İŞLETMELERCE KULLANILAN YAZILIMLARIN KİŞİSEL VERİLERİN KORUNMASI MEVZUATI AÇISINDAN KONUMU
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı uyarınca kişisel verilere ilişkin yükümlülüklerde muhatap alınan sıfatların veri sorumlusu ve veri işleyen oldukları gözükmektedir. İlgili kişi sıfatına sahip olma noktasında gerçek kişi olma şartı gibi, veri sorumlusu olma noktasında da “hukukun tanıdığı kişi” olma hali şart olarak gündeme gelmektedir. Buna göre hem gerçek kişilerin hem de tüzel kişiliklerin veri sorumlusu sıfatını haiz olabilmesi söz konusudur.
Veri işleyen sıfatında yukarıdaki izahlardan farklı olarak özellikli bir durum meydana gelmektedir. Yukarıda sayılan hususların yanında işletmelerce kullanılan bir takım hizmet sağlayıcı yazılımların da veri işleyen sıfatıyla hareket ettiği söylenebilmektedir.
KVKK’nın Veri Sorumlusu ve Veri İşleyen Rehberi uyarınca “Bulut Hizmeti Sağlayıcıları” veri işleyendir. Rehbere göre “Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.” denmekte ve tüzel kişiliği olan hizmet sağlayıcıların veri işleyen sıfatını haiz olduğunu öne koymaktadır.
Dolayısıyla bu yazımızda açıklamalarına yer verdiğimiz yazılımların veri işleyen sıfatına sahip olduğu yorumu ilgili rehberdeki açıklamaya kıyasen gerçekleştirilmektedir.
Aynı durumun veri sorumlusu noktasında geçerli olmamasının sebebi ise KVKK’da yer verilen tanımın özellikli noktasının bir karar alma faaliyeti içeriyor oluşudur. Web 3.0 çerçevesinde ilgili yazılımların kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan nitelikte olması mümkün değildi.
Ancak Web 4.0 imkanlarıyla karar alma mekanizmalarının değişmesi halinde KVKK’nın tanımlarında aranan “gerçek ve tüzel kişi” şartının rehber ile veri işleyen sıfatında değişmesi gibi veri sorumlusu sıfatında da esnetilebileceği kanaatindeyiz.
Bu yazımızda özellikle kurumsal şirketler için vazgeçilmez olan en ünlü yazılımların ne olduğu ve kullanım alanları netleştirilecek olup KVKK açısından bulundukları ve bulunabilecekleri pozisyonlarla ilgili incelemelerde bulunulacaktır.
SAP – System Application Product
Açılımı Sistem, Uygulama ve Ürünler olan SAP, işletmelerin iş ve müşteri etkileşimlerini izlemesine yardımcı olmayı amaçlamaktadır. SAP, Alman yazılım şirketi kaynaklı bir bilgisayar programıdır. En fazla kurumsal kaynak planlamaları (ERP) ile veri yönetim programları alanlarında kendinden bahsettirmiştir.
SAP, IBM firmasında çalışmış olan beş kişi tarafından üretilen bir programdır. 1972 yılında ilk etapta sadece bir müşteriye özel olarak işe başlamıştır. Bu yazılım kendisine, kullanıcıların isteğine göre verileri işleyeceği bir yazılım yapma vizyonunu benimsemiştir. Aynı yıl içerisinde Alman şubesi olarak gerçek zamanlı çalışan kart ve bordro sistemini geliştirmişlerdir.
SAP programı müşterilerine birçok yarar sağlamayı amaçlayan bileşenleri içerisinde barındırmaktadır.
Kurumsal kaynak planlaması olarak bilinen ERP başta olmak üzere tedarik zincir yönetimi olarak bilinen SCM, iş zekâsı olarak ifade edilen BI ve müşteri ilişkileri yönetiminde kullanılan CRM popüler SAP uygulamalarıdır.
SAP programı bulut sistemi üzerinden çalışmayı da desteklemektedir. Şirket adına yapılacak gelecek planlarında karma dağıtım ile bulut modelleri de yer alabilecektir.
SAP bilgisayar uygulamaları iki katmanlı ve üç katmanlı mimarilere yerleştirilebilir. Bu katmanlar; sunum katmanı, uygulama katmanı ve veri tabanı katmanıdır. Bu katmanlar verileri saklayabilir, müşteri işlemlerini yürütebilir ve sunum ile ara yüz işlemlerini görebilir durumdadır.
CRM – Customer Relationship Management
Açılımı Müşteri İlişkileri Yönetimi olan CRM, şirketlerin tüm müşteri etkileşimlerinin kaydedilmesi sonucu ortaya çıkan veriler sayesinde, şirketlerin ticari ilişkileri güçlendirmek ve karlılığı arttırmak için kullandıkları teknoloji, strateji ve uygulamaların bütünüdür.
CRM yazılımları, kuruluşlara, tüm müşteri etkileşimlerinin tek kaynakta kaydedildiği ve satış sürecinin takip edilebildiği bir platform sunarak; daha iyi iç iletişim, müşteri hizmeti ve daha iyi yönetilen satış organizasyonu sağlar. Müşteri adayları ile kurulan ilk temastan, satış sonrası hizmetlere kadar tüm satış aşamalarının kolay takip edilebilmesi için birçok özellik barındırır.
Şirket yöneticileri, CRM’i satış organizasyonunu yönetmek, satış performanslarını ölçümlemek ve süreçleri geliştirmek için kullanılırken; satış ekipleri CRM’i teklif hazırlamak, sipariş takip etmek, geçmiş satışlara erişmek ve tüm bilgileri kayıt altına almak ve diledikleri zaman bu bilgilere kısa sürede erişebilmek için kullanır.
CRM’de belli bir düzenle kaydedilen bilgiler, bir şirketin tüm çalışanlarının gerekli bilgilere ihtiyaç duydukları anda ulaşabilmelerini sağlar.
CRM kullanan bir şirketin müşterisi ofisi aradığında, telefonu yanıtlayan kişi müşteriyi tanımıyor olsa da hızlıca tüm kayıtlara ulaşarak hizmet vermeye devam edebilir, müşterinin yeni taleplerini ekip arkadaşlarının görebileceği şekilde CRM’e kaydedebilir.
Tüm ekibin müşterilerle nasıl iletişim kurulduğunu, hangi ürünleri satın aldıklarını, ne zaman satın aldıklarını ve daha fazlasını görebilmesi, şirketlerde iş birliğinin ve verimliliğin artması anlamına gelir.
ERP – Enterprise Resource Planning
Açılımı Kurumsal Kaynak Planlama olan ERP, işletmelerin kaynaklarını (insan kaynakları, fiziksel kaynaklar ve finansal kaynaklar) bir araya getirerek uçtan uca yönetilmesini ve verimli olarak kullanılmasını sağlamak ya da desteklemek için geliştirilmiş sistem ve yazılımların genel adıdır.
Klasik bir ERP yazılımı işlem yapabilmek için bilgisayarın çeşitli yazılım ve donanımlarını kullanır. ERP sistemleri temel olarak değişik verilerin saklanabildiği bütünleşik bir veri tabanı kullanırlar.
ERP sistemleri müşteri siparişlerinin müşteri temsilcileri tarafından alınıp yükleme yapılana kadar ve finansın gönderdiği fatura bilgileri gibi tüm verilerin toplandığı yerdir. Üretimin sürdürülmesi için plan yapma ihtiyacı ile doğan ERP her ne kadar planlama adı ile tarifenmiş olsa da esasen yapılan iş yönetmedir.
ERP projeleri hızlı ve büyük ölçekli faydalar sağlar. ERP ile ulaşılmak istenen temel hedef işletmenin verilerini bir araya getirerek karara dönüştürülebilecek sonuçlar elde etmektir.
ERP sistemleri iki veya daha fazla yazılımı bir araya getirerek bir yazılım halinde de sunulabilir. Bu gibi sistemlere ERP yazılım paketleri denir.
ERP işletmenin farklı iş tiplerini ve faaliyetlerini yönetmelerini sağlayan yazılım modüllerini tek bir veri tabanı altında toplayan bir yapıdır. Bir ERP yazılımı içinde genelde bağımsız olarak çalışan çeşitli uygulamalar bulunmaktadır.
Bunlar;
- Üretim Yönetimi
- Finans Yönetimi
- Malzeme Stok Yönetimi
- Satış Yönetimi
- Müşteri İlişkileri Yönetimi
- İnsan Kaynakları Yönetimi
- Bütçe Yönetimi
- Dış Ticaret Yönetimi
- Kalite Yönetimi
- Bakım Yönetimi
- Satış Sonrası Hizmetler
- İş Zekâsı
olarak özetlenebilir.
ERP yazılımları işletmenin tüm departmanlarını birbirine bağlayan bir yapıya doğru işletmeyi dönüştürürken, işletmede farklı yönlerden bakılan konu ve işler için departmanlar ve süreçler arası uyumun yakalanmasına destek sağlar. Böylece işletmenin sözlü iş şekilleri sayılara verilere ve raporlara dönüştürerek işletmeye ve yöneticilere objektif bir karar alma imkânı kazandırır.
Veri Sorumlusu ve Veri İşleyenin Müşterek Sorumluluğu vs. Ortak Veri Sorumlusu Kavramı
Kişisel Verilerin Korunması Mevzuatında yer alan sıfatlara güncel tarihli ilke kararı ile “ortak veri sorumlusu” kavramı da eklenmiştir. İlke kararında birden fazla araç kiralama firmasının tek bir sistem kullanarak kara liste uygulaması başlatmasının GDPR uygulamalarından aşina olunan “veri işleme amaç ve vasıtalarının birden fazla veri sorumlusu tarafından belirlenmesi” hususuna benzetildiğini ve ortak veri sorumlusunun Türk veri koruma mevzuatına katıldığı görülmektedir.
Girişte de bahsi geçirilen “karar alma faaliyeti” mevcut olmadığı sürece veri sorumluluğundan da ortak veri sorumluluğundan da bahsedilemeyecektir. İlgili yazılımlar yalnızca veri sorumlularının çizdiği sınırlar çerçevesinde ve yalnızca veri sorumlusunun kullanımına hizmet eder şekilde veri işleme faaliyeti gerçekleştirmektedir. Dolayısıyla ilgili yazılımlar bugünün şartlarıyla ancak veri işleyen sıfatına sahip olmaktadır.
Bu kapsamda yazılımların veri sorumlusunun çizdiği sınırların dışına çıkması halinde veri sorumlusu olarak nitelendirileceği ve ortak veri sorumlusu olarak müşterek sorumluluklarının olacağı yorumunu yapmak yanlış olmayacaktır.
Burada belirtmek gerekir ki, Kişisel Verilerin Korunması Hukuku anlamında veri işleyen ile veri sorumlusunun müşterek sorumluluğu, ortak veri sorumlusu sıfatını haiz olmadan da ilgili yazılımlardan kaynaklanan herhangi bir ihlal gerçekleşmesi halinde mümkün olabilecektir.
Veri işleyenin kontrol alanında gerçekleşen bir ihlal olması halinde veri sorumlusunun “alınabilecek her türlü önlemi” sağlamış olmasıyla sorumluluğundan kurtulabilmesi söz konusu olabilecek ve ilgili yazılımlarda güvenlik açığı bulunması halinde sorumlu olabilmeleri ve yaptırıma tabi tutulabilmeleri ihtimali gündeme gelebilecektir. Veri sorumlusunun veri işleyene karşı kullanabileceği rücu hakkı her zaman saklıdır.
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması gerekmektedir.
SONUÇ
İlgili yazılımların bugünün şartlarıyla veri işleyen sıfatıyla hareket ettiği yorumu yapılabilmekle birlikte güncel dinamikler değişmediği ve ilgili yazılımların veri sorumlusunun çizdiği sınırların dışına çıkarak veri sorumlusu gibi hareket etmediği halde, yukarıda izaha çalışılan yazılımların kullanıcısı olan veri sorumlularının Kurul’un yine birincil muhatabı olduğu bilinciyle hareket etmesi önem arz etmektedir.
İlgili yazılımlar vasıtasıyla gerçekleşen ihlaller söz konusu olduğunda veri sorumlularının alınabilecek her türlü teknik ve idari tedbiri alması aksi takdirde ihlalin kendisi tarafından gerçekleştirildiği şeklinde değerlendirmede bulunulacağı kuvvetle muhtemeldir.
Ancak veri sorumluları kendi nezdinde gerçekleşmeyen ihlaller söz konusu olduğunda genel hukuktan doğan rücu gibi haklarını veri işleyen sıfatıyla hareket eden ilgili yazılımlara karşı kullanabileceğini, ihlal gerçekleşmeden önce ise veri sorumlusu ve veri işleyen arasındaki ilişkiden doğan denetim ve talimat gibi yetkilerinin bulunduğunu unutmamalıdır.