Veriler, işletmenizi yönlendirir ve kuruluşunuz genelinde kesintisiz bilgi akışı ile işletmenize rekabet gücünü korumak için ihtiyaç duyduğu avantajı sağlayabilir. Bununla birlikte, veri akışı ne kadar fazla olursa, uygunsuz erişime o kadar açık olur. Kuruluşlar, dijital teknolojilerin çeşitli verimlilik ve yenilik avantajlarından yararlanmak için operasyonlarını modernize etmeye çalışırken, dijital veriler yıllar içinde hacim olarak büyümeye devam ediyor.
Elbette dijitalleşme ve yenilikçilik de yeni düşünceler getiriyor. Şirketler her zamankinden daha fazla veriye, özellikle de müşterileri ve çalışanları hakkındaki verilere erişim elde ederken, bilgisayar korsanları bu değerli verilere erişim aradıkça yeni tehdit türleri ve bulutu içeren ortamlar için yeni güvenlik gereksinimleri ile karşı karşıya kalıyorlar. Verilere yalnızca şirketinizin dışındaki bilgisayar korsanlarından değil, aynı zamanda kuruluşun içinden de ulaşılıp kötü amaçla kullanılabilir. Kasıtlı veya kasıtsız olsun, kötü amaçlı bilgi erişiminin, yasal ve kurumsal gerekliliklerin yanı sıra endüstri standartlarına uymak için, kimin neye, ne zaman ve nereden erişildiğini hemen tespit edebilmeniz gerekir; ve herhangi bir olası veri güvenliği ihlaliyle başa çıkabilmeniz gerekir COVID-19 salgınının dijital iş dünyasında ve bireylerin çevrimiçi faaliyetlerinde hızlı bir artışa yol açmasıyla, verilerin korunması özellikle de kişisel verilerin korunması, önem arz etmekte bununla birlikte yasal sorumluluk getirmektedir.
Temel Veri Gizliliği Kavramları
SAP Data Privacy Integration’ın kuruluşların veri gizliliği yükümlülüklerini yerine getirmelerine nasıl yardımcı olabileceğine girmeden önce, kişisel verilerin ne olduğu, kişisel verilerin işlenmesinde yer alan roller, işletmelerin ne zaman işleyebileceği gibi bazı temel veri gizliliği kavramlarını anlamamız gerekir. Her özel düzenlemenin veri gizliliği kavramları için kendi terminolojisi olsa da, aşağıdaki bölümlerde SAP’nin çoğu veri gizliliği tartışmasında kullandığı GDPR tarafından belirlenen terminolojiyi ele alacağız.
Kişisel Veri Nedir?
Kişisel veriler, yaşayan bir kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilecek her türlü bilgidir – adres, telefon numarası ve IP adresleri gibi. Doğrudan tanımlama için kullanılabilen özellikler – yani bilgi tek başına birini tanımlamak için kullanılan bilgililerdir. Bunlar :
● İsim
● Adres
● Telefon
● E-mail Adresi
Dolaylı tanımlama için kullanılabilen bilgiler – yani, bir kişiyi yalnızca diğer bilgilerle birlikte tanımlamak için kullanılabilecek bilgiler – şunları içerir:
Kişisel Verilerin İşlenmesinde Hangi Roller Dahil Edilir?
Kişisel verilerin işlenmesinde yer alan üç temel rolü anlamak da önemlidir:
● Veri konusu, kişisel verileri saklanan veya işlenmekte olan kullanıcı veya kişidir. Bir örnek, bir kuruluşun çalışanıdır.
● Veri kontrolörü, veri sahibi için kişisel verilerin yasal olarak işlenmesinden sorumlu olan bir kişi veya tüzel kişidir. Bir örnek, kişisel verileri işlemek için bir çalışanla bir sözleşme imzalayan bir işverendir.
● Veri işleyen, kişisel verileri bir veri sorumlusunun talimatlarına uygun olarak ve adına işleyen kişi veya tüzel kişidir. Bir örnek, bir veri konusunun kişisel verilerini bir işverenin talimatlarına göre işleyen bulut tabanlı bir insan kaynakları uygulama sağlayıcısıdır.
Kişisel Veriler Ne Zaman İşlenebilir?
Kuruluşların, birinin kişisel verilerini işlemek için geçerli bir iş amacı veya yasal dayanağı olmalıdır. Geçerli bir iş amacı şu şekilde tanımlanır:
● Bir sözleşmenin icrası
● Açık rıza onayı
● Yasal bir yükümlülüğün yerine getirilmesi
● Bir veri konusunun ilgi alanları
● Meşru menfaati geçersiz kılmak
Kişisel verilerin işlenmesinin geçerli nedenleri hakkında daha fazla bilgi GDPR’nin 6. Maddesinde bulunabilir.
Veri Sahiplerinin Hakları Nelerdir?
Dünya genelindeki veri gizliliği düzenlemeleri, veri denetleyicilerinin ve veri işlemcilerinin verilerini nasıl işlediğine gelince, veri sahiplerine temel haklar sağlar. Bu haklar şunları içerir:
● Bilgi edinme hakkı: Veri sahibi, bu verilerin hangi amaçlarla işlendiği ve işlenen verilerin kategorileri (örneğin, iletişim bilgileri veya ödeme bilgileri) dahil olmak üzere, veri sorumlusu tarafından herhangi bir kişisel verinin işlenip işlenmediğini bilme hakkına sahiptir. Kişisel verilerin bir kopyası da talep üzerine veri sahibine sağlanmalıdır.
● Unutulma hakkı: Veri sahibi, veri denetleyicisinin verinin toplandığı iş amacını yerine getirmek için artık buna ihtiyaç duymadığında kişisel verilerin silinmesini tetikleme seçeneğine sahip olmalıdır. Veriler, veri sahibinin rızasının geri çekilmesi veya bu verilerin işlenmesi için herhangi bir başka yasal dayanak üzerine silinmek üzere işaretlenmelidir.
● Verileri dışa aktarma hakkı: Veri sahibi, bir veri denetleyicisi tarafından işlenen kişisel verilerin, verilerin bir denetleyiciden diğerine kolay taşınmasını sağlamak için makinede okunabilir bir biçimde dışa aktarılmasını talep edebilir. Örneğin, hizmet sağlayıcıları değiştirmek için – GDPR.
SAP Veri Gizliliği (RAL)
SAP, bu ihtiyaçları karşılamak için SAP NetWeaver Application Server (AS) ABAP 7.40’a Okuma Erişimi Günlüğü (RAL) işlevini dahil etti. RAL, müşterilerin hassas veya sınıflandırılmış verilere kullanıcı erişimini kaydetmesine ve izlemesine olanak tanıyan bir güvenlik işlevidir.
● Verilere kimin erişimi vardı
● Hangi verilere erişildi
● Verilere ne zaman erişildi
● Verilere nasıl erişildi (transaction veya kullanıcı arayüzü)
Verileriniz, işletmenizin bel kemiğidir ve bütünlüğünün sağlanması çok önemlidir. RAL, kimin hangi verilere ne zaman eriştiği hakkında ayrıntılı bir genel bakış elde edebilmeniz için iş açısından kritik verilerinize okuma ve değiştirme erişimi dahil her türlü erişimi kaydetmenize olanak tanır. Veriler, yasalar, harici şirket politikası veya dahili şirket politikası tarafından hassas olarak sınıflandırılabilir. Okuma Erişimi Günlüğü kullanan bir uygulama için aşağıdaki tipik sorular ilgi çekici olabilir:
● Belirli bir ticari kuruluşun verilerine kim erişti, örneğin bir banka hesabı?
● Kişisel verilere kim erişti, örneğin bir iş ortağı TC No?
● Kişisel bilgilere hangi çalışanın eriştiği, örneğin din, Cinsiyet?
● Hangi kullanıcılar hangi hesaplara veya iş ortaklarına erişti?
Bu sorular, belirli bir zaman dilimi içinde belirli verilere kimin eriştiğine ilişkin bilgiler kullanılarak yanıtlanabilir. Teknik olarak bu, tüm uzak API ve UI altyapılarının (verilere erişen) günlük kaydı için etkinleştirilmesi gerektiği anlamına gelir. Okuma Erişimi Günlüğü şu anda aşağıdaki kanallarla sınırlıdır,
● Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)
● Dynpro
● Web Dynpro
● Web services
Farklı kanallar için kaydedilebilecek nesneler hakkında daha fazla bilgi için Channel-Specific Information.