⚠️ Yasal Uyarı: Bu yazı genel bilgilendirme amacıyla hazırlanmıştır. Hukuki tavsiye niteliği taşımaz. KVKK uyum süreçlerinizi yetkin bir hukuk danışmanıyla birlikte yürütmenizi öneririz.
ERP sisteminizi bulut tabanlı bir yazılımla entegre ettiğinizde, şirketinizin ve müşterilerinizin kişisel verileri şirket sınırlarının dışına çıkıyor. 6698 Sayılı KVKK bu süreci düzenliyor — ama pratikte nelere dikkat etmek gerektiği çoğu zaman belirsiz kalıyor.
Veri Sorumlusu mu, Veri İşleyen mi?
KVKK'nın temel kavramlarından birini netleştirelim. Müşteri ve çalışan kişisel verilerini toplayan, saklayan ve kullanan şirketiniz veri sorumlusudur. Sizin talimatlarınıza göre bu veriyi işleyen bir yazılım tedarikçisi ise veri işleyendir.
Bu ayrım kritik öneme sahip çünkü veri işleyenle aranızda yazılı bir sözleşme olması zorunludur. Bu sözleşmede verinin nasıl işleneceği, nerede saklanacağı ve ihlal durumunda ne yapılacağı açıkça yer almalıdır.
📋 Kontrol Edin: Tedarikçi Sözleşmesinde Olması Gerekenler
Bulut yazılım tedarikçinizle yapacağınız sözleşmeye şu maddelerin eklendiğinden emin olun: verinin işlenme amacı ve kapsamı, verilerin hangi ülkede saklandığı, alt veri işleyenler (varsa), ihlal bildirim süresi ve verinin silinmesine ilişkin prosedür.
Mimari Seçimin KVKK Etkisi
Kullandığınız yazılımın teknik mimarisi, KVKK yükümlülüklerinizi doğrudan etkiler. İki farklı yaklaşımın karşılaştırması:
Kobalt Suite'in yaklaşımı: Kobalt Köprüsü, kişisel verileri bulut sunucusunda saklamaz — yalnızca iletir ve bellekte tutar. Müşteri ERP verisi şirketin kendi sunucusunda, kendi kontrolünde kalır. Bu mimari seçim, KVKK kapsamındaki veri sorumluluğunun şirketinizde kalmasını sağlar ve veri yerleşimi (data residency) sorununu ortadan kaldırır.
ERP Entegrasyonunda Risk Taşıyan Veri Alanları
Her ERP verisi aynı risk düzeyinde değildir. Şu alanlar KVKK kapsamında kişisel veri sayılır ve özel dikkat gerektirir:
- TC kimlik numarası — birçok ERP'de cari kart alanında yer alır
- Adres, telefon, e-posta — müşteri ve tedarikçi kartlarında standart alan
- Vergi numarası — tüzel kişiler için kişisel veri sayılmaz, gerçek kişiler için sayılır
- Çalışan bilgileri — ERP'de bordro veya kullanıcı kaydı olarak saklananlar
Bulut yazılımınızın bu alanlara erişimi varsa, veri işleyen sıfatıyla aydınlatma yükümlülüğünüzün kapsamını buna göre belirlemeniz gerekir.
Log Politikası: Sessiz Risk
Yazılım entegrasyonlarının sıkça gözden kaçırdığı konu log dosyalarıdır. API çağrıları, hata kayıtları ve işlem logları kişisel veri içerebilir. TC numarası, telefon veya müşteri adı log dosyasına düşüyorsa bu veriler de KVKK kapsamında değerlendirilir.
Tedarikçinizden log politikası hakkında yazılı bilgi alın: loglar ne kadar süre saklanıyor, kişisel veri içeriyor mu ve nasıl anonimleştiriliyor?
Pratik Kontrol Listesi
- Bulut yazılım tedarikçinizle veri işleme sözleşmesi imzalandı mı?
- Müşteri aydınlatma metninizde bulut yazılım entegrasyonu belirtiliyor mu?
- Tedarikçinin veri merkezi Türkiye'de mi? Yurt dışındaysa açık rıza alındı mı?
- ERP'den aktarılan kişisel veri alanları belirlendi mi?
- Tedarikçinin log politikası incelendi mi?
- Veri ihlali durumunda 72 saat içinde KVKK Kurulu'na bildirim prosedürü var mı?
- Sözleşme sona erdiğinde verilerin silineceğine dair taahhüt alındı mı?
Sonuç: Mimari Seçim Uyumu Kolaylaştırır
KVKK uyumu teknik bir sorun değil, organizasyonel bir sorumluluktur. Ama doğru mimariyle çalışan bir yazılım, yükümlülüklerinizi önemli ölçüde azaltabilir. Kişisel veriyi bulutta depolamayan, yalnızca ileten bir ara katman kullanmak, veri sorumluluğunuzun şirketinizde kalmasını sağlar ve denetim süreçlerinde avantaj yaratır.
KVKK uyumlu entegrasyon nasıl çalışır?
Kobalt Suite'in teknik mimarisi ve veri akışı hakkında detaylı bilgi almak için demo seansı talep edin.
Demo Talep Et →