevaplar bir kişisel veri işleme envanterine (ROPA) dökülürken, beyan edilen süreçle fiilen yaşanan süreç arasındaki fark not edildi. Asıl boşluklar tam da bu farkın içinde saklıydı.

İnsan kaynaklarında tablo yoğundu. İşe alım sürecinde toplanan aday özgeçmişleri, olumsuz sonuçlanan başvurularda dahi yıllarca sistemde kalıyordu; reddedilen adayın verisi için ne bir saklama süresi ne de bir imha kuralı tanımlıydı. İşyeri hekimliği üzerinden tutulan sağlık verileri, idari personelin de erişebildiği ortak klasörlerde duruyordu. Birkaç üretim tesisinde mesai giriş-çıkışı biyometrik parmak iziyle alınıyor, çalışana gerçek bir alternatif sunulmuyordu; oysa Kurul’un biyometrik veri işlemeye ilişkin yerleşik yaklaşımı, böyle bir uygulamanın ölçülülük ve gönüllülük açısından ayrıca gerekçelendirilmesini gerektiriyordu. Bunların ötesinde, özlük ve bordro bilgileri zaman zaman WhatsApp üzerinden paylaşılıyordu — hız adına açılmış, hiç kapanmamış bir kapı.

Finans ve muhasebe tarafında veri, mevzuatın kesişim noktalarında birikiyordu. Müşteri ve tedarikçi cari hesapları, çek ve senet kayıtları, ödeme ve banka bilgileri; bir yanda 6698 sayılı Kanun, diğer yanda Türk Ticaret Kanunu ve Vergi Usul Kanunu’nun saklama yükümlülükleri, bir başka yanda MASAK kapsamındaki gerçek faydalanıcı tespiti. Bu katmanlar aynı kaydı farklı sürelerle saklamayı gerektiriyor, kurum içinde ise hepsi tek bir ‘her şeyi sakla’ alışkanlığına dönüşüyordu. Eski muhasebe yazılımından alınmış, şifrelenmemiş yedeklerin bir dosya sunucusunda unutulmuş olması, bu birikimin tipik bir göstergesiydi.

Pazarlama ve müşteri ilişkilerinde en kırılgan nokta açık rızanın ispatıydı. Sadakat programı ve ticari elektronik ileti gönderimleri yıllardır sürüyor, fakat kimin, ne zaman, hangi metni onaylayarak izin verdiği geriye dönük olarak kanıtlanamıyordu. İzin yönetimi, Ticari İletişim ve Ticari Elektronik İletiler kapsamındaki İleti Yönetim Sistemi (İYS) ile KVKK açık rızası arasında net biçimde ayrıştırılmamıştı. Web sitelerinde çerez aydınlatması yüzeyseldi, üçüncü taraf analitik ve reklam etiketleri rıza alınmadan çalışıyordu; segmentasyon için kullanılan dış ajanslarla veri paylaşımının sözleşmesel zemini ise belirsizdi.

Üretim sahası, kişisel veri envanterinin en çok hafife alınan alanıydı. Hat operatörlerinin performans ve verimlilik verileri MES ve SCADA katmanlarında tutuluyor, bu veriler kişiye bağlandığı anda kişisel veri niteliği kazanıyordu. Vardiya sistemleri, taşeron ve alt yüklenici işçilerin kimlik ve giriş-çıkış bilgilerini içeriyor; bu kişilerin verisinin hukuki sorumluluğunun kimde olduğu çoğu sözleşmede yazılı değildi. Üretim ile ofis ağları arasında veri elle, USB bellekle taşınıyordu; bu da hem bir güvenlik açığı hem de izlenemeyen bir aktarım kanalıydı.

Keşif çalışması satınalma, bilgi işlem ve hukuk birimlerinde de aynı titizlikle sürdürüldü. Satınalmada tedarikçi yetkililerinin kimlik ve iletişim bilgileri ile imzalı sözleşme nüshaları, erişimi sınırlanmamış ortak klasörlerde duruyordu. Bilgi işlemin elindeki sistem envanteri güncel değildi; hangi uygulamanın hangi kişisel veri kategorisini tuttuğunu gösteren bir kayıt bulunmadığından, bir ‘silme’ talebinin teknik olarak hangi sistemlere gideceği belirsizdi. Hukuk birimi ise dava ve icra dosyaları üzerinden karşı taraf, vekil ve tanık verilerini işliyor, bu verilerin saklama süresi hiç tanımlanmamıştı. Tüm bu bulguları kıyaslanabilir kılmak için her süreç, sıfırdan beşe uzanan bir olgunluk ölçeğiyle puanlandı; ‘tanımsız’ süreçlerle ‘ölçülen ve iyileştirilen’ süreçler aynı tabloda görünür hâle geldi ve yol haritasının önceliklendirmesi tahmine değil bu puanlara dayandırıldı.

Av. İrem Genç GÜL, aynı dönemde mevcut sözleşme setini hukuki süzgeçten geçirdi. Bulut ve SaaS hizmetleri, bordro dış kaynak sağlayıcısı, çağrı merkezi ve kargo entegrasyonları gibi kalemlerde tedarikçilerin veri işleyen sıfatı çoğu yerde tanımlanmamıştı; Kanun’un 12. maddesinin gerektirdiği yazılı taahhütler, denetim hakkı ve ihlal bildirim kuralları sözleşmelerde ya yoktu ya da geçiştirilmişti. Yurt dışında konumlu birkaç hizmet sağlayıcı için aktarımın hukuki temeli yıllardır ‘açık rıza’ varsayımına yaslanıyordu; oysa bu zemin hem kırılgandı hem de mevzuatın gittiği yönle uyumsuzdu. Aydınlatma metinleri ise iştirakten iştirake kopyalanmış, sürece özgü olmayan, m.10 unsurlarının bir kısmını eksik bırakan tek tip belgelerdi: veri sorumlusunun kimliği, aktarımın yapıldığı taraflar, işlemenin hukuki sebebi ve yöntemi çoğunda muğlaktı.

Tüm bu bulguların altında ortak bir hastalık vardı: gölge IT (shadow IT) ve veri adacıkları. Departmanlar resmi sistemlerin yanında kendi Excel dosyalarını, kişisel bulut hesaplarını ve paylaşımlı klasörlerini kurmuştu. Aynı çalışanın verisi beş ayrı yerde, birbirinden habersiz, farklı güncellikte duruyordu; hangisinin doğru olduğu belirsizdi. Bir veri sahibi ‘verimi silin’ dese, bu talebin hangi sistemlerde karşılanacağı bile bilinmiyordu. Onur OLCAY bu dağınıklığı tek başına çözülecek bir görev olarak değil, bir koordinasyon problemi olarak ele aldı: her iştirakte bir irtibat kişisi atadı, her ana sürece bir ‘veri sahibi’ (data owner) tayin etti, sorumlulukları bir RACI matrisine bağladı ve haftalık ilerleme ritmini üst yönetim görünürlüğüne taşıdı. Envanter, böylece bir danışman çıktısı olmaktan çıkıp kurumun kendi sahiplendiği canlı bir kayda dönüşmeye başladı.

Bölüm 3 — Hukuki Uyumluluk ve Süreç Tasarımı

Envanter olgunlaştıkça projenin ağırlık merkezi metin yazmaktan süreç tasarımına kaydı. Av. İrem Genç GÜL’ün üzerinde en çok durduğu ilke şuydu: açık rıza, bir hukuki sebep olarak en son başvurulacak araçtır, ilk değil. Açık rıza her an geri alınabilir; bir iş sürecini tümüyle rızaya bağlamak, o süreci hukuken kırılgan kılar. Bu yüzden işleme faaliyetleri önce 6698 m.5/2’deki rıza dışı sebepler bakımından tarandı.

Rıza mimarisi ve hukuki sebeplerin ayrıştırılması

Çalışan verilerinin büyük bölümü iş sözleşmesinin kurulması ve ifası, işverenin kanunlardan doğan yükümlülükleri ve meşru menfaat dengesi üzerinden temellendirildi; bu veriler için çalışandan rıza istemek hem gereksiz hem de yanıltıcı olurdu, zira çalışan ile işveren arasındaki bağımlılık ilişkisinde rızanın özgür iradeye dayandığı tartışmalıdır. Buna karşılık ticari elektronik ileti ve pazarlama amaçlı profilleme için açık rıza zorunlu tutuldu ve İYS yükümlülükleriyle birlikte kurgulandı. Açık rızanın 6698 m.3’teki üç unsuru — belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması — her temas noktasında ayrı ayrı sağlanacak biçimde tasarlandı; web formu, çağrı merkezi onayı ve kâğıt formun dijitalleştirilmesi dahil tüm kanallarda rıza, zaman damgalı ve geriye dönük ispatlanabilir biçimde kaydedildi.

Özel nitelikli veriler, çerez ve izin yönetimi

Özel nitelikli kişisel veriler — başta çalışan sağlık verileri ve biyometrik kayıtlar — ayrı bir tasarım hattı gerektirdi. Bu veriler 6698 m.6 uyarınca yalnızca sınırlı şartlarla işlenebiliyordu; sağlık verisi bakımından işyeri hekimliği ve iş sağlığı ve güvenliği yükümlülükleri hukuki sebep olarak kuruldu, biyometrik veride ise açık rızaya gerçek bir alternatif sunularak gönüllülük güvenceye alındı. Bunun ötesinde Kurul’un 31.01.2018 tarihli, 2018/10 sayılı Kararı, özel nitelikli veriler için somut bir asgari önlem seti tanımlıyordu: bu verileri işleyen çalışanlara düzenli eğitim, kriptografik yöntemlerle şifreleme ve anahtarların ayrı ortamda saklanması, uzaktan erişimde iki faktörlü kimlik doğrulama, aktarımda kurumsal e-posta veya KEP ile şifreli taşıma. Bu karar hukuki bir gereklilik olarak yazıldı ama doğrudan teknik mimariye bir iş emri olarak düştü; teknik bölümdeki şifreleme ve erişim kararlarının bir bölümü bu metinden doğdu.

Pazarlama tarafında açık rıza, İYS ve çerez yönetimi birbirine değen üç ayrı başlık olarak ele alındı. Web sitelerine bir rıza yönetim katmanı (consent management) kuruldu; zorunlu olmayan çerezler, ziyaretçi onay vermeden çalışmayacak şekilde durduruldu ve onay kayıtları ispatlanabilir biçimde saklandı. Ticari elektronik ileti izinleri İYS’ye taşındı; KVKK açık rızası ile İYS onayının hangi noktada hangisinin esas alınacağı net bir karar tablosuna bağlandı, böylece aynı müşteriye dair çelişen izin kayıtları ortadan kaldırıldı.

VERBİS ve beyan-gerçek tutarlılığı

VERBİS kayıtları, her iştirak için ayrı ayrı ele alındı; çünkü her tüzel kişi ayrı veri sorumlusuydu (m.16). Burada İrem’in ısrar ettiği nokta, kaydın ‘doldurulup geçilen bir form’ olmamasıydı: veri kategorileri, alıcı ve alıcı grupları, azami saklama süreleri ve yurt dışı aktarım beyanları, sahada çıkarılan envanterle bire bir tutmalıydı. Bir denetimde Kurul’un ilk bakacağı yerlerden biri, VERBİS beyanı ile fiilî işleme arasındaki tutarlılıktır; beyan ile gerçeğin ayrışması, başlı başına bir zafiyettir. İrtibat kişisi atamaları Onur OLCAY ile birlikte resmileştirildi ve güncelleme sorumluluğu süreç sahiplerine bağlandı.

Saklama ve imha politikası: mevzuata değil sürece göre

Saklama ve imha tarafı, projenin en çok ‘terzi işi’ gerektiren bileşeniydi. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (28.10.2017 tarihli, 30224 sayılı Resmî Gazete) bir saklama ve imha politikasının asgari içeriğini ve periyodik imhanın her hâlde altı ayı geçemeyeceğini belirler. Ancak doğru süreyi belirleyen şey tek başına KVKK değildir; Türk Ticaret Kanunu’nun ticari defter ve belgeler için öngördüğü saklama, Vergi Usul Kanunu süreleri, İş Kanunu ve sosyal güvenlik mevzuatı, zamanaşımı süreleri ve sektör düzenlemeleri aynı kaydı farklı sürelerle saklamayı gerektirebilir. Politika, bu katmanları süreç bazında dengeleyen bir saklama tablosu üzerine kuruldu; amaç ortadan kalktığında verinin silinmesi ilkesiyle, başka mevzuattan doğan saklama yükümlülüğü tek bir tabloda uzlaştırıldı.

İlgili kişi başvuruları, aydınlatma ve veri işleyen ilişkileri

Tasarlanan belgeler tek tek değil, bir hiyerarşi olarak kuruldu. En üstte her iştirakin kişisel veri işleme ve koruma politikası; altında saklama ve imha politikası, veri ihlali müdahale prosedürü, ilgili kişi başvuru prosedürü ve özel nitelikli veri politikası; en altta ise süreç bazlı aydınlatma metinleri ve rıza formları yer aldı. Bu katmanlama, bir belge güncellendiğinde nelerin etkileneceğini görünür kıldı ve metinlerin zamanla birbirinden kopmasını engelledi. Aynı çerçevede, VERBİS irtibat kişisinin yalnızca bir tebligat muhatabı olduğu, asıl yönetişimin süreç sahipleri ile komitede toplandığı net biçimde ayrıştırıldı; tüm sorumluluğun tek bir kişiye yıkılması riski baştan bertaraf edildi.

İlgili kişinin haklarını kullanacağı kanal yeniden kuruldu. 6698 m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvuruların otuz gün içinde yanıtlanması gerekiyordu; bunun için KEP, ıslak imzalı dilekçe ve kimliği doğrulanmış web formu kanalları tanımlandı, her başvuru için kimlik doğrulama ve kayıt (log) zorunlu kılındı, sürelerin kaçırılmaması için bir takip akışı kuruldu. Aydınlatma metinleri tek tip olmaktan çıkarılıp sürece özgü hâle getirildi: çalışan, aday, müşteri, ziyaretçi, kamera, web ve tedarikçi süreçleri için ayrı ayrı, m.10 unsurlarını eksiksiz taşıyan ve katmanlı (özet + ayrıntılı) bir yapıyla yeniden yazıldı.

Tedarikçi ilişkileri, m.12’nin gözden kaçan ama denetimde sık sorulan ayağıydı. Veri işleyen sıfatı taşıyan her sağlayıcıyla; işleme amacını ve kapsamını sınırlayan, en az teknik ve idari tedbir düzeyini taahhüt ettiren, alt veri işleyen kullanımını veri sorumlusunun onayına bağlayan ve denetim hakkı tanıyan ekler imzalandı. Burada kritik tasarım kararı, ihlal bildirim zinciriydi: holdingin Kurul’a 72 saat içinde bildirim yapabilmesi için, tedarikçinin holdinge çok daha kısa bir sürede haber vermesi sözleşmeye yazıldı; aksi hâlde yasal süre tedarikçinin gecikmesiyle tükenebilirdi.

Yurt dışı aktarım rejimi, proje takvimine denk gelen mevzuat değişikliği nedeniyle baştan kurgulandı. 7499 sayılı Kanun ile 6698 m.9’da yapılan değişiklik 12.03.2024 tarihli, 32487 sayılı Resmî Gazete’de yayımlandı ve 01.06.2024’te yürürlüğe girdi; bunu izleyen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10.07.2024 tarihli, 32598 sayılı Resmî Gazete’de yayımlandı. Yeni rejim, aktarımı yeterlilik kararı, uygun güvenceler — başta standart sözleşme ve bağlayıcı şirket kuralları — ve istisnai hâller üzerine oturtuyordu. Holdingin yurt dışı bağlantılı her hizmeti bu çerçeveye taşındı; standart sözleşme imzalanan kalemlerde, imzadan itibaren beş iş günü içinde Kurul’a bildirim yükümlülüğü süreçleştirildi. Son olarak, yeni bir sistem veya yüksek riskli bir işleme devreye alınmadan önce bir veri koruma etki değerlendirmesi yapılması, bir kapı kontrolü olarak tasarıma eklendi.

Bölüm 4 — Teknik Altyapı Entegrasyonu ve Veri Güvenliği

İşin mutfağındaki dönüşümü Uygar Y. AYDIN yönetti ve ilk ilkesini baştan koydu: 6698 m.12’nin istediği ‘uygun güvenlik düzeyi’ tüm holdinge tek tip dayatılan bir kontrol listesi değil, veri varlığının kritikliğiyle orantılı bir koruma demektir. Bu yüzden teknik tedbirler, envanterde işaretlenen kritik veri varlıklarına göre önceliklendirildi ve her tedbir ISO/IEC 27001:2022 Ek-A kontrolleriyle eşleştirildi. 2022 sürümünün 93 kontrolü dört temada — Örgütsel, İnsan, Fiziksel ve Teknolojik — toplanmıştı ve bu yapı, hukuki yükümlülükle teknik uygulama arasında ortak bir dil sağladı.

Tüm teknik kontrollerin dayandığı sessiz omurga, veri sınıflandırmasıydı. Bir veriyi nasıl koruyacağına karar vermeden önce onun ne kadar hassas olduğunu bilmek gerekir; bu yüzden kurumsal bir sınıflandırma şeması tanımlandı (A.5.12) ve veriler bu şemaya göre etiketlendi (A.5.13). ‘Kuruma özel’, ‘gizli’ ve ‘özel nitelikli’ gibi seviyeler, hem DLP kurallarının hem de erişim matrisinin tetikleyicisi oldu; sınıflandırma olmadan sızıntı önleme kör, yetkilendirme ise keyfî kalırdı. Şema ayrıca çalışanlara somut bir dil kazandırdı: artık ‘bu belge hangi sınıfta?’ sorusu, soyut bir gizlilik tartışmasının yerini aldı.

Yetki matrisi, kimlik ve erişim yönetimi

İlk müdahale yetkilendirmeye yapıldı, çünkü en somut zafiyetler oradaydı. ERP üzerinde birçok kullanıcı görevinin gerektirmediği modülleri görebiliyor, ayrılan çalışanların hesapları aylarca aktif kalabiliyor, sistem yönetimi paylaşımlı ‘admin’ hesaplarıyla yürüyordu; yani bir işlemi kimin yaptığı çoğu kayıtta izlenemiyordu. Erişim, rol bazlı (RBAC) bir matrise oturtuldu; en az yetki ve görevler ayrılığı (SoD) ilkeleri uygulandı; kritik sistemlerde çok faktörlü kimlik doğrulama (MFA) zorunlu hâle getirildi; ayrıcalıklı hesaplar bir ayrıcalıklı erişim yönetimi (PAM) çözümüne alındı ve işe giriş-çıkış süreçleri İK ile entegre edilerek hesap yaşam döngüsü otomatikleştirildi. Bu çalışma Ek-A’nın A.5.15 (erişim kontrolü), A.5.18 (erişim hakları), A.8.2 (ayrıcalıklı erişim hakları), A.8.3 (bilgiye erişim kısıtlaması) ve A.8.5 (güvenli kimlik doğrulama) kontrolleriyle hizalandı.

Sızıntı önleme, loglama ve izleme

Veri sızıntısını önleme (DLP) katmanı uç nokta, ağ, e-posta ve bulut erişimini (CASB) kapsayacak şekilde konumlandırıldı. T.C. kimlik numarası, kart numarası ve sağlık verisi gibi hassas kalıpları tanıyan kurallar yazıldı; sistem önce ‘yalnızca izle’ modunda çalıştırılarak gerçek iş akışları gözlendi, yanlış pozitifler ayıklandıktan sonra kademeli olarak ‘engelle’ moduna geçildi. Böylece üretkenliği baltalamadan, gizli veri çıkışları görünür kılındı (A.8.12). Eşzamanlı olarak merkezi log yönetimi ve güvenlik olay izleme (SIEM) kuruldu: tüm kritik sistemler ortak bir zaman kaynağına (NTP) senkronize edildi, log bütünlüğü korundu, ‘kim, ne zaman, hangi kişisel veriye erişti’ sorusunu yanıtlayacak korelasyon kuralları tanımlandı. Bu, m.12’nin yetkisiz erişimi tespit etme beklentisinin teknik karşılığıydı (A.8.15 loglama, A.8.16 izleme).

Maskeleme, şifreleme ve imha

Test ve geliştirme ortamlarında gerçek kişisel verinin kullanılması, sık rastlanan ama ciddi bir açıktı; bu ortamlar için statik veri maskeleme uygulandı, çağrı merkezi ve raporlama ekranlarında ise kart ve kimlik bilgisi dinamik olarak maskelendi (A.8.11). Şifreleme, hem duran veride — veritabanı ve disk düzeyinde — hem hareket hâlindeki veride (TLS) standart hâline getirildi; anahtarlar bir anahtar yönetim altyapısında (HSM/KMS) toplandı ve yedekler de şifrelendi (A.8.24). Veri imhası, saklama tablosuyla teknik düzeyde birleştirildi: saklama süresi dolan kayıtlar için otomatik imha iş akışları kuruldu ve periyodik imha takvimi, yönetmeliğin altı aylık üst sınırına bağlandı (A.8.10 bilgi imhası). Ayrıca ağ segmentasyonu ile üretim (OT) ve ofis (IT) ağları ayrıştırıldı, kamera (KGYS) sistemlerinin saklama süresi, erişim yetkisi ve aydınlatma levhaları düzeltildi.

Sertleştirme, tehdit istihbaratı ve güvenli geliştirme

Erişim ve sızıntı katmanının altına, sistemlerin temel sağlamlığını güvence altına alan kontroller yerleştirildi. Sunucu ve uç noktalar için standart yapılandırma şablonları (hardening baseline) hazırlandı ve bu şablonlardan sapmalar düzenli olarak taranır hâle getirildi (A.8.9). Holdingin maruz kaldığı tehditleri önceden görebilmek için bir tehdit istihbaratı akışı kuruldu (A.5.7); sektöre yönelik saldırı kampanyaları ve sızdırılmış kurumsal kimlik bilgileri izlenmeye başladı. Bulut kullanımının kontrolsüz büyümesini önlemek için bulut hizmetlerine ilişkin bir kullanım ve değerlendirme politikası tanımlandı (A.5.23); gölge IT’de tespit edilen yetkisiz bulut hesapları kademeli olarak kurumsal denetime alındı. Kurum içinde geliştirilen uygulamalar için güvenli yazılım geliştirme kuralları ve kod gözden geçirme adımları süreçleştirildi (A.8.28), çalışanların riskli web kategorilerine erişimi ise web filtreleme ile sınırlandı (A.8.23).

Veri kullanılabilirliği de gizliliğin bir parçası olarak ele alındı; çünkü kaybolan ya da fidye yazılımıyla kilitlenen kişisel veri de bir ihlaldir. Yedekleme stratejisi gözden geçirildi, yedeklerin şifreli ve erişiminin ayrılmış olması sağlandı, geri dönüş tatbikatlarıyla yedeklerin gerçekten çalıştığı doğrulandı (A.8.13). Olası bir kesinti veya saldırı senaryosu için bilgi güvenliği süreklilik planları ile BT’nin iş sürekliliğine hazırlığı tanımlandı (A.5.29, A.5.30); kritik sistemlerin hangi sırayla ve hangi sürede ayağa kaldırılacağı kriz öncesinde belirlendi.

Zafiyet taraması ve sızma testi bulgularının KVKK ile değerlendirilmesi

Teknik tedbirlerin gerçekten işleyip işlemediği, dışarıdan ve içeriden yürütülen zafiyet taramaları ve sızma testleriyle sınandı. Web uygulamaları OWASP yaklaşımıyla, altyapı ise NIST referanslarıyla test edildi; kapsam kurumsal portal, e-ticaret ve İK self-servis uygulamalarını içeriyordu. Bulgular yalnızca bir güvenlik raporu olarak değil, 6698 m.12 kapsamında birer kişisel veri ihlali riski olarak sınıflandırıldı ve CVSS skoruna göre önceliklendirildi. Bağımsız doğrulama ve resmî geçerlilik açısından testlerin TSE’nin A Sınıfı sızma testi yetkinliğine sahip bir ekiple tekrarlanması önerildi.

Bulguların kapatılması, raporu rafa kaldırmak yerine takip edilen bir düzeltme döngüsüne dönüştürüldü. Kritik işaretlenen SQL enjeksiyonu için kısa vadede uygulamanın önüne bir web uygulama güvenlik duvarı (WAF) konumlandırıldı, orta vadede ilgili kod parametreli sorgulara çevrildi ve düzeltme aynı testin tekrarıyla doğrulandı. Kimlik doğrulamasız iç API dış erişime kapatıldı ve servisler arası kimlik doğrulama eklendi; dışa açık RDP kaldırılıp erişim yalnızca güvenli bir kanal üzerinden mümkün kılındı; varsayılan parolalar topluca değiştirildi ve parola politikasıyla bir daha kullanılamaz hâle getirildi. Her düzeltmenin sahibi, hedef tarihi ve doğrulama yöntemi tek bir takip tablosunda izlendi; böylece güvenlik, bir kerelik bir tarama değil, kapanışı ölçülen bir iş listesi oldu.

Son halka, bir ihlal gerçekleştiğinde ne olacağını tarif eden müdahale planıydı. Tespit anından Kurul’a bildirime kadar uzanan zincir, Kurul’un 2019/10 sayılı Kararı’nda tarif edilen 72 saatlik eşiği karşılayacak şekilde adımlandırıldı; rollerin önceden atandığı bir müdahale el kitabı (runbook) hazırlandı, kanıtların değiştirilmeden toplanması için adli kopya yordamı tanımlandı, Kurum’un ihlal bildirim formuna gidecek bilgiler önceden şablonlandı. Böylece bir kriz anında zaman, neyin yapılacağını tartışmakla değil yapmakla geçecekti.

Bölüm 5 — Holding İçi Adaptasyon ve Kültürel Değişim

En iyi yazılmış politika bile, sahadaki kişi onu kendi işiyle bağdaştırmadığı sürece kâğıt üstünde kalır. Bu yüzden adaptasyon, projenin yan ürünü değil ayrı bir iş kalemi olarak planlandı. Mustafa GÜLCAN ve Onur OLCAY, kişisel veri gizliliğini bir ‘kural seti’ gibi tebliğ etmek yerine, her departmanın kendi diliyle anlatılan bir iç iletişim ve eğitim programı kurdu. Eğitim rol bazlıydı: tüm çalışanlara yönelik farkındalık modülü; İK, finans, pazarlama ve bilgi işlem için derinlemesine süreç eğitimleri; departman yöneticileri için ise daha kısa ama sorumluluğu net biçimde tarif eden brifingler. Bu yapı, ISO/IEC 27001:2022’nin A.6.3 (bilgi güvenliği farkındalığı, eğitim ve öğretim) kontrolüyle örtüşüyordu.

İletişim kampanyası eğitimle aynı anda yürüdü ve kasıtlı olarak sade tutuldu. İç portalda kısa bilgilendirmeler, ortak alanlarda hatırlatıcı görseller ve her iştirakte gönüllü ‘veri gizliliği irtibat’ rolleri devreye alındı; böylece bir soru olduğunda çalışanın başvuracağı yüz, uzaktaki bir danışman değil, kendi binasındaki bir meslektaşı oldu. İşe yeni başlayanların oryantasyonuna gizlilik modülü eklendi, kültür kapıdan girer girmez aktarılır hâle geldi. Mesajın dili suçlayıcı değil, ‘bu seni de korur’ çerçevesindeydi; çünkü çalışanların kendi kişisel verilerinin de aynı kurallarla korunduğunu görmesi, en ikna edici argümandı.

Direnç beklenen yerlerden geldi ve dürüstçe karşılandı. Pazarlama, ‘açık rıza ararsak iletişim listemiz küçülür, kampanya performansı düşer’ itirazını dile getirdi. Satış ekipleri, müşteri verisine erişimin kısıtlanmasının işi yavaşlatacağından endişeliydi. Üretim, biyometrik turnikenin kaldırılması hâlinde giriş-çıkışta kaos yaşanacağını söylüyordu. Bilgi işlem ise DLP’nin yanlış pozitiflerle günlük işi tıkayacağını öngörüyordu. Bu itirazların hiçbiri ‘kural böyle’ denilerek bastırılmadı; her biri ayrı bir tasarım problemi olarak ele alındı.

Çözümler, İrem Genç GÜL ile Uygar Y. AYDIN’ın hukuki ve teknik akıl yürütmeyi birleştirmesiyle çıktı. Pazarlamaya, izinli ve İYS ile uyumlu bir listenin küçük ama gerçek olduğunu, dönüşüm oranının daha yüksek, idari yaptırım riskinin ise neredeyse sıfır olduğunu gösteren bir karşılaştırma sunuldu; izin temelli iletişimin uzun vadede daha verimli olduğu rakamlarla anlatıldı. Üretime, biyometriye alternatif olarak kart ve PIN tabanlı bir geçiş sunularak çalışanın gerçek bir seçim yapabilmesi sağlandı; böylece hem açık rızanın gönüllülüğü korundu hem de operasyon aksamadı. Satışa, rol bazlı erişimin aslında veriyi daha temiz ve daha hızlı eriştirdiği, gereksiz veri kalabalığını ortadan kaldırdığı gösterildi. Bilgi işlemin endişesi ise DLP’nin kademeli devreye alma yöntemiyle giderildi; gerçek yanlış pozitifler ayıklandıkça sisteme güven arttı.

Benimsemenin ölçülebilir olması, kültürel değişimin laf düzeyinde kalmamasını sağladı. İlk kimlik avı simülasyonunda dikkat çekecek kadar yüksek çıkan tıklama oranı, tekrar eden kampanyalar ve hedefli kısa eğitimlerle belirgin biçimde geriledi; e-öğrenme tamamlama oranı, yöneticilerin kendi ekiplerinden sorumlu tutulmasıyla yüksek seviyelere taşındı. En sert itirazlardan biri bir üretim biriminin yöneticisinden gelmişti; yeni erişim kısıtlarının vardiya planlamasını yavaşlatacağını savunuyordu. İtiraz reddedilmedi, süreç onunla birlikte yeniden çizildi: gerçekten ihtiyaç duyduğu veriye hızlı erişimi korunurken gereksiz alanlar kapatıldı. Bu yaklaşım, orta kademe yöneticileri projenin engeli olmaktan çıkarıp taşıyıcısı hâline getirdi.

Kültürel dönüşümü kalıcı kılan, soyut sloganlar değil somut alışkanlıklardı. Çalışanlara düzenli kimlik avı (phishing) simülasyonları gönderildi ve sonuçlar suçlayıcı değil, eğitici bir dille paylaşıldı. Bir veri ihlali senaryosu masa başı (tabletop) tatbikatıyla prova edildi; kimin kimi arayacağı, kararın kimde olduğu canlı kriz öncesinde netleşti. E-öğrenme modülleri kısa sınavlarla pekiştirildi, gizlilik taahhütnameleri ve temiz masa–temiz ekran disiplini (A.7.7) günlük rutine yedirildi. En önemlisi, departman yöneticileri ‘veri sahibi’ olarak adlandırılarak sorumluluk merkezîlikten sahaya taşındı; kurulan KVKK komitesi ve iştirak irtibat ağı, politikaların onay ve güncelleme döngüsünü sürekli kıldı. Uyum, böylece hukuk biriminin değil, işi yapan kişinin işi hâline geldi.

Bölüm 6 — Sürdürülebilirlik, Standartlar ve Kapanış

Politikalar yürürlüğe alındığında, VERBİS kayıtları tamamlandığında, aydınlatma metinleri yayımlandığında ve teknik tedbirler operasyona girdiğinde, asıl soru ortaya çıktı: bu düzen kendi başına ayakta kalabilecek mi? Projenin başarısı, bittiği gün değil, danışman masadan kalktıktan sonra da işlemeye devam ettiği gün ölçülür. Bu yüzden kapanış, bir teslim değil, bir işletim modeline geçiş olarak kurgulandı.

İşletim modelinin omurgası ISO/IEC 27701 felsefesiydi. Bu standart, bir bilgi güvenliği yönetim sisteminin (ISO/IEC 27001) üzerine kişisel veri yönetimi katmanını ekler ve veri sorumlusu ile veri işleyen rollerini ayrı ayrı ele alır; kurum içinde ‘güvenlik’ ile ‘gizlilik’ arasındaki bağı kurumsallaştırır. Standardın 2019 sürümü 27001 ve 27002’nin bir uzantısı olarak tasarlanmıştı; Ekim 2025’te yapılan revizyonla bağımsız olarak da uygulanıp belgelendirilebilen bir yapıya kavuştuğu, holdingin belgelendirme yol haritasına not olarak işlendi. İşletme açısından asıl kazanım, planla–uygula–kontrol et–önlem al döngüsünün kurum kültürüne yerleşmesiydi: gizlilik artık tek seferlik bir proje değil, tekrar eden bir yönetim ritmiydi.

Sürekliliği rakamlara bağlamak için bir denetim ve ölçüm çerçevesi kuruldu. İç denetim takvimi sabitlendi; ilgili kişi başvurularının ortalama kapatma süresi, periyodik imhanın gerçekleşme oranı, eğitim tamamlama yüzdesi, DLP olay sayısı ve açık güvenlik bulgularının kapanma hızı gibi göstergeler düzenli olarak izlenmeye başladı. Üst yönetimin gözden geçirme toplantılarında bu göstergeler bir gündem maddesi hâline getirildi; böylece gizlilik performansı, diğer kurumsal performanslar gibi ölçülebilir ve hesap verilebilir bir alana taşındı.

Çerçeve, geleceğe dönük tetikleyicilerle de donatıldı. Sızma testi ve zafiyet taraması yıllık bir döngüye bağlandı; tedarikçi denetimleri sözleşmelere yazılan denetim hakkıyla fiilen uygulanır hâle getirildi; her yeni sistem veya önemli süreç değişikliği için, devreye almadan önce bir etki değerlendirmesi yapılması zorunlu kılındı. Böylece holding, yalnızca bugünkü duruma değil, gelecekte ekleyeceği her yeni veriye karşı da korunaklı bir karar mekanizması edindi.

Ölçüm çerçevesi bir gösterge paneline bağlandı; süreç sahipleri kendi alanlarındaki başvuru kapatma, imha gerçekleşme, eğitim tamamlama ve bulgu kapama göstergelerini düzenli olarak görebiliyordu. İç denetim planı, en yüksek riskli iştirakleri önce ele alacak biçimde önceliklendirildi ve denetim bulguları bir sonraki yönetim gözden geçirmesinin gündemine taşındı. Olgunluk ölçeği, projenin başında çoğunlukla alt seviyelerde toplanan süreçlerin altı ayın sonunda belirgin biçimde yukarı taşındığını ölçülebilir kıldı. Belgelendirme açısından holding, önce kritik iştiraklerde ISO/IEC 27001 sertifikasyonunu, ardından gizlilik katmanını ISO/IEC 27701 ile genişletmeyi hedefleyen bir yol haritası benimsedi; bu, projenin kazanımlarını bağımsız bir denetimle dışarıya da kanıtlanabilir kılacaktı.

Sürdürülebilirliğin en kırılgan noktası, bilginin danışmanla birlikte kapıdan çıkmasıdır. Bunu önlemek için holding bünyesinde işi devralacak bir çekirdek ekip belirlendi; politikalar, prosedürler ve teknik runbook’lar bu ekibe yalnızca teslim edilmedi, onlarla birlikte yazıldı. İhlal müdahale tatbikatları, dış destek olmadan da yürütülebilecek şekilde holdingin kendi personeliyle tekrarlandı; gösterge panelinin yorumlanması ve denetim bulgularının önceliklendirilmesi iç ekibe aktarıldı. Amaç, Nesil Teknoloji’nin varlığını bir bağımlılığa değil, devredilebilir bir yetkinliğe dönüştürmekti. Projenin gerçek testi, dış danışman masadan kalktıktan sonra ilk başvurunun, ilk imha döngüsünün ve ilk küçük olayın kurum içinde sorunsuz yönetilmesiyle geçildi.

Geriye dönüp bakıldığında projenin asıl değeri, dört kişinin oluşturduğu işbölümünün birbirini tamamlamasıydı. Onur OLCAY iştirakler arası koordinasyonu ve bilgi teknolojileri yönetişimini taşıdı; Mustafa GÜLCAN süreç sahipliğini ve kültürel benimsemeyi sahada yürüttü; Av. İrem Genç GÜL hukuki zemini kurdu ve her tasarımın mevzuata tutunmasını sağladı; Uygar Y. AYDIN ise bu hukuki çerçeveyi çalışan bir teknik mimariye çevirdi. Hukuk, teknik ve iş üçgeninin aynı masada buluşması, Şahinler Holding’e tekil bir belge yığını değil, birbirine kenetlenmiş operasyonel ve hukuki bir koruma katmanı bıraktı. Proje kapandığında geriye kalan en somut çıktı buydu: artık veriyi kuralsız işlemenin değil, kurala uygun işlemenin kolay olduğu bir düzen.

Mevzuat ve Standart Dayanakları

Bu hikâyede atıf yapılan başlıca mevzuat, Kurul Kararı ve standart referansları aşağıdadır.

1. 6698 sayılı Kişisel Verilerin Korunması Kanunu (özellikle m.3, m.5, m.6, m.9, m.10, m.12, m.13, m.16, m.18) — mevzuat.gov.tr
2. Kişisel Veri İhlali Bildirimi — KVK Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı Kararı (Kurula bildirim için 72 saat) — kvkk.gov.tr
3. Özel nitelikli kişisel verilerde yeterli önlemler — KVK Kurulu’nun 31.01.2018 tarih ve 2018/10 sayılı Kararı — kvkk.gov.tr
4. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (28.10.2017 tarih, 30224 sayılı R.G.; periyodik imha en fazla 6 ay) — mevzuat.gov.tr
5. Yurt dışına aktarım — 7499 sayılı Kanun (12.03.2024 tarih, 32487 sayılı R.G.; yürürlük 01.06.2024) ve Yurt Dışına Aktarım Yönetmeliği (10.07.2024 tarih, 32598 sayılı R.G.) — kvkk.gov.tr
6. ISO/IEC 27001:2022 — Bilgi güvenliği yönetim sistemleri; Ek-A (93 kontrol, dört tema) — iso.org
7. ISO/IEC 27701 — Gizlilik bilgi yönetim sistemi (PIMS); 2019 uzantısı ve 2025 bağımsız revizyonu — iso.org

Bu içerik bir referans projeyi anlatan başarı hikâyesidir; hukuki danışmanlık niteliği taşımaz. Mevzuat tarih, sayı ve madde bilgilerinin nihai kullanımdan önce resmî kaynaklardan (kvkk.gov.tr, mevzuat.gov.tr) teyit edilmesi önerilir. © Nesil Teknoloji.