Organizasyonlar için birçok soruyu beraberinde getiren KVKK uyum sürecinde caniasERP birçok avantaj sunuyor. IAS Global Kalite Sistemleri Müdürü Çiğdem Dönmez, konu ile ilgili caniasERP’de gerçekleştirilen altyapısal çalışmaları anlattı.
IAS Global Kalite Sistemleri Müdürü Çiğdem Dönmez, “IAS olarak hem veri sorumlusu sıfatıyla yasal yükümlülüklerimizi yerine getirmek üzere çalışıyor hem de caniasERP yazılımımız üzerinde gerekli geliştirmeleri yapıyoruz. Konu ile ilgili caniasERP’de altyapısal olarak gerçekleştirdiğimiz çalışmaların yanı sıra tüm KVKK gerekliliklerini yöneteceğimiz KVK yönetim paneli uygulamamızı da tamamladık” dedi.
“Kişisel verilerin korunması için 6698 KVKK’ya uyum, kanuni bir zorunluluk olup, uyulmaması durumunda ağır para ve hapis cezaları şeklinde yaptırımları bulunmaktadır” diyerek sürecin önemine vurgu yapan IAS Global Kalite Sistemleri Müdürü Çiğdem Dönmez, “IAS olarak hem veri sorumlusu sıfatıyla yasal yükümlülüklerimizi yerine getirmek üzere çalışıyor, hem de caniasERP yazılımımız üzerinde gerekli geliştirmeleri yapıyoruz. Tüm iş süreçlerini caniasERP ile yöneten firmalar için KVK yükümlülüklerini de caniasERP üzerinde etkin şekilde yönetebilecekleri uygulamalar geliştirdik. Sürecin ilerleyişine ve etkileşimde olduğumuz tüm taraflardan gelen geri bildirimlere göre de çalışmalarımıza devam ediyor ve sürekli geliştiriyoruz” dedi.
Müşterilerinize bu konuda bilinçlendirme ve yönlendirme çalışmaları yapıyor musunuz?
Müşteri, tedarikçi, çalışan, aday gibi etkileşimde olduğumuz tüm taraflarla yapacağımız sözleşmelerde, 6698 KVKK gereklerini de içeren maddeler ekledik. Ayrıca her türlü iletişimimizde aydınlatma metnimiz ile bilgilendirme yapıyoruz. caniasERP ürünümüz üzerinde bu konuya özel yaptığımız geliştirmeleri paylaşarak hem bilgi alışverişinde bulunup onlardan gelen geri bildirimlerle besleniyor hem de karşılıklı farkındalığımızı arttırıyoruz” diye anlattı.
Kişisel Verilerin Korunması Kanunu uyumluluk süreci hakkında bilgi verir misiniz? Bu sürece kimler dahil?
2010 yılında anayasanın 20’nci maddesine eklenen “Herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuştu. Mart 2016 tarihinde kabul edilen 6698 Kişisel Verilerin Korunması Kanunu (KKVK) Nisan 2016’da resmi gazete yayınlanarak yürürlüğe girdi. Çalışmalar, Avrupa Birliği genel veri koruma düzenlemesi ve tüm Avrupa pazarlarındaki kişisel verinin kullanımını düzenleyen yasal çerçeveye uyum çalışmalarıyla da entegre edildi. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişi ile ilişkilendirilebilen her türlü veridir. Veri ile ilgili yapılabilecek her türlü işlem de ‘kişisel verilerin işlenmesi’ olarak tanımlanır. Yani, kişisel verilerin herhangi bir yolla elde edilmesi, kayıt edilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması gibi veriler üzerinde yapılan her türlü işlem ‘kişisel verilerin işlenmesi’ olarak tanımlanabilir. Veri sorumlusu sıfatıyla kişisel verileri işleyen her sorumlu, 6698 KKVK’ya göre Veri Sorumluları Sicili (VERBIS) sistemine kayıt olmak zorundadır. Kişisel verilerin korunması için 6698 KVKK’ya uyum, kanuni bir zorunluluk olup, uyulmaması durumunda ağır para ve hapis cezaları şeklinde yaptırımları vardır.
Kişisel verilerin korunması konusunda gerekli bilincin oluştuğunu düşünüyor musunuz? Bu bilincin oluşturulabilmesi için ne gibi çalışmalar yapılmalı?
Bu yasal bir zorunluluk olduğu için firmalar çalışmalarını başlatmış durumda. Ancak hala net olmayan, uygulamada nasıl hayata geçirileceği bilinemeyen konular var. Yasal uyumluluk çerçevesinde firmaların kişisel verilerin işlenmesi ve korunması kapsamında yapması gereken çalışmaların başında; işlenen yada işlenecek verilerle ilgili kişileri aydınlatma yükümlülüğünü yerine getirilmesi, açık rıza alınması, bilgi edinme, bilginin düzeltilmesi, silinmesi / yok edilmesi talepleri için başvuru mekanizması kurulması ve işlenme şartları ortadan kalkan verileri silinmesi, yok edilmesi veya anonim hale getirilmesi geliyor. Ayrıca yetki minimizasyonu sağlanarak; açık rıza alınmış bile olsa, kişisel verilere erişimin sınırlandırılması ve yetki dahilinde erişilebilir olması gerekiyor. Veri sorumlusunun bünyesinde veri koruma görevlisi (VKG) belirlenmeli, veri işleyen ile veri sorumlusu arasında sözleşme imzalanmalı, veri işleme envanteri çıkarılarak, hangi kişisel verilerin, ne amaçla ve yöntemle toplandığı, ne kadar süre ile ve nasıl saklandığı, verilerin erişilebilirliğinin, bütünlüğünün ve gizliliğin nasıl yönetildiği, veri kayıt ortamının nasıl yönetildiği, hangi teknik altyapılara sahip olunduğu, veri silme, yok etme, maskeleme, anonim hale getirme yöntemleri belirlenmeli ve veri imha politikası hazırlanmalıdır. Tüm bunlar etkin bir şekilde uygulanmalıdır. Kurum çalışanlarına düzenli farkındalık eğitimleri verilerek konunun önemi, uygulama sırasındaki sorumluluklar ve sürecin işleyişi anlatılmalıdır.
‘Kişisel Veri’ Kavramı Doğru Anlaşılmalı
KVKK konusunda en yaygın doğru bilinen yanlışlar hangileri?
Öncelikle KVKK’nın ‘kişisel’ veri yani bireye ait, gerçek kişiye ait verileri kapsadığı bilinmeli.
Bahsi geçen kişisel verinin mutlaka ‘gizli’ bilgi olması gerekmiyor. Kişi ile ilişkilendirilebilen her türlü bilgi; e-mail adresi, telefon numarası gibi veri kişisel veri tanımının içinde yer alır. Bir firmanın Bilgi Güvenliği Yönetim Sistemi (BGYS) ve sertfikasına sahip olması tek başına KVKK uyumluluğu için yeterli değildir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, KVK süreçlerini de kapsayan bir standarttır. 6698 KVKK incelendiğinde ISO 27001 BGYS’nin EK-A dediğimiz 114 Kontrol noktasındaki bazı maddelere atıfta bulunduğu görülür. KVKK’nın maddeleri içerisinde yer alan veri sınıflaması, maskeleme, veri sızıntısını önleme, güvenli veri transferi gibi erişim kontrollerine ilişkin hükümlerin, Bilgi Güvenliği Politikaları ile prosedürlerine ek olarak ayrıca düzenlenmesi gerekir. Bu kapsamda, AB ülkeleri içerisinde uygulanan General Data Protection Regulation (GDPR) düzenlemelerine ilişkin hazırlanan BS 10012 Kişisel Veri Güvenliği Sistemine Uyumluluk çalışmalarının kuruluşlar bünyesinde uygulanması da farkındalığın arttırılması ve dolayısıyla kurumların idari para ve hapis cezalarından etkilenmemesi açısından faydalı olabilir.
Bahsi geçen kişisel verinin mutlaka ‘gizli’ bilgi olması gerekmiyor. Kişi ile ilişkilendirilebilen her türlü bilgi; e-mail adresi, telefon numarası gibi veri kişisel veri tanımının içinde yer alır. Bir firmanın Bilgi Güvenliği Yönetim Sistemi (BGYS) ve sertfikasına sahip olması tek başına KVKK uyumluluğu için yeterli değildir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, KVK süreçlerini de kapsayan bir standarttır. 6698 KVKK incelendiğinde ISO 27001 BGYS’nin EK-A dediğimiz 114 Kontrol noktasındaki bazı maddelere atıfta bulunduğu görülür. KVKK’nın maddeleri içerisinde yer alan veri sınıflaması, maskeleme, veri sızıntısını önleme, güvenli veri transferi gibi erişim kontrollerine ilişkin hükümlerin, Bilgi Güvenliği Politikaları ile prosedürlerine ek olarak ayrıca düzenlenmesi gerekir. Bu kapsamda, AB ülkeleri içerisinde uygulanan General Data Protection Regulation (GDPR) düzenlemelerine ilişkin hazırlanan BS 10012 Kişisel Veri Güvenliği Sistemine Uyumluluk çalışmalarının kuruluşlar bünyesinde uygulanması da farkındalığın arttırılması ve dolayısıyla kurumların idari para ve hapis cezalarından etkilenmemesi açısından faydalı olabilir.
Firmalar KVKK gerekliliklerini yerine getirmek için ne gibi bir yol haritası izlemeli?
Firmalar bu konuda öncelikle kanun kapsamını dikkate alarak mevcut durum analizi ve uyumluluk değerlendirmesi yapmalı. Ardından veri analizi ve değerlendirmesi yaparak kişisel veri envanteri oluşturmalı ve bu envanterde sahip olunan ve olunacak kişisel veriler detaylandırılmalı; hangi veri ne amaçla toplanıyor, nasıl kayıt ediliyor, ne kadar saklanıyor, nasıl yok ediliyor, üçüncü taraflarla paylaşılıyor mu, nasıl ve ne amaçla paylaşılıyor gibi… Ardından mevcut bilgi güvenliği kontrollerinin nasıl yönetildiği analiz edilmeli ve teknik güvenlik değerlendirilmeli. Yurt dışına veri çıkışı olup olmadığı, varsa nasıl yürütüldüğü, alt veri işleyenlerin olup olmadığı ve koşulları, mevcut politikaların yeterliliği incelenmeli. Bu analizlere göre ortaya çıkan gereksinimler ve iyileştirmeler için aksiyonlar planlanmalı ve hayata geçirilmeli. İzlenebilir bir yönetim sistemi kurulmalı ve sürekliliği sağlanmalıdır.
Müşterilerimizin KVKK Farkındalığını Arttırıyoruz
IAS olarak bu konuda nasıl bir çalışma gerçekleştirdiniz?
IAS olarak hem veri sorumlusu sıfatıyla yasal yükümlülüklerimizi yerine getirmek üzere çalışıyor, hem de ERP yazılımımız üzerinde gerekli geliştirmeleri yapıyoruz. Konu ile ilgili caniasERP’de altyapısal olarak gerçekleştirdiğimiz çalışmaların yanı sıra KVK yönetim paneli uygulamalarımız ile kişisel verilerin toplanması, kayıt edilmesi, bilgilendirme ve açık rıza taleplerinin alınması, cevap olarak gelen tercihlerin uygulanması, başvuru mekanizmasının işletilmesi, verilerin maskelenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, süresi dolan verilerin süre sorunda otomatik yok edilmesi ve benzeri tüm gereklilikleri yöneteceğimiz uygulamalar da geliştirdik. Yetki minimizasyonu üzerinde çalıştık, ihtiyaca uygun hale getirdik.
Tüm iş süreçlerini caniasERP ile yöneten firmalar için KVK yükümlülüklerini de caniasERP üzerinde etkin şekilde yönetebilecekleri uygulamalar hazırladık. Sürecin ilerleyişine ve etkileşimde olduğumuz tüm taraflardan gelen geri bildirimlere göre de çalışmalarımıza devam ediyor ve sürekli geliştiriyoruz.
Tüm iş süreçlerini caniasERP ile yöneten firmalar için KVK yükümlülüklerini de caniasERP üzerinde etkin şekilde yönetebilecekleri uygulamalar hazırladık. Sürecin ilerleyişine ve etkileşimde olduğumuz tüm taraflardan gelen geri bildirimlere göre de çalışmalarımıza devam ediyor ve sürekli geliştiriyoruz.
Müşterilerinize bu konuda bilinçlendirme ve yönlendirme çalışmaları yapıyor musunuz?
Müşteri, tedarikçi, çalışan, aday gibi etkileşimde olduğumuz tüm taraflarla yapacağımız sözleşmelerde, 6698 KVKK gereklerini de içeren maddeler ekledik. Ayrıca her türlü iletişimimizde aydınlatma metnimiz ile bilgilendirme yapıyoruz. caniasERP ürünümüz üzerinde bu konuya özel yaptığımız geliştirmeleri paylaşarak hem bilgi alışverişinde bulunup onlardan gelen geri bildirimlerle besleniyor hem de karşılıklı farkındalığımızı arttırıyoruz.
