Bir üretim firmasının genel müdürü, geçen ay şöyle bir soruyla karşılaştı: Avrupa’daki bir müşterisi, tedarikçi sözleşmesine yeni bir madde eklemiş ve GDPR uyumluluğunu kanıtlayan belge istiyordu. Genel müdür konuyu BT müdürüne havale etti; BT müdürü ise konunun teknik bir sorun olmadığını, kurumsal bir karar gerektirdiğini söyledi. İşte bu kısa diyalog, Mayıs 2018’de yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) Türkiye’deki iş dünyasına verdiği en önemli mesajı özetliyor: veri koruma artık yalnızca teknik bir mesele değil, yönetim sorumluluğu.
GDPR, Avrupa Birliği’nde yerleşik bireylerin kişisel verilerini işleyen her kuruluşu kapsıyor; bu kuruluşun Türkiye’de mi yoksa Japonya’da mı faaliyet gösterdiği fark etmiyor. Tüzüğün getirdiği ceza rejimi son derece sert: yıllık küresel cironun yüzde dördüne veya 20 milyon Euro’ya kadar idari para cezası uygulanabiliyor. Bu rakamlar, veri korumayı BT bütçesinin bir kalemi olmaktan çıkarıp kurumsal risk yönetiminin merkezine taşıyor. Türkiye’de faaliyet gösteren ve Avrupa pazarına hizmet veren ya da AB vatandaşlarının verilerini işleyen şirketler için bu kapsam düşündüğünden çok daha geniş.
Türkiye’nin kendi veri koruma mevzuatı olan Kişisel Verilerin Korunması Kanunu (KVKK) zaten yürürlükte. Ancak GDPR, KVKK’nın ötesinde ek gereklilikler getiriyor: veri işleme faaliyetlerinin kayıt altına alınması, veri ihlali bildirim süreleri (72 saat), ‘unutulma hakkı’ talepleri, veri koruma etki değerlendirmeleri ve belirli durumlarda Veri Koruma Görevlisi (DPO) atanması bunların başında geliyor. Bir uyum programı tasarlarken KVKK’yı tamamladık diye GDPR gerekliliklerini atlamak, ciddi bir risk hesabı hatası.
Peki bu durum kurumsal yazılım ve ERP sistemleri açısından ne anlama geliyor? Çoğu şirkette müşteri, çalışan ve tedarikçi verileri ERP sisteminin kalbinde duruyor. Fatura kayıtları, personel bilgileri, sipariş geçmişi, kredi kartı referansları — bunların hepsi kişisel veri kapsamına girebiliyor. GDPR uyumu için önce hangi verinin nerede tutulduğunu, kim tarafından erişildiğini ve ne kadar süre saklandığını haritalamak gerekiyor. Buna ‘veri envanteri’ deniyor ve bu envanter olmadan uyum belgesi hazırlamak mümkün değil. ERP sisteminin bu envanteri destekleyecek yapıda kurgulanmış olması, hem teknik hem operasyonel bir gereklilik haline geliyor.
Siber güvenlik boyutunda ise tablo daha da somutlaşıyor. GDPR, ‘tasarım yoluyla veri koruma’ (privacy by design) ilkesini zorunlu kılıyor; yani güvenlik önlemleri sonradan eklenen bir katman değil, sistemin başından itibaren mimarisine işlenmiş olmalı. Erişim kontrolü, şifreleme, günlük kaydı (log yönetimi) ve ihlal tespit mekanizmaları artık isteğe bağlı değil. Bulut tabanlı ERP ve CRM çözümleri kullanan şirketler için bu, hizmet sağlayıcının da GDPR uyumlu olması gerektiği anlamına geliyor; sözleşmede ‘veri işleme anlaşması’ (Data Processing Agreement) bulunmaması tek başına bir ihlal gerekçesi sayılabiliyor.
Yöneticilerin sıklıkla göz ardı ettiği nokta şu: GDPR uyumu bir proje değil, süregelen bir süreç. Tek seferlik bir denetim raporu veya danışmanlık belgesi yeterli değil. Çalışanlara düzenli veri koruma eğitimi verilmesi, ihlal müdahale prosedürlerinin test edilmesi, tedarikçi sözleşmelerinin gözden geçirilmesi ve yazılım güncellemelerinin uyum perspektifinden değerlendirilmesi gerekiyor. Orta ölçekli bir şirket için bu sürecin yönetilmesi, çoğu zaman mevcut BT kadrosuyla karşılanamayacak bir kapasite gerektiriyor. Bu noktada dış danışmanlık veya yarı zamanlı DPO modeli devreye giriyor.
Karar vericilere yönelik somut öneri şu: GDPR uyum sürecini başlatmak için önce üç soruya yanıt arayın. Birincisi, şirketiniz AB vatandaşlarının verilerini işliyor mu — doğrudan ya da tedarik zinciri üzerinden? İkincisi, mevcut ERP ve CRM sistemlerinizde kişisel veri nerede tutuluyor ve bu veriye kimin erişimi var? Üçüncüsü, bir veri ihlali yaşandığında 72 saat içinde yetkili otoriteye bildirim yapabilecek bir süreciniz var mı? Bu üç soruya net yanıt veremiyorsanız, uyum boşluğunuz teknik değil yönetimsel. GDPR’ın getirdiği en köklü değişim de tam olarak bu: veri koruma, artık yönetim kurulu gündeminin ilk sayfasında yer almak zorunda.