Makale
Bilgi teknolojileri dış kaynak alımı süreçlerinde şirket verilerinin üçüncü taraf tedarikçilere aktarılması, işlenmesi ve sözleşme bitiminde iade veya imha edilmesi aşamaları, veri sorumlusu ile veri işleyen arasındaki yetki ve yükümlülükler çerçevesinde titizlikle yönetilmelidir.
IT Dış Kaynak Alımında Veri Yönetimi ve Hukuki Esaslar
Günümüzün gelişen iş modelleri doğrultusunda şirketler, bilgi teknolojileri dış kaynak alımı hizmetlerine giderek daha fazla başvurmaktadır. Bu süreç, kurum içi yürütülen veri merkezi yönetimi, bulut bilişim uygulamaları, ağ desteği veya felayet kurtarma gibi teknik operasyonların uzman bir üçüncü taraf tedarikçi şirkete devredilmesini kapsar. Hukuki açıdan bu devir işlemi, kapsamlı bir veri yönetimi sürecini zorunlu kılar; zira müşteri şirket, elindeki müşteri veri tabanlarını ve kurumsal bilgilerini doğrudan tedarikçinin erişimine açmaktadır. Bilişim hukuku pratiğinde, dış kaynak alan şirket genellikle veri sorumlusu sıfatını taşırken, hizmeti sunan taraf veri işleyen statüsündedir. Veri sorumlusu, kendi adına işlem yapan tedarikçinin güvenliği sağladığından ve sınırları belirlenmiş amaçlar dışında kullanım yapmadığından emin olmak zorundadır. Bu bağlamda veri akışının denetlenmesi, bilgilerin yetkisiz kişilerin eline geçmesinin önlenmesi ve işlemlerin yalnızca hizmetin gerektirdiği amaçlarla sınırlı tutulması, dış kaynak alım sözleşmelerinin ve projenin en hayati parçasını oluşturur.
Tedarikçi ve Müşteri Arasındaki Veri İşleme Rolleri
Bilgi teknolojileri hizmetlerinin dışarıdan temin edilmesi sürecinde, taraflar arasındaki en önemli hukuki ayrım veri sorumlusu ve veri işleyen rollerinin netleştirilmesidir. Kural olarak, hizmeti alan ve elindeki veri tabanını aktaran müşteri şirket veri sorumlusudur; zira verinin hangi amaçla ve ne şekilde kullanılacağına dair asıl irade ona aittir. Hizmet sağlayan tedarikçi ise yalnızca müşterinin emir ve talimatları doğrultusunda işlem yapan konumundadır. Bir dış kaynak alımı sözleşmesi kurgulanırken, tedarikçinin kendi çıkarları için veya belirlenen hizmet sınırlarını aşacak şekilde bağımsız bir veri işleme faaliyetinde bulunamayacağı kesin sınırlarla çizilmelidir. Eğer tedarikçi işin yürütülmesi esnasında kendi inisiyatifiyle hareket etmeye başlar veya elindeki verileri başka amaçlarla kurgularsa, sorumluluk vasfını kazanarak doğrudan yaptırımlarla muhatap hale gelebilir. Dolayısıyla, hukuki güvenliğin sağlanması adına operasyonlarda tedarikçinin işlem sınırları, alt tedarikçi kullanma şartları ve emir-talimat zinciri şüpheye yer bırakmayacak biçimde tanımlanmalıdır.
Veri İadesi ve İmha Süreçlerinin Yönetimi
Sözleşme süresince paylaşılan kurumsal bilgilerin ve veri tabanlarının akıbeti, veri yönetiminin en kritik virajlarından biridir. Dış kaynak alımı projesi sona erdiğinde veya herhangi bir haklı sebeple feshedildiğinde, tedarikçinin elinde bulunan müşteri veri tabanlarının ne yapılacağı detaylı olarak kurgulanmalıdır. Uygulamada en sık karşılaşılan sorunlardan biri, fesihten sonra tedarikçinin verileri geri vermekten kaçınması veya iade usullerinin belirsiz bırakılmasıdır. Hizmet ilişkisi bittiğinde, tedarikçi elindeki tüm verileri müşteriye eksiksiz bir formatta iade etmeli ve kendi sistemlerinde bulunan tüm kopyaları, veri tabanlarını ve yedekleri geri döndürülemez biçimde silmeli veya yok etmelidir. Şirketlerin, tedarikçinin verileri üçüncü kişilere satmasını veya kendisi için kopyalayarak çoğaltmasını engellemek maksadıyla sadece iadeyi değil, aynı zamanda verilerin kalıcı olarak imha edildiğine dair kanıt ve denetim hakkı talep etmesi büyük önem taşımaktadır.
Veri Yönetiminde Temel Unsurlar
Başarılı bir bilişim dış kaynak projesinde, tarafların sorumluluklarını ve verinin güvenliğini tesis etmek adına bazı temel bileşenlerin süreç planlamasına dahil edilmesi yasal bir gerekliliktir. Tedarikçi seçimi yapılırken ve operasyon kurgulanırken aşağıdaki unsurlar veri güvenliği politikalarının merkezinde yer almalıdır:
- Tedarikçinin organizasyonel ve teknik altyapısının gerektirdiği yeterli güvenlik önlemlerini aldığının garanti edilmesi.
- Verilerin yurt dışına transferi söz konusuysa, lokasyon kısıtlamalarına ve uluslararası aktarım regülasyonlarına tam uyum sağlanması.
- Hizmet sağlayıcının operasyon esnasında alt tedarikçi kullanma durumunun şarta bağlanması ve bu durumdan müşterinin mutlaka önceden onayının alınması.
- Müşteriye, tedarikçinin sistemleri üzerinde denetleme hakkı verilerek veri akışının şeffaf bir zemine oturtulması.