Sanayi şirketlerinde dijitalleşme; üretim, bakım, insan kaynakları, bordro, tedarik zinciri ve kalite süreçlerini hızlandırmakla birlikte, kişisel verilerin korunması bakımından yeni risk alanları da doğurmaktadır. Özellikle yabancı merkezli yazılımlar, bulut servisleri ve uzaktan destek mekanizmaları üzerinden yürütülen işlemler, şirketler tarafından her zaman “yurt dışına veri aktarımı” olarak fark edilmese de, KVKK kapsamında hukuki ve idari sorumluluk doğurabilecek sonuçlar yaratabilmektedir.

KVKK bakımından kritik nokta şudur: Kişisel verilerin Türkiye’deki sunucularda tutulması tek başına yeterli değildir. Yurt dışındaki bir merkez, grup şirketi, altyüklenici veya teknik destek ekibinin veriye erişebilmesi / erişim ihtimali yaratılması, somut olayın özelliklerine göre yurt dışına aktarım veya en azından yurt dışı bağlantılı işleme riskini gündeme getirebilir. Bu nedenle “veri Türkiye’de duruyor” yaklaşımı, tek başına uyum güvencesi sağlamaz.

1) Sanayi Şirketlerinde Yaygın Yabancı Yazılım Kullanım Alanları

Uygulamada sanayi işletmelerinde sık karşılaşılan yabancı yazılım ve platformlar şunlardır:

- ERP / üretim planlama ve raporlama sistemleri (ör. SAP ve benzeri kurumsal yazılımlar)

- Bulut tabanlı bordro ve insan kaynakları uygulamaları

- Uzaktan bakım / uzaktan erişim / teknik destek yazılımları

- Performans, vardiya, verimlilik, MES ve saha takip sistemleri

Bu sistemler çoğu zaman sadece üretim verisini değil; çalışanlara, ziyaretçilere, taşeron personele veya adaylara ilişkin kişisel verileri de işler.

2) Hangi Veriler “Yurt Dışına Aktarım” Riski Taşır?

Sanayi şirketlerinde yurt dışı bağlantılı yazılımlar aracılığıyla risk altına girebilen başlıca veri kategorileri şunlardır:

- Çalışan kimlik, özlük ve sicil bilgileri

- Vardiya çizelgeleri, çalışma saatleri, giriş-çıkış kayıtları

- Performans, verimlilik, disiplin ve değerlendirme kayıtları

- İş kazası kayıtları, sağlık raporları (özel nitelikli kişisel veri olabilen alanlar dahil)

- Kamera görüntüleri ve erişim kontrol sistemlerine ilişkin kayıtlar

Burada kritik olan, yalnızca verinin “nerede saklandığı” değil; aynı zamanda veriye kimlerin, hangi ülkeden, hangi rol ile erişebildiği ve sistemin mimarisinin yurt dışı aktarıma yol açıp açmadığıdır.

3) KVKK’ ya Göre Yurt Dışına Aktarım Ne Zaman Hukuka Uygun Olur?

KVKK’ nın 9. maddesi uyarınca yurt dışına kişisel........

© Hukuki Haber