Kenya Veri Koruma Yasası (KDPA): Kurumlar İçin Veri Koruma ve Güvenlik Yaklaşımı

Kenya Veri Koruma Yasası (KDPA), kişisel verilerin işlenmesini düzenleyen ve bireylerin gizlilik haklarını korumayı amaçlayan temel veri koruma mevzuatıdır. Yasa; kamu ve özel sektörde faaliyet gösteren kurumların, kişisel verileri hukuka uygun, güvenli ve denetlenebilir şekilde işlemesini zorunlu kılar.

KDPA, yalnızca Kenya’da faaliyet gösteren kurumları değil; Kenya’daki bireylere ait verileri işleyen tüm organizasyonları kapsar. Bu yönüyle, uluslararası ölçekte faaliyet gösteren kurumlar için de doğrudan etki alanına sahiptir.

Kenya Veri Koruma Yasası (KDPA) Nedir?

Kenya Veri Koruma Yasası, 2019 yılında kabul edilmiş ve 25 Kasım 2019 itibarıyla yürürlüğe girmiştir. Yasa, Kenya Anayasası’nın özel hayatın gizliliğine ilişkin hükümlerine dayanır ve kişisel verilerin işlenmesine yönelik temel ilkeleri tanımlar.

KDPA’nın temel amaçları:

• Kişisel verilerin işlenmesini açık ve bağlayıcı kurallarla düzenlemek
• Veri sahiplerinin haklarını güvence altına almak
• Veri sorumluları ve veri işleyenler için net yükümlülükler tanımlamak
• Veri güvenliği ve hesap verebilirliği sağlamak

şeklinde özetlenebilir.

KDPA’nın Kurumlar Açısından Getirdiği Yükümlülükler

KDPA kapsamında kurumlar;

• Kişisel verileri hukuka uygun ve şeffaf şekilde işlemek,
• Verileri belirli, açık ve meşru amaçlarla toplamak,
• Gereksiz veya aşırı veri toplamaktan kaçınmak,
• Kişisel verileri yetkisiz erişim, kayıp ve ihlallere karşı korumak,
• Amaç ortadan kalktığında verileri silmek veya anonimleştirmek

ile yükümlüdür.

Bu yükümlülükler, kişisel verilerin yalnızca politika ve prosedürlerle değil, operasyonel süreçler içinde de etkin biçimde yönetilmesini gerekli kılar.

Yetkili Otorite ve Denetim Mekanizması

KDPA’nın uygulanması ve denetlenmesinden sorumlu resmî kurum Office of the Data Protection Commissioner (ODPC)’dir.

ODPC;

• Veri sorumlularını ve veri işleyenleri kayıt altına alır,
• Denetimler gerçekleştirir,
• Veri ihlallerini ve şikâyetleri inceler,
• Gerekli durumlarda idari yaptırımlar uygulayabilir.

Bu yapı, KDPA uyumunun tek seferlik bir kontrol değil, sürekli izlenen ve doğrulanabilir bir süreç olmasını zorunlu kılar.

KDPA Uygulamasında Karşılaşılan Temel Zorluklar

Uygulamada kurumların karşılaştığı başlıca zorluklar şunlardır:

• Kişisel ve hassas verilerin hangi sistemlerde bulunduğunun net olarak bilinmemesi
• Veri envanterlerinin manuel ve güncel olmayan yapılarla tutulması
• Erişim ve yetkilendirme yapılarına ilişkin görünürlüğün sınırlı olması
• Denetim veya veri ihlali durumlarında kanıt üretilememesi

Bu noktada KDPA, yalnızca bir hukuki uyum konusu olmaktan çıkar; doğrudan bir veri güvenliği ve risk yönetimi başlığına dönüşür.

KDPA ve Data Security Posture Management (DSPM) Yaklaşımı

KDPA’nın beklediği görünürlük, kontrol ve sürdürülebilirlik seviyesi; Data Security Posture Management (DSPM) yaklaşımıyla doğrudan örtüşür.

DSPM yaklaşımı;

• Sürekli veri keşfi,
• Kişisel ve hassas veri sınıflandırması,
• Risk bazlı analiz,
• Erişim ve yetki görünürlüğü,
• Denetim ve uyum süreçleri için raporlanabilir çıktılar

üzerine kuruludur.

Bu nedenle KDPA uyumu, pratikte DSPM odaklı bir veri güvenliği yaklaşımı gerektirir.

GEODI DSPM ile KDPA Uygulamasına Yaklaşım

GEODI DSPM, KDPA kapsamındaki gereklilikleri tek seferlik uyum projeleri yerine, sürekli yönetilen bir veri güvenliği süreci olarak ele alır.

GEODI ile kurumlar:

• On-prem ve bulut ortamlardaki veriler üzerinde uçtan uca görünürlük sağlar,
• Kişisel ve hassas verileri otomatik olarak keşfeder ve sınıflandırır,
• Riskli veri alanlarını ve erişimleri tespit eder,
• Denetim ve uyum süreçleri için raporlanabilir çıktılar üretir.

Bu yaklaşım, KDPA uyumunun yalnızca “tanımlı” değil, kanıtlanabilir olmasını sağlar.

Kurumlar İçin Ortak Değer

KDPA uyumu; kurumların yalnızca yasal gereklilikleri yerine getirmesini değil, aynı zamanda kişisel veriler üzerinde sürekli görünürlük, kontrol ve güvenlik sağlamasını hedefler.

Bu kapsamda KDPA;

• Kişisel ve hassas verilerin nerede bulunduğunun net şekilde belirlenmesini,
• Veri işleme faaliyetlerinin ölçülebilir ve denetlenebilir olmasını,
• Risklerin ihlal gerçekleşmeden önce tespit edilmesini,
• Uyum ve denetim süreçlerinin sürdürülebilir biçimde yönetilmesini

zorunlu kılar.

GEODI DSPM, KDPA’nın gerektirdiği bu yaklaşımı; veri keşfi, sınıflandırma ve risk bazlı analizlerle destekleyerek, uyum süreçlerinin operasyonel olarak yönetilebilir ve kanıtlanabilir hale gelmesini sağlar. Bu sayede kurumlar, veri güvenliği ve uyumluluk çalışmalarını tek seferlik projeler yerine, sürekli bir veri güvenliği pratiği olarak ele alabilir.

Kenya Veri Koruma Yasası (KDPA), kurumlar için yalnızca bir yasal zorunluluk değil; veri güvenliği, risk yönetimi ve kurumsal güvenin temel bileşenlerinden biridir.

Doğru yaklaşım ve doğru teknolojiyle KDPA uyumu, regülasyondan öte, sürdürülebilir bir veri güvenliği yaklaşımına dönüşür.

‍