A. SAP NEDİR?
System Analysis and Program Development (“SAP”) birçok kişinin günlük sıklıkla duyduğu bir iş yazılım sağlayıcıdır. Merkezi Almanya’da bulunan şirket, hâlihazırda Avrupa’nın en büyük yazılım şirketi olup 1972 yılında 5 eski IBM çalışanı tarafından kurulmuştur. Günümüzde 120 ülkede aktif olarak faaliyet gösteren SAP, Türkiye’de de birçok kurumsal şirketin çözüm ortaklığını yapmakta ve bu konuda hizmet vermektedir. Özellikle şirketlerin bilgi işlem birimleri ile entegre bir şekilde çalışan SAP sağladığı iş yazılım entegre süreçleri ile birçok şirketin tercih edilme sebebidir.
SAP temel anlamda çözüm geliştireceği şirketin temel yapısı ile ana faaliyet konusunu baz alarak buna ilişkin çözüm yani yazılım üretmektedir. Bu anlamda SAP’nin faaliyet alanı oldukça geniş olup örneğin B2B (Business to Business) veya B2C (Business to Consumer) satış yapan bir şirketin bu satışlarına ilişkin; satılan ürün sayısı, ürünlerin stok takibi, üretim veya satış zincirinde çalışan personel takip süreçlerini bilgisayar ortamına dökerek bu süreçlerin tek bir altyapıda kontrollü bir şekilde ilerlemesini sağlamaktadır. Günümüzde de en çok tercih edilen SAP modülleri; İş Zekası (BI), Tedarik Zincir Yönetimi (SCM) ve Müşteri İlişkileri Yönetimi (CRM) modülleridir.
Yukarıda da bahsedildiği üzere SAP modülleri, temelde veri işleme amacı için kullanılmaktadır. Özellikli tercih edilen modülün ana faaliyet konusunun gerçek kişilere ilişkin tanımlanabilir veri olması durumunda, ilgili süreçte kişisel verilerin işlenmesi söz konusu olabilmektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca ilgili süreçlerin Kanuna uyumlu bir şekilde ilerlemesi büyük önem arz etmektedir. Süreçler esnasında karşımıza çıkabilecek başlıca konular şu şekildedir;
B.Temel İlkeler Uyarınca Veri İşleme
SAP’nin şirketlerin iş süreçlerine göre geliştirmiş olduğu modül ekranları, ilgili kişinin kişisel verisinin işlendiği süreçlerin temelini oluşturmaktadır. Buna göre örneğin, personel müdürlüğü ve bordrolama biriminin şirket bünyesinde çalışmaya başlayan bir personelin özlük bilgilerini SAP tarafından alt yapısı oluşturulan bir ekrana girilmesi, kişisel veri işleme faaliyetini oluşturmaktadır. Verilerin bu şekilde işlenmesi ile ilgili dikkat edilmesi gereken birkaç hususu bulunmaktadır.
Öncelikle veri işleme faaliyetinin genel veri işleme ilke ve prensiplerine uygun olması gerekmektedir. Buna göre Kanun’un 4. Maddesinde detaylı bir şekilde düzenlenen genel ilkeler ışığında, ilgili ekranlara girilecek olan kişisel verilerin öncelikle ilgili modülün amacına bağlı olarak sınırlı ve ölçülü olması gerekmektedir. Daha açık bir ifade ile ekranlara girilen kişisel veri kategorilerinin dikkatli bir şekilde seçilmesi gerekmekte ve süreç açısından yalnızca gerekli olan verilerin ekrana girilmesi gerekmektedir. Somutlaştırmak gerekirse, özlük bilgileri ekranına kişisel verisi işlenen bir çalışan ile ilgili olarak ilgili modülde “eşinin çalıştığı kurum unvanı” şeklinde bir veri kategorisi açmak, bu sınırın aşılmasına sebebiyet vermektedir. Bilindiği üzere çalışan nezdinde sahip olunan Asgari Geçim İndirimi kapsamında personelin eşinin iş durumuna ilişkin verinin işlenmesinin temel bir dayanağı her ne kadar mevcut ise de eşin çalıştığı kurum bilgisinin işlenmesinin bu aşamada bir önemi ve daha önemlisi gereği bulunmamaktadır.
Bu anlamda dikkat edilmesi gereken bir diğer husus, aynı ekranlara hem genel nitelikli hem de özel nitelikli kişisel verilerin alelade girilmemesi gerektiğidir. Özellikle farklı işleme ve koruma süreçlerine tabi olan özel nitelikli kişisel verilerin genel nitelikli kişisel veriler ile aynı ekranlara girilmesi bu anlamda Kanunu’na aykırılık teşkil edebilecektir. Yine somutlaştırmamız gerekirse; mavi yaka personelin özlük bilgilerinin girildiği modül ekranına aynı zamanda bu personele ilişkin; sağlık raporu, periyodik sağlık taraması sonuçları, akciğer film sonuçları gibi sağlık verilerinin girilmesi ve bu ekranın genel nitelikteki özlük verileri ile aynı erişim ve korumaya tabi olması aykırılığa sebebiyet verecektir.
Son olarak madde 4 uyarınca modül ekranlarına girilen kişisel verilerin doğru ve güncel olması ve işlendiği amaç ile makul bir süre açısından sistemde tutulması da dikkat edilmesi gereken bir diğer husustur. Genel anlamda şunu da ifade etmekte fayda var; Kanun uyarınca işlenmesi açık rızaya bağlı veri işleme faaliyetlerinde SAP açık rızaya entegre veri işleme modülü geliştirerek ilgili süreç açısından yalnızca açık rıza veren ilgili kişinin kişisel verisini sisteme kaydetmektedir. Bu şekilde mevcut süreçlerin doğru bir şekilde ilerlemesi için, süreçler açısından açık rıza şartının doğru tahlil edilmesi oldukça önemlidir. Kısaca toparlamak gerekirse, SAP ekranlarına ilişkin Kanun açısından öncelikli değerlendirme yaparken;
– Modül ekranlarında yer alan kişisel veri kategorilerini, ilgili modül süreci kapsamında Kanun’un 4. Maddesi uyarınca analiz etmek,
– Özeli nitelikli kişisel veri ve genel nitelikli kişisel veri ayrımını dikkatli bir şekilde yaparak buna ilişkin ekranları revize etmek,
– Ekranlarda yer alan kişisel verilere ilişkin erişim ve yetki matrisine yönelik çalışmalara başlatmak,
– Kanun kapsamında açık rızaya tabi veya ticari elektronik ileti onayına ilişkin süreçler açısından dikkatli bir ayrıma gitmek
başlıca alınabilecek önlemlerin başında gelmektedir.
C.Kişisel Verilerin Aktarılması
SAP süreçleri açısından tartışmalı hususların başında, şirket nezdinde halihazırda işlenmiş ve işlenecek olan kişisel verilerin aktarımına konu süreçlerin düzenlenmesidir. Bu noktada farklı senaryolar karşımza çıkabilir;
a. Şirketin Kendi Sunucunda Verileri Tutması
Bir takım şirketler, Türkiye’de bulunan merkezlerinde server odaları kurarak kendi veri merkezlerini oluşturmakta ve şirket kapsamında işlenen bütün kişisel verileri bu serverda tutmaktadır. İşte SAP süreçleri içerisinde işlenen kişisel verileri bu şekilde kendi server merkezinde tutan şirketler açısından, veri işleme süreçlerine özgü diğer aktarım ihtimalleri saklı kalmak kaydı ile herhangi bir veri aktarımı söz konusu olmamaktadır. Bu nedenle SAP süreçlerinin değerlendirilmesi noktasında veri aktarımına ilişkin Kanun’un öngördüğü yükümlülükler konu dışı kalmaktadır.
b. Verilerin Yurt Dışına Aktarılması
Yukarıda da belirtildiği üzere SAP’nin merkezi Almanya’da bulunmaktadır. Şirketin yapmış olduğu çalışmalar neticesinde SAP süreçlerinde işlenen verilerin SAP’nin merkezine yani Almanya’ya aktarılması veya şirketin yurt dışında server kiralayarak bu verileri yurt dışına aktarım sürecine gitmesi Kanun’un 9. Maddesini gündeme getirmektedir. Bilindiği üzere Kanun uyarınca temel kural, ilgili kişinin açık rızası olmaksızın kişisel verisinin yurt dışına aktarılamadığıdır. Ancak özellikle SAP sürecine geçiş öncesi şirket nezdinde hâlihazırda işlenmiş olan kişisel veriler ile ilgili olarak ilgili kişilerden açık rıza alınması pratik olarak mümkün olmadığından açık rıza mekanizması genellikle SAP süreci sonrası verisi işlenen ilgili kişilerden bu rızanın alınmasıdır. Ancak açık rıza mekanizması şirketlerin veri işleme süreçleri açısından pratik anlamda sürdürülebilir olmadığından ve ilgili kişinin inisiyatifi doğrultusunda şekil aldığından açık rıza gerekmeksin bir çözüm yolu şirketleri rahatlatacaktır. Bu noktada Kanun, yurtdışına aktarıma konu maddenin devamında açık rıza gerektirmeyen bir çözüm mekanizması kurmuştur; güvenli ülke ve ya taahhütname. Kanun uyarınca Kişisel Verileri Koruma Kurumu’nun (“Kurum”) güvenli ülke- yani kişisel verilerin korunması anlamında yeterli korumanın bulunduğu ülke- olarak nitelendirdiği ülkelere aktarımın söz konusu olması durumunda ilgili kişinin açık rızasına gerek olmaksızın söz konusu güvenli ülkeye aktarımın mümkün olduğunu belirtmiştir. Ancak Şubat 2020 itibari ile Kurum nezdinde güvenli ülkelere ilişkin bir liste yayımlanmadığından şuan için Kanun’da düzenlenen ilgili hükmün herhangi bir işlevselliği bulunmamaktadır. SAP’ye yapılacak olan aktarımlarda da Almanya bu listede yer lmamaktadır. Peki açık rıza yüküne katlanmak istemeyen şirketlerin bu noktada uygulayabileceği çözüm nedir?
Kanun güvenli ülke olarak nitelendirmediği ülkelere (günümüzde güvenli ülkelerin listesi açıklanmadığından bütün ülkeler bu sınıfta değerlendirilmelidir) aktarım için taahhütname mekanizması ön görmektedir. Buna göre bu ülkelere yapılacak olan aktarımlarda, ülkede bulunan ve sözleşme ilişkisi içerisinde bulunan veri sorumlusu/ veri işleyen ile yapılacak bir taahhütnamenin Kurum’a ibraz edilmesi ve Kurum’un bu taahhütname ile ilgili ülkeyi değerlendirerek yeterli korumanın mevcut olduğuna karar vermesi durumunda açık rıza olmaksızın aktarım yapılabilir.
İşbu süreç, gerek SAP başta olmak üzere yurt dışında bulunan veri sorumlusu/veri işleyenin Kurum nezdinde taahhütname akdederek kendini ekstra bağlayıcı kılmaktan kaçınması gerek de sözleşme süreçlerinin Kanun’un öngördüğü taahhütname sürecine uyumlu olmaması nedeniyle mevcut durumda çok uygulanabilir bulunmamaktadır. Bu nedenle ilgili mekanizma da şuan için uygulanabilir bulunmadığından Kurum’un süreç ve özellikle güvenli ülkeler nezdinde biraz daha açıklama yapması beklenmektedir. Bu husus özellikle SAP projesi geliştirerek verilerini yurt dışına aktaran şirket için büyük önem arz etmektedir.
Sonuç olarak; günümüz iş modellerinde SAP birçok şirketin öncelikli olarak başvurduğu çözüm süreçlerinin başında yer almaktadır. Ancak bu iş modellerinin inşa edilmesi esnasında ana faaliyet konusunun kişisel verilerin işlenmesini oluşturduğu göz önünde bulundurulduğunda, yukarıda da genel anlamda bahsi geçen kişisel veri işleme ilkeleri, kişisel veri işleme şartları, kişisel veri aktarımı ve kişisel veri güvenliği konusunda gerekli adımların tamamlanarak modüllerin uygulamaya konması oldukça önemlidir.