Sanayi şirketlerinde dijitalleşme; üretim, bakım, insan kaynakları, bordro, tedarik zinciri ve kalite süreçlerini hızlandırmakla birlikte, kişisel verilerin korunması bakımından yeni risk alanları da doğurmaktadır. Özellikle yabancı merkezli yazılımlar, bulut servisleri ve uzaktan destek mekanizmaları üzerinden yürütülen işlemler, şirketler tarafından her zaman “yurt dışına veri aktarımı” olarak fark edilmese de, KVKK kapsamında hukuki ve idari sorumluluk doğurabilecek sonuçlar yaratabilmektedir.
KVKK bakımından kritik nokta şudur: Kişisel verilerin Türkiye’deki sunucularda tutulması tek başına yeterli değildir. Yurt dışındaki bir merkez, grup şirketi, altyüklenici veya teknik destek ekibinin veriye erişebilmesi / erişim ihtimali yaratılması, somut olayın özelliklerine göre yurt dışına aktarım veya en azından yurt dışı bağlantılı işleme riskini gündeme getirebilir. Bu nedenle “veri Türkiye’de duruyor” yaklaşımı, tek başına uyum güvencesi sağlamaz.
1) Sanayi Şirketlerinde Yaygın Yabancı Yazılım Kullanım Alanları
Uygulamada sanayi işletmelerinde sık karşılaşılan yabancı yazılım ve platformlar şunlardır:
- ERP / üretim planlama ve raporlama sistemleri (ör. SAP ve benzeri kurumsal yazılımlar)
- Bulut tabanlı bordro ve insan kaynakları uygulamaları
- Uzaktan bakım / uzaktan erişim / teknik destek yazılımları
- Performans, vardiya, verimlilik, MES ve saha takip sistemleri
Bu sistemler çoğu zaman sadece üretim verisini değil; çalışanlara, ziyaretçilere, taşeron personele veya adaylara ilişkin kişisel verileri de işler.
2) Hangi Veriler “Yurt Dışına Aktarım” Riski Taşır?
Sanayi şirketlerinde yurt dışı bağlantılı yazılımlar aracılığıyla risk altına girebilen başlıca veri kategorileri şunlardır:
- Çalışan kimlik, özlük ve sicil bilgileri
- Vardiya çizelgeleri, çalışma saatleri, giriş-çıkış kayıtları
- Performans, verimlilik, disiplin ve değerlendirme kayıtları
- İş kazası kayıtları, sağlık raporları (özel nitelikli kişisel veri olabilen alanlar dahil)
- Kamera görüntüleri ve erişim kontrol sistemlerine ilişkin kayıtlar
Burada kritik olan, yalnızca verinin “nerede saklandığı” değil; aynı zamanda veriye kimlerin, hangi ülkeden, hangi rol ile erişebildiği ve sistemin mimarisinin yurt dışı aktarıma yol açıp açmadığıdır.
3) KVKK’ ya Göre Yurt Dışına Aktarım Ne Zaman Hukuka Uygun Olur?
KVKK’ nın 9. maddesi uyarınca yurt dışına kişisel veri aktarımı, kural olarak belirli şartlara bağlanmıştır. Özetle:
1. Ön şart: Aktarım için ayrıca KVKK m.5 / m.6 kapsamındaki bir işleme şartına dayanılmalıdır (ör. kanuni yükümlülük, sözleşmenin ifası, meşru menfaat vb. (somut olaya göre değerlendirilir).
2. Yeterlilik kararı varsa: Kişisel veriler, Kurul’un yeterli koruma olduğuna karar verdiği ülke/sektör/kuruluşa aktarılabilir.
3. Yeterlilik kararı yoksa: Uygun güvencelerden biri sağlanmalıdır. Bunlar arasında özellikle:
- Kurul’un ilan ettiği standart sözleşme (ve imzadan itibaren 5 iş günü içinde Kurum’a bildirim),
- Kurul iznine tabi taahhütname,
- Bağlayıcı şirket kuralları gibi mekanizmalar yer alır.
4. Uygun güvence de yoksa: Ancak arızi (istisnai) hallerde ve sınırlı koşullarla aktarım mümkün olabilir (ör. riskler hakkında bilgilendirilmiş açık rıza, sözleşmenin ifası için zorunluluk gibi).
Uygulamada sık yapılan hatalardan biri “Sözleşmede veri güvenliği maddesi var, o zaman aktarım serbesttir.” Düşüncesidir. Fakat; KVKK m.9 anlamında sözleşmesel gizlilik/veri güvenliği hükümleri tek başına aktarımı hukuka uygun hâle getirmez; aktarım mekanizmasının yeterlilik/uygun güvence/arızi istisna çerçevesinde kurulması gerekir.
4) Sanayi Şirketlerinin En Sık Yaptığı Uyum Hataları
Saha tecrübesinde en sık karşılaşılan risk alanları şöyledir:
- Yazılımın yurt dışı bağlantısının (bulut, log, destek, altyüklenici, ana şirket) göz ardı edilmesi
- Aydınlatma metinlerinde (KVKK m.10) “yurt dışına aktarım” bilgisinin soyut/genel bırakılması
- Açık rıza kullanılıyorsa, rızanın spesifik olmaması (aktarımı, alıcıyı/alıcı gruplarını, amaçları ve muhtemel riskleri açıklamaması)
- Teknik ve idari tedbirlerin (KVKK m.12) uygulanması kadar belgelendirilememesi (denetimde ispat zorluğu)
- “Veri Türkiye’de” varsayımıyla, fiilen var olan yurt dışı erişim kanallarının fark edilmemesi
Bu hatalar; KVKK m.18 uyarınca aydınlatma yükümlülüğü, veri güvenliği ve özellikle yeni dönemde standart sözleşme bildirim yükümlülüğü gibi alanlarda idari yaptırım riskini artırır.
5) Hukuka Uygunluk İçin Pratik ve Denetlenebilir Yol Haritası
Sanayi şirketleri için uygulanabilir uyum adımları şu şekilde kurgulanmalıdır:
A) Envanter ve veri akış haritası çıkarın
- Hangi sistem hangi veriyi işliyor?
- Veri hangi ortamlara gidiyor (bulut, yedek, log, raporlama)?
- Kim erişiyor (yurt içi/yurt dışı destek, grup şirketi, altyüklenici)?
B) Yurt dışı erişimi netleştirin
- Uzaktan bağlantı araçları, servis desk, ticketing, ekran paylaşımı, admin erişimleri dahil “erişim yollarını” tespit edin.
- Erişim varsa: bunun hangi ülkeye/kuruluşa fiilen kapı açtığını belirleyin.
C) Aktarım mekanizmasını doğru kurun (KVKK m.9)
- Yeterlilik kararı var mı kontrol edin.
- Yoksa uygun güvence kurgulayın:
- Çoğu pratik senaryoda standart sözleşme ve buna bağlı Kurum bildirim süreci öne çıkar.
- Grup şirketi aktarımında bağlayıcı şirket kuralları (onay süreçleri) gündeme gelebilir.
- Uygun güvence kurulamıyorsa, ancak istisnai/arızi hâllerle sınırlı değerlendirme yapılmalıdır.
D) Aydınlatma metinlerini ve iç politikaları güncelleyin (KVKK m.10)
- “Kimlere ve hangi amaçla aktarım” kısmında yurt dışı aktarımı açıkça yazın.
- İlgili kişinin hakları ve başvuru kanallarını güncel tutun.
E) Teknik ve idari tedbirleri hem uygulayın hem belgelendirin (KVKK m.12)
- Rol bazlı yetki, MFA, erişim logları, şifreleme, veri maskeleme, DLP, ayrıcalıklı hesap yönetimi
- Tedarikçi denetimleri, gizlilik taahhütleri, incident yönetimi, periyodik eğitimler
- Denetim çıktıları ve prosedürleri
Burada gerekli tedbir ve prosedürler “var” demek yeterli değildir, kanıtlamak önemlidir.
F) Sözleşmeleri “aktarım rejimine” göre revize edin
- Veri işleyen hükümleri, altyüklenici zinciri, denetim hakkı, olay bildirim süreleri
- Veri saklama/iadeye ilişkin hükümler
- Yurt dışı erişimin hangi koşullarda olacağı (uzaktan destek prosedürü) ve kayıt altına alınması
Sonuç
Sanayi şirketleri için dijitalleşme artık bir tercih değil, operasyonel bir zorunluluktur. Ancak dijitalleşme ile birlikte, özellikle yabancı yazılımlar aracılığıyla fark edilmeden yurt dışına kişisel veri aktarımı riski büyümektedir. Yazılım yabancı olabilir; fakat KVKK kapsamındaki hukuki sorumluluk yereldir. Bu nedenle şirketlerin; veri akışlarını görünür kılması, yurt dışı erişimleri tespit etmesi ve KVKK m.9’daki aktarım mekanizmalarını (yeterlilik/uygun güvence/istisna) doğru kurması, aydınlatma ve veri güvenliği yükümlülüklerini ise denetlenebilir şekilde yerine getirmesi gerekir.
AV.SELENAY FEYZA BIKMAZ TÜREN
&
STJ. AV. ZEYNEP YILDIZ