Anasayfa/ Makale/ IT Dış Kaynak Alımında Veri Yönetimi ve Hukuki Esaslar

IT Dış Kaynak Alımında Veri Yönetimi ve Hukuki Esaslar

Bilgi teknolojileri dış kaynak alımı süreçlerinde şirket verilerinin üçüncü taraf tedarikçilere aktarılması, işlenmesi ve sözleşme bitiminde iade veya imha edilmesi aşamaları, veri sorumlusu ile veri işleyen arasındaki yetki ve yükümlülükler çerçevesinde titizlikle yönetilmelidir.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK

Günümüzün gelişen iş modelleri doğrultusunda şirketler, bilgi teknolojileri dış kaynak alımı hizmetlerine giderek daha fazla başvurmaktadır. Bu süreç, kurum içi yürütülen veri merkezi yönetimi, bulut bilişim uygulamaları, ağ desteği veya felayet kurtarma gibi teknik operasyonların uzman bir üçüncü taraf tedarikçi şirkete devredilmesini kapsar. Hukuki açıdan bu devir işlemi, kapsamlı bir veri yönetimi sürecini zorunlu kılar; zira müşteri şirket, elindeki müşteri veri tabanlarını ve kurumsal bilgilerini doğrudan tedarikçinin erişimine açmaktadır. Bilişim hukuku pratiğinde, dış kaynak alan şirket genellikle veri sorumlusu sıfatını taşırken, hizmeti sunan taraf veri işleyen statüsündedir. Veri sorumlusu, kendi adına işlem yapan tedarikçinin güvenliği sağladığından ve sınırları belirlenmiş amaçlar dışında kullanım yapmadığından emin olmak zorundadır. Bu bağlamda veri akışının denetlenmesi, bilgilerin yetkisiz kişilerin eline geçmesinin önlenmesi ve işlemlerin yalnızca hizmetin gerektirdiği amaçlarla sınırlı tutulması, dış kaynak alım sözleşmelerinin ve projenin en hayati parçasını oluşturur.

Tedarikçi ve Müşteri Arasındaki Veri İşleme Rolleri

Bilgi teknolojileri hizmetlerinin dışarıdan temin edilmesi sürecinde, taraflar arasındaki en önemli hukuki ayrım veri sorumlusu ve veri işleyen rollerinin netleştirilmesidir. Kural olarak, hizmeti alan ve elindeki veri tabanını aktaran müşteri şirket veri sorumlusudur; zira verinin hangi amaçla ve ne şekilde kullanılacağına dair asıl irade ona aittir. Hizmet sağlayan tedarikçi ise yalnızca müşterinin emir ve talimatları doğrultusunda işlem yapan konumundadır. Bir dış kaynak alımı sözleşmesi kurgulanırken, tedarikçinin kendi çıkarları için veya belirlenen hizmet sınırlarını aşacak şekilde bağımsız bir veri işleme faaliyetinde bulunamayacağı kesin sınırlarla çizilmelidir. Eğer tedarikçi işin yürütülmesi esnasında kendi inisiyatifiyle hareket etmeye başlar veya elindeki verileri başka amaçlarla kurgularsa, sorumluluk vasfını kazanarak doğrudan yaptırımlarla muhatap hale gelebilir. Dolayısıyla, hukuki güvenliğin sağlanması adına operasyonlarda tedarikçinin işlem sınırları, alt tedarikçi kullanma şartları ve emir-talimat zinciri şüpheye yer bırakmayacak biçimde tanımlanmalıdır.

Veri İadesi ve İmha Süreçlerinin Yönetimi

Sözleşme süresince paylaşılan kurumsal bilgilerin ve veri tabanlarının akıbeti, veri yönetiminin en kritik virajlarından biridir. Dış kaynak alımı projesi sona erdiğinde veya herhangi bir haklı sebeple feshedildiğinde, tedarikçinin elinde bulunan müşteri veri tabanlarının ne yapılacağı detaylı olarak kurgulanmalıdır. Uygulamada en sık karşılaşılan sorunlardan biri, fesihten sonra tedarikçinin verileri geri vermekten kaçınması veya iade usullerinin belirsiz bırakılmasıdır. Hizmet ilişkisi bittiğinde, tedarikçi elindeki tüm verileri müşteriye eksiksiz bir formatta iade etmeli ve kendi sistemlerinde bulunan tüm kopyaları, veri tabanlarını ve yedekleri geri döndürülemez biçimde silmeli veya yok etmelidir. Şirketlerin, tedarikçinin verileri üçüncü kişilere satmasını veya kendisi için kopyalayarak çoğaltmasını engellemek maksadıyla sadece iadeyi değil, aynı zamanda verilerin kalıcı olarak imha edildiğine dair kanıt ve denetim hakkı talep etmesi büyük önem taşımaktadır.

Veri Yönetiminde Temel Unsurlar

Başarılı bir bilişim dış kaynak projesinde, tarafların sorumluluklarını ve verinin güvenliğini tesis etmek adına bazı temel bileşenlerin süreç planlamasına dahil edilmesi yasal bir gerekliliktir. Tedarikçi seçimi yapılırken ve operasyon kurgulanırken aşağıdaki unsurlar veri güvenliği politikalarının merkezinde yer almalıdır:

  • Tedarikçinin organizasyonel ve teknik altyapısının gerektirdiği yeterli güvenlik önlemlerini aldığının garanti edilmesi.
  • Verilerin yurt dışına transferi söz konusuysa, lokasyon kısıtlamalarına ve uluslararası aktarım regülasyonlarına tam uyum sağlanması.
  • Hizmet sağlayıcının operasyon esnasında alt tedarikçi kullanma durumunun şarta bağlanması ve bu durumdan müşterinin mutlaka önceden onayının alınması.
  • Müşteriye, tedarikçinin sistemleri üzerinde denetleme hakkı verilerek veri akışının şeffaf bir zemine oturtulması.
Bilgi işlem işini dışarıya verdik, verileri çalarlarsa suçlu kim olur? expand_more
Bilişim hukuku pratiğinde, dışarıdan hizmet alan ve elindeki veri tabanını aktaran şirketiniz "veri sorumlusu" sıfatını taşır. Bu sebeple, hizmeti sunan taraf olan tedarikçinin yeterli güvenlik önlemlerini aldığından emin olmak sizin birincil yasal yükümlülüğünüzdür. Verilerin yetkisiz kişilerin eline geçmesi veya çalınması durumunda, asıl irade ve sorumluluk size ait olduğu için hukuki yaptırımların ilk muhatabı siz olursunuz. Dolayısıyla imzaladığınız sözleşmelerde tedarikçinin güvenlik standartlarını açıkça belirlemeli ve veri akışını denetleme hakkınızı aktif olarak kullanmalısınız.
Yazılım firması bizim müşteri verilerimizi kendi işi için kullanabilir mi? expand_more
Hayır, hizmet sağlayan tedarikçi konumundaki yazılım firması, hukuken "veri işleyen" statüsündedir ve yalnızca sizin emir ile talimatlarınız doğrultusunda işlem yapmak zorundadır. Dış kaynak alımı sözleşmesinde belirlenen hizmet sınırlarını aşarak verileri kendi çıkarları için veya bağımsız bir amaçla kesinlikle kullanamazlar. Şayet tedarikçi kendi inisiyatifiyle hareket edip elinizdeki verileri başka amaçlarla kullanmaya başlarsa, veri sorumlusu vasfını kazanarak doğrudan yasal yaptırımlarla karşı karşıya kalır. Bu tür riskleri hukuken önlemek adına, sözleşmelerinizde operasyon sınırlarını şüpheye yer bırakmayacak netlikte tanımlamalısınız.
IT firmasıyla sözleşmemiz bitti, verilerin kopyalanmadığından nasıl emin oluruz? expand_more
Sözleşme veya hizmet ilişkisi sona erdiğinde, tedarikçinin elindeki tüm verileri şirketinize eksiksiz bir formatta iade etmesi yasal bir zorunluluktur. Ayrıca tedarikçi, kendi sistemlerinde barındırdığı tüm kopyaları, veri tabanlarını ve yedekleri de geri döndürülemez biçimde silmeli veya yok etmelidir. Verilerinizin üçüncü kişilere satılmasını veya kopyalanarak çoğaltılmasını engellemek için, sadece verilerin iadesiyle yetinmemeli, aynı zamanda kalıcı olarak imha edildiğine dair tedarikçiden kanıt talep etmelisiniz. İade ve imha süreçlerinin ile imha denetim hakkının sözleşmede en başından detaylıca kurgulanması olası ihlallerin hukuken önüne geçecektir.
Destek aldığımız bilişim firması bu işi başka bir alt firmaya devredebilir mi? expand_more
Dış kaynak alımı sürecinde hizmet sağlayıcının sistemleri kurarken veya yönetirken bir alt tedarikçi kullanması mümkündür, ancak bu durum sözleşmesel olarak sıkı şartlara bağlanmalıdır. Operasyon esnasında alt tedarikçi kullanılabilmesi için mutlaka müşteri olarak sizin önceden onayınızın alınması yasal ve teknik bir gerekliliktir. Sözleşme kurgulanırken, emir-talimat zinciri ile alt tedarikçi kullanım şartları net bir şekilde belirlenmelidir ki veri sorumlusu olarak güvenliğiniz tehlikeye girmesin. Özellikle verilerin yurt dışına transferi söz konusu ise, alt tedarikçi zincirinin uluslararası aktarım regülasyonlarına tam uyum sağlaması şarttır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir