Çağrı Merkezleri, KVKK’ya uyum sürecini nasıl geçirdi?

Kişisel Verilerin Koruma Kanunu (KVKK) için tanınan uyum süreci Nisan 2018’de sona erdi. Peki, bu süre içinde işledikleri tüm verileri kanuna uygun hale getirmek ve tüm teknik alt yapılarını kurmakla yükümlü olan firmalar, kendilerine tanınan bu 2 yıllık süreyi verimli geçirebildiler mi?

Yoğun bir veri birikimi ve aktarımının söz konusu olduğu çağrı merkezleri, kanunun yayınlanmasını takiben 2 senelik uyum sürecinde neler yaptı?

Kullanıcılar, çalışanlar, müşteriler, ürünler ve rakip şirketler ile ilgili anahtar değerinde bilgiler sunarak şirketlerin başarılarını etkileyen verilerin toplanması, özellikle KVKK ve GDPR gibi veri koruma kanunlarının yürürlüğe girmesiyle daha da zorlaştı.

Verilerin toplanması, saklanması, işlenmesi, silinmesi ve güvenliğine ilişkin düzenlemeleri içeren bu süreçte en çok cevabı aranan soruları sektör temsilcilerine yönelttik.

KVKK’ya kadar hiçbir kuruluşun gündeminde olmayan, ancak kanunla birlikte bir zorunluluk haline gelen verilerin imha edilmesi şartı, şirketler için yeni bir dönem başlattı.

Sektör temsilcileri, çağrı merkezleri için veri envanterinin oluşturulması ve saklama süresi dolan kişisel verilerin imha edilmesinin kendilerini en çok zorlayan aşamalar olarak tanımlıyor.  Ayrıca tüm süreçlerin mevzuata uygun olarak IT süreçleri ile entegre edilmesi hem uzun  efor gerektiren hem de maliyet yaratan kalemler olarak belirtiliyor.

Çağrı merkezi çalışanlarının erişim yetkilerinin görevlerine uygun olarak sınırlandırılması, şirket için veri güvenliği eğitimleri, riskleri minimize etmek, zafiyetleri yönetmek, verinin bütünlüğünü, doğruluğunu ve erişilebilirliğini sağlamak, iş sürekliliğini oluşturmak, olaylara anlık müdahale etmek, sistemleri izlemek ve yönetmek amacı ile kullanılan farklı uygulamaların, birbirleriyle entegrasyonu gibi uygulamalar uyum sürecinde ele alınan başlıca tedbirler olarak karşımıza çıkıyor.

KVKK dışında, AB ülkelerine yönelik faaliyetlerde bulunan, AB vatandaşı kişilerin şirket bünyesinde görev aldığı veya global firmaların iştiraki olan Türk firmalarını tabii olduğu Genel Veri Koruma Tüzüğü (GDPR) de bazı firmalara bir takım yaptırımları öngörüyor. Özellikle Türkiye’deki yerel çağrı merkezlerinin, birleşme ve satın almalarla birlikte uluslararası bir yapının parçasına dönüşmeye başlamaları, sektörde GPDR’ye tabi firma sayısındaki artışı tetikliyor.

Çalışanların bilgi varlıklarına erişim yetkileri belirli aralıklarla gözden geçirilmektedir.

Dünyanın en iyi katılım bankası olma vizyonumuz çerçevesinde Albaraka Türk olarak, bilgi güvenliği stratejimiz de sektörün en iyisi olması yönünde tasarlanmıştır. Bilgi güvenliği stratejimiz ile ulaşmak istediğimiz hedeflerimizi şöyle sıralayabiliriz: Bankamızın tüm işleyişini etkileyen bilgi varlıklarını korumak, müşteri bilgilerinin güvenliğini sağlamak, başta Bankacılık Kanunu ve KVKK olmak üzere ilgili yasa ve sözleşmelerden doğan bilgi güvenliği ile ilgili gereksinimlere uyum sağlamak, bankamızın güvenirliliğinin ve imajının korunmasına katkı sağlamak ve temel iş süreçlerimizin en az hizmet kaybı ile devam etmesini sağlamak. Bu hedeflere ulaşabilmek için temel stratejimiz verinin gizlilik, bütünlük ve erişilebilirliğini sağlayacak bilgi güvenliği metotlarını uygulamaktır. Bu metotların en başta geleni bilgi güvenliğinde ISO 27001:2013 standardına uygun risk yönetimi anlayışının uygulanmasıdır. Bu amaçla, bilgi güvenliği riskleri tespit edilip, değerlendirilmekte ve yönetilmektedir. Bilgi güvenliğinin seviyesi kullanıcılara bağlı olduğundan kullanıcı bilinci, bilgi güvenliğinin sağlanması için son derece hayati bir öneme sahiptir ve büyük ölçüde bilgi güvenliği seviyesini kullanıcılar belirlemektedir. Bilgi güvenliği seviyesini en üst noktada tutabilmek için çalışanlarımızın KVKK ve bilgi güvenliği farkındalığını artıracak ve bilgi güvenliği yönetim sisteminin işleyişine katkıda bulunmalarını sağlayacak eğitimleri düzenli olarak vermekteyiz. Çalışanların bilgi varlıklarına ve müşteri bilgilerine erişim hakları ihtiyaç nispetinde atanmakta ve bu erişim yetkileri belirli aralıklarla gözden geçirilmektedir. Bunların yanı sıra siber güvenliğin sağlanması, minimum kişisel veri ile çalışılması, saklama süresi dolan verilerin imha edilmesi, destek hizmeti kuruluşlarının sorumluluklarının belirlenmesi ve denetlenmesi, veri içeren ortamların güvenliğinin sağlanması ve veri güvenliğinin takibi bilgi güvenliğinin sağlanması sürecinde uyguladığımız başlıca yöntemlerdendir.

Mustafa Çetin | Albaraka Türk Genel Müdür Yardımcısı

Çağrı merkezi çalışanlarına erişim yetkileri iş ve görevlerine uygun olarak verilmektedir.

Öncelikle çağrı merkezinde kullanılan donanım ve yazılımlar üzerinde tehditlerin bulunup bulunmadığına yönelik risk analizleri yapılmaktadır. Yapılan analizler sonucu tehditlerin bulunduğu tespit edildiğinde risk azaltıcı metotlar uygulanmaktadır. Diğer taraftan yetkisiz girişlerin kontrolü/önlenmesine yönelik çözümler sağlanarak verinin bütünlüğünün ve gizliliğinin bozulmadığından emin olunmaktadır. Çağrı merkezi çalışanlarına erişim yetkileri iş ve görevlerine uygun olarak verilmektedir.  Çağrı merkezleri için en önemli performans göstergesi kesintisiz hizmet sunmaktır. Hizmetin kesintisiz olarak sunulabilmesi için IVR ve santral sistemleri ile disaster güvenliği sürekli olarak denetlenmektedir. Hassas veriler maskelenmekte, virüs ve hacker saldırılandan korunmak için siber güvenlik tedbirleri alınmakta herhangi bir veri kaybı riskine karşılık veri yedekleme prosedürleri uygulanmakta, çalışanlara yönelik bir dizi tedbirler alınmaktadır.

Kişisel Verileri Koruma Kanununun veri sorumlularına getirdiği bazı yükümlülükler de çağrı merkezi süreçlerimize entegre edilmiştir. Örneğin aydınlatma metnini dinlemek isteyenlere IVR üzerinden seçenek sunulması, açık rızaya tabi bazı hizmetlerde çağrı merkezi aracılığı ile açık rıza alınması, biyometrik veri olan sesli imza kapsamında alınan ses kayıtlarının kriptografik yöntemlerle şifrelenerek muhafazası gibi uygulamalar hayata geçirilmiştir.

Bankaları en çok zorlayan nokta, saklama süresi dolan kişisel verilerin imhası süreci oldu.

Banka çağrı merkezleri kişisel verilerin en yoğun işlendiği bölümlerin başında gelmektedir. Bu yoğun veri işleme süreçleri çağrı merkezimize ait kişisel veri işleme envanterinin hazırlanması çok fazla mesai harcamamıza neden oldu. Diğer taraftan sadece çağrı merkezlerini değil tüm sektörleri en çok zorlayan noktalardan biri saklama süresi dolan kişisel verilerin imhası sürecidir. KVKK’ya kadar herhangi bir bilgiyi imha etmek hiçbir kuruluşun gündeminde yer almazken aksine mümkün olan en uzun süre saklamaya yönelik hareket edilmekteydi. Yeni düzenleme ile bu verilerin imha edilmesi zorunluluğu yoğun veri işleyen çağrı merkezlerini veri envanteri hazırlama süreci ile birlikte en çok zorlayan aşamalardan biri olmuştur.

Bankacılık sektörünün KVKK’ya uyumunu diğer sektörlere nazaran daha kolay

Bankacılık sektörüne ilişkin uyulması gereken pek çok mevzuat olması sebebiyle KVKK uyum çalışmalarının bazıları zaten uygulanmaktaydı. Örneğin veri güvenliği ve gizliliği anlamında kurum dışına veri çıkışı noktasında uyulması gereken kurallar KVKK’dan önce de bulunmaktaydı. Bankacılık Kanunundan gelen banka ve müşteri sırlarının korunmasına ilişkin yükümlülükler ve bu hususların düzenleyici kuruluş tarafından denetlenmesi bankacılık sektörünün KVKK’ya uyumunu diğer sektörlere nazaran daha da kolaylaştırmıştır. Sektörün bugün uyum noktasında yaklaştığı seviyeye bakıldığında KVKK’ya en hazır sektör olduğu görülmektedir.

KVKK, GDPR’a tabi olan şirketlerin tüzüğe uyumunu da kolaylaştırmaktadır.

Şu anda Türk şirketlerinde GDPR’a tabi olunup olunmadığı hususunda bir kafa karışıklığı bulunmaktadır. Genel Veri Koruma Tüzüğü temel olarak Avrupa birliği hukukunun uygulandığı ülkelerde geçerli olmakla birlikte veri sorumlusunun Avrupa birliği sınırları içerisinde olup olmadığından bağımsız olarak AB vatandaşlarını hedefleyen ürün ve hizmet sunan ya da AB vatandaşlarına yönelik profilleme çalışması yapan kurum/kişileri kapsamaktadır. Bu bağlamda ürün, hizmet ve çalışmalarında AB vatandaşlarını doğrudan hedeflemeyenler bu Tüzükten etkilenmeyecektir. Öncelikle Türk şirketlerinin karar vermesi gereken nokta GDPR kapsamında olup olmadıklarıdır. Salt AB vatandaşlarının verilerini tutuyor olmak GDPR’a tabi olunduğu anlamına gelmemektedir. Ülkemizde iki yıldan uzun bir zamandır yürürlükte olan KVKK, GDPR’a tabi olan şirketlerin bu tüzüğe uyumunu da kolaylaştırmaktadır. Zira KVKK AB’nin GDPR’dan önce uygulamada olan direktifin hemen hemen aynısıdır. Dolayısıyla Türk şirketlerinin GDPR’a uyum sürecinin veri koruma kanunlarının uygulanmadığı ülkelere nazaran çok daha az maliyetli ve kolay olacağı düşünülmektedir.

Ahu Yayan,
Arvato CRM Türkiye Bilgi Güvenliği Sorumlusu/ Süreç ve Yönetim Müdürü

Temel şartımız, doğru veriye, doğru kişinin, ihtiyacı kadar ulaşabilmesi

Arvato CRM Türkiye olarak müşterilerimizin ve operasyonlarımızın verilerinin, en ileri güvenlik düzeyinde korunması en önemli önceliklerimizdendir. Doğru veri yönetimi için, verilerin sadece gizliliğinin değil; bütünlüğünün ve ulaşılabilirliğinin sağlanması da en temel şarttır. Verinin doğru analizi ve yönetimi, hızla gelişen ve globalleşen pazarda rekabet avantajını gözle görülür şekilde artıracaktır. Bu doğrultuda Arvato CRM Türkiye, veri analitiği çözümlerine yönelik çalışmalarını artan ivmeyle devam ettirmektedir. Doğru veriye, doğru kişinin, ihtiyacı kadar ulaşabilmesi; veri gizliliği politikalarımızın temel şartıdır.

Sızıntıların engellenmesi için en ileri teknoloji çözümlerinden faydalanıyoruz.

Çağrı merkezi hizmetlerinde, yoğun bir veri aktarımı ve birikimi söz konusudur. Veri birikimini doğru işlemek, veriyi bilgi olarak değerlendirebilmek ve en ileri teknolojileri dahil etmek için, Ar-Ge Merkezimizde entegrasyon projeleri üretilmekte ve devreye alınmaktadır.  Verilerin gizliliğinin sağlanması için Arvato CRM Türkiye, ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni etkin şekilde işletmektedir. Kurum içindeki riskler tespit edilerek, bertarafı için aksiyonların alınmakta, her operasyonel iş birimi için iş süreklilik planları hazırlanmakta, bilgi güvenliğini tehdit edebilecek ihlaller tespit edilmekte ve tekrarı önlenmektedir. Ayrıca Arvato CRM Türkiye, veri sınıflandırması ve sızıntı olasılıklarının engellenmesi için de en ileri teknoloji çözümlerinden faydalanmaktadır.

En zorlayıcı süreçler; şirketlerin veri envanterlerinin oluşturulması ve aksiyonların alınması

Kişisel Verilerin Korunması Kanunu’nun gerekliliklerinin tam olarak anlaşılması ve sektörel işleyişe uyumlandırılması sürecinin, çağrı merkezi hizmeti veren şirketler için, farklı bir bakış açısı ile hizmet içeriğini gözden geçirmeye vesile olduğu kanaatindeyiz. Son kullanıcıların verilerine (ve hatta özel nitelikli kişisel verilerine) erişimin kolaylıkla sağlanabileceği bir sektör için KVKK, sürecin her adımının veri yönetiminde, gizliliğin sağlanma gerekliliğini beraberinde getirmiştir. Şirketlerin veri envanterlerinin oluşturulması ve kanun gereği aksiyonların alınması aşamalarının, en zorlayan aşamalar olduğunu gözlemliyoruz. Arvato CRM Türkiye süreçlerinde KVKK gerekliliklerinin tam olarak yerine getirilebilmesi için detaylı bir proje yönetilmiştir. Bu sayede, müşterilerimiz için KVKK ve GDPR’a tam uyumlu şekilde hizmet verilmektedir.

Çağrı merkezi sektöründe kanunun yayınlanmasını takiben, 2 senelik uyum sürecinde, ciddi adımların atıldığını ve önlemlerin alındığını görebiliyoruz. Fakat özellikle Açık Rıza konusunun, amacı ve beklenen düzeyin ötesinde yorumlanması; sadece aydınlatma gereken noktalarda bile rıza alınma sürecine dönüştüğü görülmektedir. Çağrı Merkezlerinde KVKK Uyum süreci, gerçekleştirilen uyum projelerinin ötesinde, kurum ve çalışanları tarafından içselleştirilmesiyle yerinde sonuçlar elde edilebilecektir.

Genel Veri Koruma Tüzüğü (GDPR) Türk şirketlerini nasıl etkiliyor?

Türk şirketler başlıca 3 konu başlığında GDPR kapsamındaki uygulamalara dahil olmaktadır; şirketin faaliyetinin AB’de yerleşik bir kişi veya işletmeyi hedef alması, AB vatandaşı kişilerin şirket bünyesinde görev alıyor olması ve global firmaların iştiraki olarak GDPR uyumluluğunun gerek şart haline dönüşmesi. Bu doğrultuda KVKK’ya uyumun ötesinde, GDPR ve uzantısı regülasyonlara da uyum sağlamak için daha geniş kapsamlı önlemler alınmalıdır. GDPR, içeriği, ceza hükümleri ve sorumluluk dağılımları açısından KVKK’dan farklılaştığı için, Türk şirketler için ayrıca gözden geçirilmesi gerekliliği mevcuttur. Verilerin işlenmesi, aktarımı ve imhası ile ilgili tüm hukuki ve teknolojik önlemlerin GDPR beklentisi doğrultusunda alınması gerekmektedir.

 

Ragıp Atik, Comdata Türkiye, IT Direktörü

Öncelikli stratejimizi mevzuata uyum olarak belirledik

2016 yılında KVKK’nın kısmen yürürlüğe girmesiyle birlikte,  öncelikle kendimize ayna tutarak çalışmalarımıza adım attık. Bu konuda Şirket avukatımızın liderliğinde sorumlu ekibimizle birlikte proje grubu oluşturarak, yasal mevzuatı güncel olarak takip etmeye başladık. Hem veri sahibi hem veri işleyicisi sıfatıyla kendimizi ve süreçlerimizi gözden geçirmeye başladık. Bu konuda öncelikli stratejimizi mevzuata uyum olarak belirledik. İlk olarak hangi departmanlarda hangi veriler bulunuyor tespit ettik, aydınlatma metinlerimizi hazırladık. Müşteriden gelen verilerin analizi yaparak, veri nerede tutuluyor, nasıl saklanıyor inceledik.  Ne kadar sürede imha edilmesi gerekiyor konusunda kurallara baktık.  Kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunmasını düzenleyen tüm bu çalışmalar özelinde, çıkan her bulguyu alınması gereken her aksiyonu kayıt altına aldık. İç denetimlerimiz ve şirket içi farkındalık çalışmalarımızla önümüzdeki dönemde çok kapsamlı bir ajanda üzerinde ilerleyeceğiz.

Tüm çalışanlarımızın farkındalığını da önemsiyoruz.

Çağrı merkezi hizmetlerimizin temel bileşeni teknoloji. Veri gizliliği alanında temel aksiyonların teknoloji alanında alınması gerekiyor. Bunun yanında tüm çalışanlarımızın farkındalığını da önemsiyoruz. Yaptığımız bilgilendirmeler, e-eğitimler, duyurular, sözleşme ve prosedür değişiklikleri ile entegrasyonu sağlıyoruz. Operasyondaki farkındalığı artırmak için iletişim çalışmaları yürütüyoruz. Yapılan aksiyonları mutlaka eş zamanlı olarak müşterilerimizle de paylaşıyoruz. Kurumsal müşterilerimizin verilerini işlememiz sebebiyle, veri işleyici olarak önemli sorumluluklara sahibiz. Teknolojiyi de kullanarak sunduğumuz uçtan uca DLP ve Endpoint Security güvenlik çözümleri ile müşterilerimizin güvenle iletişimlerini bize emanet etmelerini sağlıyoruz.

En çok zorlandığımız konular, verilerin tespiti ve sınıflandırması diyebiliriz.

Gerekliliklerin yerine getirilmesi aşamasında en çok zorlandığımız konuların başında oluşan verilerin tespiti ve sınıflandırması diyebiliriz. 80’e yakın farklı müşteri ile çalışıldığı için tüm müşterilerin datalarını tek tek incelenmesi gerekiyordu. Ayrıca bu kritik bilgilerin IT süreçleri ile entegre edilmesi hem uzun  efor gerektiren ayrıca maliyet yaratan kalemler olarak karşımıza çıktı. Bunun yanında arşivleme isterlerinin de yerine getirilmesi hem zahmetli hem de maliyetli çalışmalar.

Sektörümüz KVKK’ya uyum konusunda tüm çalışmaları dikkatle takip ediyor. Bu alanda birçok seminere katılıyoruz, bu eğitimler esnasında sektörün de yoğun ilgisini gözlemliyoruz. KVKK’ya uyum konusunda çağrı merkezlerinin gündemin gerisinde kalması mümkün değil. Müşteri datasının yönetildiği bir hizmet kapsamında uyum oldukça kritik. Şirketimiz, KVKK’ya uyum konusunda çok hızlı ve aktif bir uyum süreci yaşadı. Bu noktada sektörün başını çeken firmalardan olduğumuzun altını çizmek isteriz.

Şirketimiz Genel Veri Koruma Tüzüğüne de tabii

Genel Veri Koruma Tüzüğü, Türkiye’den yurtdışına hizmet sunan firmaları özellikle etkiliyor. Şirketimiz, Avrupa Birliği’ne üye ülkelerle çalışması ve yabancı dilde hizmet sunması sebebiyle bu tüzeğe tabii. GDPR’ın uyumluluk standartları çok keskin, ceza yaptırımları var ve denetim mekanizması ile ilerliyor. Türk Şirketleri, gelen çağrı ve dış aramalarda tüzüğe uygun olarak IVR sistemlerini yenilemek zorundalar. İşleyişte büyük farklılıklar var, örneğin Kalite kayıtlarının saklanması kavramı tüzüğe uygun değil. Avrupa Birliği’ne üye ülkelere hizmet sunan tüm firmaların tüzüğe uygun hareket etmesi, hizmetlerini kurallara göre revize etmesi zorunlu.