Liglerde toplanan oyuncu verileri; performans, sağlık, kimlik, finansal bilgiler ve iletişim kayıtları gibi hassas ve işlevsel verileri içerir. Bu verilerin korunması sadece teknik bir zorunluluk değil, sporcu hakları, itibar yönetimi ve yasal uyumluluk açısından da hayati önem taşır. Aşağıda bir veri koruma uzmanına yapılacak röportajda kullanılabilecek 12 soru ile her sorunun arka planı, beklenen cevaplar, takip soruları ve pratik örnek protokoller sunuyorum.
Giriş: Neden bu sorular önemli?
Lig yönetimleri, kulüpler ve veri sorumluları KVKK (Kişisel Verilerin Korunması Kanunu) ile uyum sağlamak zorunda. Ancak uyum teknik tedbirlerle sınırlı değil; sözleşmeler, veri işleme kayıtları, etkilenme durumunda iletişim stratejileri ve acil müdahale planları da gereklidir. Bu sorular hem hukukî hem de operasyonel açıdan eksikleri ortaya çıkaracak şekilde tasarlandı.
Soru 1: Hangi oyuncu verilerini topluyorsunuz ve neden?
Açıklama: Veri minimizasyonu ilkesi gereği yalnızca gerekli veriler toplanmalıdır. Bu soru, veri envanteri ve gerekçelerini ortaya koymak içindir.
Beklenen cevap: Performans analizi için anonimleştirilmiş istatistikler; sağlık verileri için açık rıza ve tıbbi gereklilik; kimlik-finansal veriler ise sözleşme ve ödeme işlemleri için.
Takip sorusu: Bu veriler arasında özel nitelikli kişisel veri (ör: sağlık) var ise hangi hukuki dayanağı kullanıyorsunuz?
Soru 2: Veri toplama süreçlerinizde KVKK'ya göre hangi hukuki dayanakları gösteriyorsunuz?
Açıklama: KVKK’da sözleşme, açık rıza, yasal yükümlülük gibi dayanaklar geçerlidir. Uygulamada bunların dokümante edilmesi gerekir.
Beklenen cevap: Kayıt sözleşmeleri, rıza formları, rutin veri işleme envanteri ve DPIA (Veri Koruma Etki Değerlendirmesi) raporları.
Soru 3: Oyuncu verilerinin saklama süreleri ve imha politikası nedir?
Açıklama: Saklama süreleri yasal gereklilikler ve amaçla sınırlanmalıdır. Süre geçince güvenli imha sağlanmalı.
Pratik örnek: Sağlık kayıtları tedavi sürecinin ardından 10 yıl saklanırken, maç içi telemetri verileri 3 yıl sonra toplu anonimleştirilir.
Soru 4: Anonimleştirme ve psödonimleştirme uygulamalarınız nasıl?
Açıklama: Analitik amaçlı verilerde kimlik ayıklamak mahremiyeti artırır; ancak geri döndürülebilirlik riski değerlendirilmelidir.
Beklenen cevap: Telemetri için tek yönlü hash, sağlık verileri için ayrık veri tabanları ve erişim kısıtları; re-identifikasyon testleri.
Soru 5: Yurt içi ve yurt dışı veri aktarımı süreçleriniz nasıl güvence altına alınıyor?
Açıklama: Uluslararası transferler KVKK ve ilgili düzenlemelerce sıkı denetim altındadır. Uyum sağlanmalıdır.
Beklenen cevap: Standard Contractual Clauses (SCC) benzeri sözleşmeler, veri aktarım risk analizleri, yerel kayıt tutma ve veri merkezi lokasyon politikaları.
Soru 6: Bir sızıntı (data breach) tespit ettiğinizde izlediğiniz acil protokol nedir?
Açıklama: Sızıntı yönetimi sadece teknik değil, iletişim ve hukuki süreçleri de kapsar.
- 1) Tespit ve sınıflandırma: Hangi veri sızdı, kapsam nedir?
- 2) İzolasyon: Etkilenen sistemleri ağdan ayırma.
- 3) İlk analiz: Forensic ekip devreye girer.
- 4) Bildirim: KVKK ve etkilenen kişilerle zamanında iletişim.
- 5) İyileştirme: Zafiyet giderimi ve takip testleri.
Beklenen detay: Olay cevap planı (IRP), sorumluluk matrisi (SIRT/team), teknik logların korunması, hukuki raporlar ve basın açıklaması şablonları.
Soru 7: KVKK’ya göre ihbar (bildirim) süreçleriniz nasıl işliyor? Süreler ve içerik ne olmalı?
Açıklama: Bildirim süreleri ve içeriği açık olmalı; gecikmeler halinde yaptırımlar gündeme gelir.
Pratik kılavuz: KVKK ihbar yükümlülükleri kapsamında, etkilenen veri sahiplerine ve Kurula yapılacak bildirimin içeriği — ihlal kapsamı, risk değerlendirmesi, alınan önlemler ve irtibat bilgileri— önceden hazırlanmış şablonlarda bulunmalı.
Soru 8: Saha aktörleri (kulüpler, antrenörler, medya) ile paylaşılan verilere ilişkin kontrol mekanizmaları nelerdir?
Açıklama: Veri paylaşımı sözleşmelerle, erişim düzeyleriyle (RBAC) ve logging ile kontrol edilmeli.
Beklenen uygulama: Veri İşleme Ek Sözleşmeleri (DPA), amaç kısıtlaması, erişim onayları, düzenli denetimler ve veri erişim kayıtlarının tutulması.
Soru 9: Üçüncü taraf sağlayıcılar (bulut, analiz araçları) nasıl denetleniyor?
Açıklama: Tedarikçi risk yönetimi, veri işleme sözleşmeleri ve güvenlik kontrolleri gerektirir.
Örnek prosedür: Tedarikçi değerlendirme formu, SOC 2/ISO 27001 sertifika kontrolü, yıllık penetrasyon testi ve tetkik raporu talebi.
Soru 10: Sporcuların özel nitelikli verileri (sağlık vb.) nasıl korunuyor ve rızaları nasıl yönetiliyor?
Açıklama: Özel nitelikli veriler için açık ve bilinçli rıza gereklidir; rıza geri çekilebilir olmalı ve işlemenin hukuki dayanağı net olmalıdır.
Beklenen cevap: Ayrı rıza formları, dışa transfer yasakları, sadece yetkili sağlık personelinin erişimi ve kayıt altına alma.
Soru 11: Olay sonrası iletişim stratejiniz nedir? Hem iç hem dış paydaşlar için nasıl bir planınız var?
Açıklama: Kriz iletişimi hem etkilenen kişilere hem de kamuoyuna güven verecek şekilde planlanmalı.
Örnek açıklama: "Olay tespit edilmiş ve izole edilmiştir. İlk analiz sürüyor; etkilenen kişilere öncelik vererek gerekli bütün bilgilendirmeler yapılacaktır."
Pratik taktik: Önceden hazırlanmış Q&A, basın bülteni şablonları, sosyal medya onay süreçleri ve hukuki denetim.
Soru 12: Sürekli iyileştirme: Hangi KPI ve denetimlerle uyumu ölçüyorsunuz?
Açıklama: Ölçülebilir göstergeler olmadan iyileştirme sürdürülemez.
Örnek KPI:
- İhlal sayısı / yıl
- Ortalama tespit süresi (MTTD) ve ortalama müdahale süresi (MTTR)
- DPA uyum yüzdesi (% sözleşmeli tedarikçi uyumu)
- Eğitim tamamlama oranı (personel için yıllık KVKK eğitimi)
Ek: Röportaj sırasında sorulabilecek takip soruları ve kırmızı bayraklar
Takip soruları: "Bu veriye kimlerin erişimi var?", "Erişim denetimleri nasıl kayıt altına alınıyor?", "Son 12 ayda kaç denetim yapıldı?"
Kırmızı bayraklar: Belirsiz bir veri envanteri, eksik DPIA, sözleşmesiz üçüncü taraf paylaşımları, ihlal bildiriminin açık olmaması.
Çıktı: Kısa acil eylem kontrol listesi (örnek)
- Dahili IRP’yi tetikle: SIRT toplantısı 60 dakika içinde.
- Hızlı izolasyon: Erişim anahtarları iptal, etkilenen VM/DB ağdan izole edilir.
- İlk değerlendirme: Sızmanın kapsamını belirle, etkilenen veri türlerini listele.
- Bildir: KVKK ve ilgili taraflara yasal süre içinde bilgilendirme yap.
- İyileştir: Güvenlik açığını kapat, yama uygula ve doğrulama testleri yap.
Sonuç: Röportajdan sonra ne yapılmalı?
Röportajdan elde edilen yanıtlar, kurumunuzun veri koruma olgunluk seviyesini hızlıca ortaya çıkaracaktır. Tespit edilen eksikler için önceliklendirilmiş yol haritası çıkarın: sözleşmeler, teknik önlemler, eğitim ve acil müdahale planları. Uyum sadece bir defalık proje değil, sürekli bir süreçtir.
Bu 12 soru ve ayrıntılı alt başlıklar, hem gazeteciler hem de kurum içi yöneticiler için pratik bir kontrol listesi görevi görür. Röportajı yaparken cevapların belgelenmesi, eksik görülen noktaların izlenmesi ve takip toplantıları planlanması en önemli adımlardır.
