KVKK ile İlgili Süreçleri Etkili Bir Şekilde Yönetmenin Yolu

Okan Yıldırım
MBIS İş Geliştirme Uzmanı

Kişisel verilerin toplanması, kullanımı ve depolanması konusunda yaşanan büyük değişimler, dijital dönüşümün doğrudan bir sonucu olarak karşımıza çıkıyor. Sayısı her geçen gün artan dijital araçların iş süreçlerine entegrasyonu, kurumların pazarlama ve satış faaliyetlerinde kişisel verileri daha etkin kullanmalarının önünü açtı. Fakat her gün değişen kullanıcı ve/veya işletme pratikleri ve isterleri iş dünyasını yeniden şekillendiriyor. Bununla birlikte kurumların kişisel verileri kullanma biçimleri de değişiyor. Zira kişisel verilerin işlenmesinde kullanım düzeyi ve platform sayısının artması, veri gizliliği sorunlarını da artırdı. Bu da satış ve pazarlama faaliyetlerinde kişisel verilerin işlenmesi konusunda özel düzenlemeleri beraberinde getirdi. Bu düzenlemeler, kişisel verileri güvence altına almak ve kişisel verileri belirli kural ve prosedürler çerçevesinde kullanılması anlamına geliyor. 

Türkiye’de 2016 yılında yürürlüğe giren ve bu düzenlemelerin başında gelen Kişisel Verileri Koruma Kanunu (KVKK) ile işletmelerin kişisel verilere bakışı ve yönetim anlayışında büyük değişimler meydana gelmiştir. Yönetmelik, kuruluşların yetkilerini aşarak herhangi bir kötüye kullanımı önlemek için kişisel verilerin nasıl toplanabileceğini, saklanabileceğini ve işlenebileceğini belirten bir çerçeve oluşturmuştur. KVKK, ortaya koyduğu yönetmelik ile kuruluşlara dijital dünyada kullanımı her geçen gün artan kişisel verilerin gizliliğinin ve güvenliğinin nasıl sağlanacağını gösteren yönergeyi sunmaktadır. 

KVKK yükümlülüklerine uyum sağlamak, yasanın kişisel verilerin işlenmesine ilişkin göstergeleri düşünüldüğünde birçok kurum için zor olabilir. KVKK uyarınca gerekli koşulan aktivitelerin bireylerce yönetimi ve takibi, kullanılan kişisel veri sayısı ve niteliği dikkate alındığında kişisel verilerin işlenmesine yönelik yönetmeliğin genel kapsamını hatırlamak için kanunun 3. maddesini göz atmamız faydalı olacaktır:

“Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.”

Yine KVKK’nın 3. maddesinde, kişisel verilerin kullanımına ilişkin bir diğer önemli husus olan Açık Rıza ise “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Buna göre kanunun;

  • 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin Açık Rızası olmaksızın işlenemez”,
  • 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin Açık Rızası olmaksızın işlenmesi yasaktır”,
  • 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin Açık Rızası olmaksızın aktarılamaz”,
  • 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin Açık Rızası olmaksızın yurt dışına aktarılamaz.”

KVKK düzenlemeleri, gizliliği her iş sürecinin merkezine koyar ve herhangi bir ihlal, hiçbir bir muafiyet olmaksızın yüksek cezalara tabidir. Bu yasal yaptırımlar arasında hapis ve para cezaları da bulunuyor. KVKK’a göre, kurumlar kişisel verileri kullanma şekillerinde yasal uygunluğu sağlamak zorunda ve bunun anahtarı her durumda veri sahibinin rızasına dayanıyor. 

Böylelikle, KVKK, şeffaf ve güvenilir politikalara sahip olarak kuruluşları, Açık Rıza toplama, aydınlatma metinleri gönderme, bireylerden gelen talepleri karşılama ve kişisel veri işleme envanterini yönetme gibi kişisel veri yönetim süreçlerinin kalitesini artırmaya teşvik etmektedir. Bu durum, kuruluşları, tüm bu cezai yaptırımlardan uzak tutmak için kişisel veri yönetim süreçlerini etkin bir biçimde yürütmek için doğru teknoloji çözümlerini seçmeye yöneltmektedir.

Yukarıda bahsedilen yasa ve yönetmelikler kurumlar için iki temel soruyu gündeme getiriyor: KVKK ile ilgili süreçler nasıl etkili bir şekilde yönetilebilir? Yasal uyumluluğu sağlamak için bütünsel bir çözüm var mı?

Bu yazıda sizlere MBIS’in ERP bağımsız yazılım çözümü privao’yu sunuyoruz. privao, yukarıda bahsedilen sorular ışığında KVKK süreçlerinin etkili bir şekilde yönetimini sağlamak için bütünsel bir çözüm sağlıyor.

İçindekiler:

MBIS privao?

privao, kişisel veri işleme amaçlarına göre otomatik Açık Rıza metinleri oluşturulması, kurum çalışanları ve 3. şahıslardan e-posta yoluyla veya sistem entegrasyonu aracılığıyla Açık Rıza alınması, kişisel verilerin otomatik oluşturulan Dijital Formlar aracılığıyla toplanması ve Aydınlatma Yükümlülüğü, Bilgi Talebi Yerine Getirilmesi vb. KVKK süreçlerin yönetilmesini sağlayarak kurumların KVKK düzenlemelerine uyum sağlamasına yardımcı olmak için MBIS Ar-Ge merkezi tarafından özel olarak tasarlanmış ve geliştirilmiş, mobil uyumlu, ERP’den bağımsız bir web uygulamasıdır. 

privao, güçlü entegrasyon işlevleri sayesinde size özgürlük, ölçeklenebilirlik ve veri erişimi için esneklik sağlayarak web servislerini destekleyen herhangi bir sisteme entegre edilebilir. Ayrıca on-premise (şirket içi) sistemlerde veya bulut üzerinden kullanılabilir.

privao’nun Temel İşlevleri

E-posta yoluyla Açık Rıza alma

Açık Rıza’nın basılı belge ve imzalarla alınmasına gerek yoktur; e-posta, veri denetleyicisi kanıtlama yükümlülüğünü yerine getirdiği sürece, Açık Rıza almak için meşru bir seçenektir. Meşru bir Açık Rıza’nın 3 üç unsuru olmalıdır:

  • Belirli bir konuya ilişkin olması
  • Rızanın bilgilendirmeye dayanması
  • Özgür iradeyle açıklanması.

privao, Kişisel Veri İşleme Envanteri’ndeki amaçlara göre Açık Rıza metinlerinin otomatik olarak oluşturulmasını sağlar. Bu amaçlar; çalışanların ve üçüncü tarafların Açık Rızalarını e-posta yoluyla toplamak, saklamak, raporlamak ve yönetmektir.

privao, e-posta yoluyla nasıl Açık Rıza alır?

1. Kişisel Veri İşleme Envanteri (PDPI), veri işleme amaçlarına uygun olarak privao’da oluşturulur.

2. Açık Rıza almak için kişilerin iletişim bilgileri bir Excel’den veya diğer veri dosyalarından aktarılır, entegrasyon yoluyla veri kaynaklarından otomatik olarak alınır veya manuel olarak girilir.

3. privao, Kişisel Veri İşleme Envanteri’ndeki bilgileri kullanarak Açık Rıza gerektiren kişisel verileri tanımlar ve onlar için otomatik olarak Açık Rıza metinleri oluşturur.

4. privao, e-posta yoluyla ilgili kişilere açık onay metni gönderir.

5. Kişiler, e-postadaki düğmeleri kullanarak açık izinleri verir veya reddeder.

6. privao, belirli bir süre yanıt vermeyen kişilere e-posta yoluyla bir hatırlatıcı gönderir ve yanıtları veri tabanına kaydeder.

7. Kabul edilen veya reddedilen açık onaylar privao’nun panosu aracılığıyla izlenir ve buna göre gerekli işlemler yapılır.

Kişisel verilerin dijital formlarla alınması

privao, kişisel verilerin otomatik olarak oluşturulan dijital formlar aracılığıyla toplanmasına (örneğin; resepsiyonlardaki ziyaretçiler, iş adayları, dijital veya fiziksel etkinliklere katılanlar için) ve toplanan kişisel verileri meşru bir şekilde işleyebilmek için e-posta veya SMS yoluyla Açık Rızaların alınmasına imkan sağlar.

privao, dijital formlarla kişisel verileri nasıl toplar ve açık onay alır?
  1. Kişisel Veri İşleme Envanteri (PDPI), veri işleme amaçlarına uygun olarak privao’da oluşturulur.
  2. privao’da, Kişisel Veri Toplama Formları kodlama olmadan şablonlar kullanılarak tasarlanır.
  3. Bu formlar resepsiyon veya güvenlik personeli tarafından doldurulur ve gerekli kişisel veriler alınır. Veya kişisel veriler, fiziksel veya sanal etkinliklerden (web seminerleri, toplantılar vb.) önce dijital formlar doldurularak toplanır. Veya dijital formlar şirketlerin web sitelerine veya portallarına entegre edilir ve kişisel veriler ilgili kişiler tarafından girilir.
  4. privao, dijital formlar aracılığıyla toplanan kişisel veriler için kişilere bir e-posta veya SMS göndererek açık onay ister. Kişiler, e-postadaki düğmeleri kullanarak veya SMS ile gönderilen doğrulama kodlarını kullanarak Açık Rıza’yı verir veya reddeder.
  5. privao, kişisel verileri e-posta ve SMS yanıtlarıyla birlikte veri tabanına kaydeder.
  6. Kabul edilen veya reddedilen açık onaylar privao’nun panosu aracılığıyla izlenir ve gerekli işlemler yapılır.

Kişilerin kendi Açık Rızalarını yönetebilmesi

İlgili kişiler, bilgisayar veya mobil cihazları ile Açık Rızalarını tek bir noktadan görüntüleyebilir ve yönetebilir, yeni rıza verebilir, var olan rızalarını geri çekebilir, kendilerine gönderilen aydınlatma metinlerini takip edebilirler.

Kişisel Veri İşleme Envanteri (PDPI)

privao, KVKK tarafından belirlenen kurallara uygun olarak Kişisel Veri İşleme Envanteri’nin oluşturulmasına ve yaşayan bir doküman olarak yönetilmesine, özet ve detay bazda raporlanmasına imkan sunar.

Aydınlatma yükümlülüğü

privao, en son KVKK yönergelerine göre otomatik olarak oluşturulan Aydınlatma Metinlerinin gönderilmesine, kaydedilmesine, izlenmesine, yönetilmesine ve raporlanmasına olanak tanır.

Bilgi taleplerinin yönetimi

privao, ilgili kişi veya resmi kurumlardan gelen bilgi ve diğer taleplerin sisteme girilmesini, girilen talep için ilgili sorumlunun bilgilendirilmesini, onay sürecinin işletilip gerekli bilgi ve raporların alınmasını ve takibinin yapılmasını sağlar.

Görev yönetimi

Kişisel verileri korumak amacıyla privao, KVKK ile ilgili görevleri otomatik olarak veya talep üzerine oluşturabilir, sorumlu çalışanlara atayabilir ve bu görevlerin izlenmesine, yönetilmesine, kapatılmasına ve raporlanmasına yardımcı olur.

Veri ihlali yönetimi

İhlal Yönetimi, kişisel verilerin tutulduğu alanlarda her türlü suistimal riskinin değerlendirilmesini ve etki kapsamını, önlemlerini, veri konusunu ve yasal bildirimi kapsayan etki analizi ve sonuçlarını yönetip raporlamayı sağlayan özel bir modüldür. Analiz, bir ihbar veya şüpheyle başlar ve çözüm tamamlanana kadar devam eder. privao veri tabanında bulunan İlgili Kişi için bildirimler mümkünken harici İlgili Kişiler için bildirimler privao’da kaydedilebilir.

İhlal Dosyası tamamen çözülene kadar yasal raporlar sistem üzerinden hazırlanıp güncellenebilir. İhlal Yönetimi, yasal uyum için ideal bir yapı sağlar ve herhangi bir ihlalin önlenmesine, yönetilmesine ve takip edilmesine olanak tanır.

Veri Koruma Etki Değerlendirmesi

Veri Koruma Etki Değerlendirmesi sayesinde privao, yeni kişisel verilerin analizinin yapılmasını sağlar ve olası ihlal durumları değerlendirilerek kişilere ve kurumlara gerekli bildirimler.sağlar ve aşağıda belirtilen aktiviteler için gereklidir:

  1. Kişisel yönlerin sistematik ve kapsamlı değerlendirilmesi
  2. Büyük ölçekli özel veri kategorileri üzerinde işleme
  3. Halka açık bir alanın sistematik olarak izlenmesi. 

E-posta eklentisi ile güvenli dosya aktarımı

privao, dosya aktarım sürecinin çerçevesini belirli koşullar ve kurallara göre tanımlamayı sağlar. Aktarım, e-posta yoluyla gönderilen güvenli bir privao bağlantısı aracılığıyla yalnızca yetkili kişilerce sağlanır. Tüm veri erişim talepleri kaydedilir ve son kullanma tarihi geldiğinde dosya otomatik olarak privao’dan kaldırılır.

privao’nun Teknik Özellikleri

MBIS’in privao çözümü, geniş entegrasyon özelliğiyle ihtiyaçlarınıza göre uyarlanabilir ve mobil kullanımla yönetilebilir. Böylelikle size ihtiyaç duyduğunuz esnekliği sağlar ve kişisel verileri kullanmak için sizinle verilerini paylaşan kişilerden kolayca izin alır.

privao’nun teknik özelliklerini şu şekilde sıralayabiliriz:

  • privao, gelişmiş entegrasyon yapısı sayesinde kurumsal web siteleri, portallar ve açılış web sayfaları ile bağlantılı çalışabilen bir çözümdür.
  • privao, yerel bir mobil uygulamaya ihtiyaç duymadan mobil cihazlarda kullanıma uygun “duyarlı” bir yazılım çözümüdür.
  • privao, SAP dahil herhangi bir ERP’ye yüklenmesi veya entegre edilmesi gerekmeyen bir web uygulamasıdır.
  • privao, şirketin özel ihtiyaçlarına ve değişen düzenlemelere göre kolayca özelleştirilebilir, uyarlanabilir ve geliştirilebilir. SAP dahil herhangi bir ERP’ye yüklenmesi veya entegre edilmesi gerekmeyen bir web uygulamasıdır. privao, bakım maliyetini ortadan kaldıran ve harici kişilerin platforma bağlanmasını sağlayan bulut ortamında çalışabilir. Şirket içi sistemlerde de, standart özellikler sunar.
  • privao, birden fazla iştiraki olan kuruluşların (holdingler gibi) süreçlerini tek platform aracılığıyla ve aynı kullanıcılar tarafından yönetilmesini sağlar.
  • privao, duruma göre (gönderilen, kabul edildi, reddedildi, beklemede, tamamlandı vb.) Açık Rıza metinlerinin ve görevlerin izlenmesini sağlayan gösterge panosu ekranlarına sahiptir.
  • privao, zamandan ve maliyetten tasarruf ederek ve riskleri en aza indirerek yasal düzenlemelerin gereksinimlerini karşılayan kullanıma hazır ana veriler, süreç tasarımları ve özelleştirmeler sağlar.
  • privao, SAP sistemleri içindeki tüm KVKK süreçlerini merkezi olarak yöneten ve düzenleyen SAP PDP (Kişisel Veri Koruyucu) yazılımıyla doğal bir entegrasyona sahiptir.

Neden privao?

  • privao’nun teknik özelliklerini yukarıda ayrıntılı olarak inceledik. Şimdi de size sağladığı avantajlara bir göz atalım:
  • Birden fazla sistemden manuel olarak Açık Rıza alınması, işlenmesi, saklanması, raporlanması, takibi ve yönetilmesi karmaşık ve zahmetli olduğu kadar merkezi bir noktadan yönetilmesi de bir o kadar zor olabilir. privao, bu zorlukların kolaylıkla üstesinden gelmenizi sağlar.
  • privao ile, MBIS’in çeşitli sektörlerden KVKK konusunda edindiği deneyim ve bilgi birikiminden yararlanma fırsatına sahip olacak ve proje uygulaması sırasında değerli rehberlik alacaksınız.
  • privao, aynı alanda sunulan çözümlerle kıyaslandığında, çok daha kısa zamanda devreye alınabilecek ve fonksiyonları ve teknik özelliklerinden yararlanmaya çok kısa süre başlanabilecek bir uygulamadır.
  • Belirli kişisel veri işleme süreçleri için Açık Rıza alınmaması, ciddi idari para cezalarına neden olabilir. privao ile işletmenizi bu yaptırımlardan koruyabilir ve KVKK uyumluluğunu güvence altına alabilirsiniz.
    Kişilerin KVKK haklarını Açık Rızaları verme veya geri çekme, aydınlatma metinlerine erişme ve bilgi talep etme gibi kendilerinin kontrol etmesine ve yönetmesine izin vererek, hem iş yükünüzü azaltabilir hem de müşterilerinizin gözünde prestijinizi artırabilirsiniz.
  • privao’nun regülatif düzenlemelerin gerekliliklerini karşılayacak ana veriler, süreçler ve uyarlamaları beraberinde getirmesi sayesinde manuel hatalar, gecikmeler, unutma ve atlamalar dolayısıyla oluşabilecek riskleri en düşük seviyeye indirebilirsiniz.

privao ile KVKK ile İlgili Süreçlerinizi Etkili Bir Şekilde Yönetin

MBIS privao ile Açık Rızaları toplayın, kişisel veri işleme envanterinizi oluşturun ve KVKK ile ilgili süreçleri etkin bir şekilde yönetin.Daha fazla bilgi almak için bizimle iletişime geçin ve KVKK süreçlerinizi etkili bir şekilde yönetmenizi sağlayacak MBIS çözümünden yararlanmaya hemen başlayın.

Durmuş Volkan Özay & Görkem Özkan
AR-GE Mühendisi

İş Gücünün Geleceği: Robotik Süreç Otomasyonu

İçindekiler: RPA Nasıl Çalışır? RPA Nedir, Ne Değildir? Geçmişten Bugüne RPA. RPA ile Ne Tarz İş Süreçleri Otomatikleştirilebilir?...

Devamını Oku
Barış Güneş
Çözüm Satış Yöneticisi

Tedarikçi Yönetiminin Dijital Ortama Taşınması Şirketlere Neler Kazandırıyor?

Dijital dönüşümle birlikte iş dünyasındaki geleneksel çalışma biçimlerinin hızla dönüştüğüne şahit oluyoruz. Geçtiğimiz yıl...

Devamını Oku
Nazlı Savaş
Kurumsal İletişim ve Pazarlama Uzmanı

RISE with SAP – İşletmelerde Dijital Dönüşümün En Akıllı Yolu

Dijital dönüşüm, artık hayatımızın her alanına entegre olmuş durumda. Üstelik her gün gelişen teknolojiyle birlikte, dijital dünyanın...

Devamını Oku

Daha fazla bilgi için lütfen bizimle iletişime geçiniz