Kişisel verilerin korunması kanunu.

Kişisel Verilerin Korunması Kanunu ve GDPR

Fransız devrimiyle başlayan sanayileşme hareketi beraberinde bir çok teknolojik gelişmenin gün yüzüne çıkarılmasına olanak sağladı. Başlarda iş ve sanayi süreçlerini geliştirmekte bir araç olarak kullanılan teknoloji kavramı artık başlı başına bir sektör haline geldi. Özellikle iletişim alanında gerçekleştirilen buluşlar bilginin hızla aktarılmasını, yeni teknolojilere adaptasyonunu ve teknolojik gelişme ivmesinin hızla artmasını sağladı. Hatta bu ivme son yıllarda o kadar arttı ki artık teknolojik gelişme ve de ürünlere ayak uyduramamaya başladık.

Bu kontrol edilemeyen ivme yönetmesi zor süreçleri de beraberinde getirdi. En temel hak ve özgürlüklerden olan bilgi güvenliği unutulmuştu. Son 10 yılda iyice hissedilen bu eksiklik tartışmaları çeşitli kanun önerilerini globalde karşımıza çıkardı.

Uzun yıllardır tasarı halinde bekleyen KVKK (Kişisel Verilerin Korunması Kanunu) 6698 sayılı kanunla 7 Nisan 2016 tarihinde yürürlüğe girdi ve firmalara bu konuda uyumluluk kriterlerine uygunluğu sağlamak adına 2 yıllık bir süre tanındı.

  • Bu kanun ile beraber tüzel kişiliklerin kişisel verileri işlemesi, paylaşması, doğrudan bu bilgileri kazanca çevrilmesi gibi senaryolar kontrol altına alınmış oldu.

Kişisel Verilerin Korunması Kanunu Kapsamı

  • Kanunda belirtilen istisnai durumlar hariç, hiç bir tüzel kişilik kişilerin açık rızası olmadan kişisel verileri işlenemeyecek, üçüncü kişilere ve yurt dışına aktaramayacaktır. Yükümlülüklerin yerine getirilmediği durumlarda tüzel kişiliklere ve de ihlal yolu ile bu bilgileri ele geçiren kişi ya da kurumlara bilginin mahiyeti ve ilgili kanun maddesine bakılarak çeşitli idari para ve hapis cezası verilebilecektir.
  • Belirtmek gerekir ki süreç hakkında doğru bilinen en büyük yanlışlardan birisi konunun sadece büyük şirketleri ilgilendiriyor olması. Oysaki, ilgili kanuna göre sektör ve büyüklüğe bağlı olmaksızın tüm firmalar bu kanundan sorumludur.

Başka bir perspektiften baktığımızda ise bilgi güvenliği bu kanunla tek bir işbirimine bırakılmamıştır. Sorumluluk şirketin tüm iş birimleri üzerindedir.

Dijitalleşen dünyada, kapıdaki güvenlikte, satışta, satın almada, müşteri hizmetlerinde, bilgi sistemlerinde, hukukta, muhasebede tutulan tüm kayıtlar bu kapsamın içerisindedir. KVKK’da odak nokta tüzel kişiliklerdir. Kanundaki yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdadır.

GDPR ve Avrupadaki Gelişmeler

Bu süre içerisinde Avrupa’da ise süreç madalyonun diğer tarafından ele alındı ve GDPR (EU General Data Protection Regulation) kavramı karşımıza çıktı. Kanun halihazırda süren Avrupa Birliği Veri Koruma Çerçevesi’ne bir güncelleme olacak şekilde 25 Mayıs 2018 tarihinde resmileşti. GDPR da temel nokta yönergeleri kullanıcının belirlemesi yönünde. Firmalara da haliyle daha fazla sorumluluk yüklenmiş olmakta. Temel ilkeleri listeleyecek olursak,
Hukuka, dürüstlük kurallarına uygun olma ve veri öznesine karşı şeffaf işleme

  • Doğru, gerekli hallerde işleme ve güncel olma
  • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi
  • Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işleme
  • Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması
  • Veri kontrolünün sayılan tüm temel prensiplerden sorumlu olması (hesap verebilirlik prensibi)

Şirketlerin tüm süreçlerini üzerinde yönettiği SAP ERP sisteminde GDPR uyumluluğu nasıl sağlanır?

SAP KVKK GDPR yol haritasını yayınladığı dökümanda ilgili süreçleri şu şekilde sıralandırdı.

SAP KVKK GDPR yol haritası piramidi.

Uyumluluğu sağlama amacıyla çeşitli ürün gruplarında hali hazırda çalışmalar yapılıyordu ancak gerçek bir kapsama Data Access Manager Kokpiti ile sağlandı diyebiliriz.

Bu paket ile en temel yöntemler olan Data Masking (Data maskeleme) ve Data scrambling (Veriyi karıştırma) özellikleri karşımıza çıkıyor. Bu sayede veriler gizlenmiş olarak ekranlara aktarılıyor. Rol analizleri, yetki analizleri, detaylı KVKK ve GDPR raporları, hesap verilebilirlik ilkesi adına loglar ve bu logların raporlanması, açık rıza girişleri, rıza toplama ekranları, imha programları ile hatırlatma ve uyarı sistemleri uygulamaları da pakette yer alıyor.

Tamer Taşdelen

Tamer Taşdelen

Çözüm Yöneticisi

Shares Share