SAP MÜŞTERİLERİ -GDPR/KVKK'YA HAZIR!

SAP NOW İstanbul
SAP MÜŞTERİLERİ GDPR/KVKK’YA HAZIR
Yusuf Çetin, Burcu Kutlu
25 Ekim 2018, Perşembe

M.Yusuf Çetin
MBIS AR-GE Genel Müdürü
Burcu Kutlu
SAP Finansal Çözümler Yöneticisi
https://www.linkedin.com/in/yusuf-cetin-8876645/Yusuf.cetin@mbis.com.tr
https://www.linkedin.com/in/burcu-kutlu-%C3%BCn-b9139739/burcu.kutlu@sap.com
Konuşmacılar

Kişisel Verilerin Önemi
GDPR ve KVKK

4© 2018 SAP SE or an SAP affiliate company. All rights reserved.
Kişisel Veri Nedir ?
Kimliği belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu kapsamdaki
kişilere ait ; yerleşim yerleri, kimlik bilgileri, telefon görüşmeleri, mesaj bilgileri kişisel veri olarak kabul
edilmektedir.
6698 sayılı Kanun m.6 uyarınca; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri kabul edilmekte ve bu
verilerin, ilgilinin açık rızası olmaksızın işlenemeyeceği düzenlenmektedir.

Veri Sorumlusu Kimdir ?
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu (tüzel kişilik) kişisel verilerin
işlenme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Aşağıdaki konularda
yükümlüdür :
▪ Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
▪ Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
▪ Kişisel verilerin muhafazasını sağlamak
Veri Sorumlusu, kişisel verilerin işlenmesi için amaçları belirler.

Yükümlülükler Nelerdir ?
Aydınlatma Yükümlülüğü : İlgili kişilere(veri sahibi), verilerinin kim tarafından, hangi amaçlarla ve
hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi verme.
Veri Sorumluluları Siciline Kayıt : Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda
oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının,
Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü : Veri sorumluları, ilgili kişiler
tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun
uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak
sonuçlandırmalıdır.

Yükümlülükler Nelerdir ?
▪ Kişisel verilerin ne amaçla kaydedildiği veri sahibine bilgilendirilmeli ve onayı
alınmalıdır. (Açık Rıza)
▪ Kişisel verilerin kimler tarafından görüntülendiği ve kullanıldığı kayıt altına
alınmalıdır.
▪ Talep halinde veri sahibine ve/veya yetkili merciye kişisel veri erişimleri ve
kullanımları raporlanmalıdır.
▪ Talep üzerine kişisel verilerin sistemde anonimleştirilmelidir.

KVKK Yaptırımları Nelerdir ?
Hapis Cezası İdari Para Cezası
Kişisel verileri, belirli sürenin geçmesine karşın yok etmeme:
1-2 yıl
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne
aykırılık:
20.000 TL-1.000.000 TL
Aydınlatma
yükümlülüğünün ihlali:
5.000 TL–100.000 TL
• Kişisel verileri hukuka aykırı olarak başkasına verme,
yayma, ele geçirme:
2-4 yıl
• Kişisel verilerin hukuka aykırı olarak kaydedilmesi:
1-3 yıl
Veri güvenliği
yükümlülüğününihlali:
15.000 TL–1.000.000 TL
Kişisel Verileri Koruma Kurulu kararlarına
muhalefet:
25.000 TL-1.000.000 TL

Alınması Gereken Tedbirler Nelerdir ?
 Kullanıcı Hesap Yönetimi
 Yetki Matrisi
 Yetki Kontrol
 Erişim Logları
 Uygulama Güvenliği
 Şifreleme
 Açık Rıza Kayıtlaru
 Veri Erişim Loglama
 Veri Maskeleme
 Silme & Yok Etme & Anonimleştirme
 Veri Kaybı Önleme Yazılımları
 Yedekleme
 Güvenlik Duvarları
 Güncel Anti-Virüs Sistemleri
 Ağ Güvenliği
 Anahtar Yönetimi
 Sızma Testi
 Saldırı Tespit ve Önleme Sistemleri
 Kişisel Veri İşleme Envanteri
Hazırlanması
 Kurumsal Politikalar (Erişim, Bilgi
Güvenliği, Kullanım, Saklama ve İmha
vb.)
 Sözleşmeler (Veri Sorumlusu - Veri
Sorumlusu, Veri Sorumlusu - Veri
İşleyen Arasında )
 Gizlilik Taahhütnameleri
 Kurum İçi Periyodik ve/veya Rastgele
Denetimler
 Risk Analizleri
 İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a
Uygun Hükümler İlave Edilmesi)
 Kurumsal İletişim (Kriz Yönetimi, Kurul ve
İlgili Kişiyi Bilgilendirme Süreçleri, İtibar
Yönetimi
 Eğitim ve Farkındalık Faaliyetleri (Bilgi
Güvenliği ve Kanun)
 Veri Sorumluları Sicil Bilgi Sistemine
(VERBİS) Bildirim
İdari Tedbirler
Teknik Tedbirler

Access
Control
Information
Lifecycle
Management
PowerDesigner
Ernterprise
Architect
Information
Steward
SAP
Opentext
Process Control
Process
Orchestration
UI Logging /
ETH
SAP Data Services
KVKK
Digital Core
UI Masking
Business
Transactions

Temel Faaliyetler
YÖNETİM
SİLME :
Anonimleştirme
RIZA : Açık Rıza Takibi
SÜREÇ : Amaç ve
Prosedürlerin Belirlenmesi
MİNİMİZASYON : Veri ve yetki
minimizasyonu
KEŞİF : Kişisel veri envanterinin çıkarılması
2
3
4
5
6
1

 KVKK/GDPR Digital Core aktifleştirme
 SAP UI Masking Entegrasyonu aktifleştirme
 Anonimleştirme parametreleri girişi
 Bilgi istem parametreleri girişi
 Açık rıza parametreleri girişi
Temel Uyarlamalar
 Risk Yöneticisi rolü belirleme
 Mail içeriklerini tanımlama
 Yasal sürelerin bakımı
 İş akış durumları uyarlama

GDPR/KVKK Digital Core
KEŞİF1
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

KEŞİF1
 Kişisel veri taramasının yapılması
 SAP içinde ilgili veri nesnelerinin kullanım yerlerinin tespiti
 KVKK Digital Core Kişisel Veri Kataloğunun incelenmesi ve güncellenmesi
 Veri kataloğunun UI Masking’e girilmesi
 Tekilleştirme için gerekli iş planının çıkarılması

MİNİMİZASYON2
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

MİNİMİZASYON – Veri &Yetki
 Veri saklama noktalarının tekilleştirilmesi
 Kişisel verilere erişim yetkisi olan kullanıcıların
belirlenmesi
 Kullanılmayan fazla yetkilerin tespiti ve yetki
minimizasyonu
2

SÜREÇ
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1
3

SÜREÇ3
Kişisel Veri Yönetimi
Veri Koruma Politikaları
Kayıt
Yönetimi
Yasal
yükümlülük
ler
Veri
paylaşımı
ve aktarımı
Paydaşları
n uyumu
Eğitim ve
Farkındalık
İlgili Kişi
Hakları
Yönetimi
Veri Risk
Değerlendir
mesi
Güvenlik
ve Erişim
İhlal
Bildirimi
Aydınlatma
, Talep,
Rıza, Bilgi
Veri Koruma
Sorumlusu
Sözleşme
Yönetimi

SÜREÇ - Veri İşleme Amaçlarının Tanımlanması
 Verbis – Veri kategorilerinin
tanımlanması
 Amaçların belirlenmesi
 Özel nitelikli alanların
seçilmesi
 Verbis parametrelerinin
girişi (Yurt dışı aktarım, Alıcı
grupları vb)
 Periyodik imha süreleri
bakımı
 Amaç bazlı çalışma
kurallarını tanımlama
 UIM Rol Eşleştirmesi
3

RIZA YÖNETİMİ
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1
4

RIZA YÖNETİMİ4
 Amaç bazlı çalışma Amaçların (Bilgi
kümesi) bazlı mail şablonları
 Açık rıza toplama süreci için toplu mailing
programı
 Açık rıza onaylarının otomatik alınması (
e-mail ile)
 Açık rıza takip ekranı ve raporlaması

RIZA YÖNETİMİ4

RIZA YÖNETİMİ4
 Aktif açık rızaların raporlanması
 Açık rızaların tarih, durum ve alım yöntemine göre raporlanması
 Açık rıza olmama durumunda ilgili verilerin otomatik maskelenmesi

SİLME & ANONİMLEŞTİRME
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1
5

SİLME & ANONİMLEŞTİRME – Talep Yönetimi5

SİLME & ANONİMLEŞTİRME – İmha5
 Periyodik imha programı
 Hatırlatma ve uyarı sistemi

YÖNETİM
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1
6

Bilgi İsteme Talebi (Aydınlatma Yükümlülüğü)6

Loglama ve Raporlama6
 Kişisel verilere erişim raporlaması  İlgili kişi bazında erişim raporlaması

Loglama ve Raporlama6
 Veri Kategorisi – Amaç Eşleştirme  İlgili kişi bazında erişim Veri Güvenlik Tedbirleri

GDPR/KVKK DIGITAL CORE
Teknik Özellikler

TEKNİK ÖZELLİKLER - Entegrasyon
SAP
KVKKDigitalCore
EntegrasyonWebServisi
Dış Sistemler
Analitik sistemler
Şirket içi diğer
uygulamalarKVKK Digital Core Log Veri
Tabanı
Kargo Entegrasyonu
Satış Raporu
Şirket içi Portaller
SAP GRC ACCESS CONTROL İLE UÇTAN UCA KİŞİSEL VERİ YETKİLERİNİN İZLENMESİ
KVKK Digital Core
Uygulama Katmanı
(Uyarlama, Rıza,
Anonimleşme)

TEKNİK ÖZELLİKLER UI Masking
 Alan maskeleme
 İş ve teknik ekranlarda (SE16 vb)
çalışma
 Download, Export ve Print
fonksiyonlarında çalışma

TEKNİK ÖZELLİKLER Kural Motoru
Kural tanımlama (gruplama,
tanım, rol)
SAP UI Masking – Maskeleme
kuralı girilmiş alanların
kopyalanması
Önkoşulların tanımlanması

 Tanımlanmış olan kurallar SAP
standart rollerine atanmaktadır.
 Bu sayede;
– Sadece belirli kullanıcılar ya da
– İstisnai kullanıcıların dışında tüm
kullanıcılar için alanlar
gizlenebilmektedir.

Doğru ve Güvenli Bir Sistem
SAP ECC
SAP GRCFonksiyonel Roller
Organizasyonel Roller
Alan Bazlı Roller
YETKİ MİMARİSİ
SAP HR
SAP CRM

KISACA
Günümüzde yetkilendirme yapılarının karmaşıklaşması ile beraber ortaya çıkan alan bazlı yetkilendirme ihtiyacı
KVKK/GDPR Digital Core ile yönetilebilmektedir. Digital Core, ön koşul ve kural tanımlama fonksiyonları ile
dinamik yetkilendirme yapabilmektedir.
Alan bazlı yetkilendirme ihtiyacını karşılamaktadır.
Tanımlanan kişisel verileri koruma altına almakta ve bu verilere erişimi de kaydetmektedir. Açık rıza,
anonimleştirme, bilgi talepleri gibi süreçleri yönetebilmektedir. Yükümlülüklerin yerine getirilmesindeki süreçlerin
takibine yardımcıdır.
Kişisel Verinin Korunumu Kanununa süreçlerini yürütmeye yardımcıdır.
SAP sisteminde geliştirilen tüm program ve raporlar için alan bazlı yetkilendirme, teknik bir bilgi gerekmeksizin
KVKK/GDPR Digital Core Yönetici Paneli ile konfigüre edilebilmektedir.
Z'li uygulamalar için de uygulanabilir.
En doğru yetki ve rol yönetimi için oluşturulan tüm kurallar roller aracılığı ile SAP GRC sistemine aktarılabilir ve
bu roller GRC ile yönetilebilir.
SAP GRCAccess Control ile entegre çalışmaktadır

İletişim Bilgileri:
M.Yusuf Çetin
yusuf.cetin@mbis.com.tr
Teşekkürler.

SAP MÜŞTERİLERİ -GDPR/KVKK'YA HAZIR!

Recommended

Recommended

More Related Content

What's hot

What's hot (11)

Similar to SAP MÜŞTERİLERİ -GDPR/KVKK'YA HAZIR!

Similar to SAP MÜŞTERİLERİ -GDPR/KVKK'YA HAZIR! (20)

More from MBIS

More from MBIS (8)

SAP MÜŞTERİLERİ -GDPR/KVKK'YA HAZIR!