RPA Projelerinde GDPR ve Veri Koruması

Robotik süreç otomasyonu söz konusu olduğunda, en sıcak konular, iş piyasasına yönelik potansiyel tehdit ve RPA projeleri bağlamında veri koruma sorunudur .

İlk konuyu, “ İş piyasası için bir tehdit mi yoksa fırsat olarak robot mu?” makalesi de dahil olmak üzere birçok kez tartıştık. ” ve Robotik Üniversitesi'ndeki dersler sırasında . Bu yüzden bu sefer ikinci konuya odaklanmak istiyoruz. Özellikle de robotik süreç otomasyonunun, terimin geniş anlamıyla veri koruma sorunlarına mükemmel bir çözüm olması nedeniyle .

RPA Projelerinde Veri Koruması Neden Bu Kadar Büyük Önem Taşıyor?

Her şeyden önce, tehditler gerçektir ve bundan birkaç kez bahsedilmiştir. ZFODO'nun " Incydenty Ochrony Danych Osobowych 2021 " raporuna göre, özellikle veri koruma ihlali riski taşıyan sektörler şunları içerir:

• Ticaret,
• E-ticaret,
• Sağlık,
• Endüstri,
• Sigorta.

Yaklaşık 400 şirket arasında yürütülen rapor, veri ihlali olaylarının yaklaşık %70'inin Veri Koruma Düzenleyicisine bildirilmediğini tespit etti . En yaygın veri ihlali türü, kişisel verilerin yetkisiz alıcıya ifşa edilmesiydi. 

Olayların sayısı ve ciddiyeti hızla artıyor. Şirketlere sağladığı tartışılmaz faydaların yanı sıra, dijital dönüşümün, korunması gereken büyük miktarda veriyle ilgili daha karanlık tarafları da var.

Evrensel Bir Rehber Olarak GDPR

Avrupa Birliği'nde bu konudaki en iyi referans noktası, gerçek kişilerin aşağıdakilerle ilgili olarak korunmasına ilişkin 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 sayılı Tüzüğü olarak bilinen GDPR'dir. kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ve yürürlükten kaldırılan 95/46/EC sayılı Direktif.

GDPR yalnızca AB içinde geçerli olsa da, genel olarak kişisel verilerin işlenmesi ve korunmasına ilişkin mükemmel bir iyi uygulama örneği olarak kabul edilmektedir.

GDPR Kapsamındaki İlkeler ve Haklar

GDPR, aşağıdakiler de dahil olmak üzere bir dizi temel ilke varsayar:

• Yasallık – kişisel verilerin işlenmesi, yasa koyucu tarafından normatif düzenlemelerde belirlenen kurallara saygı duyarak yasaya uygun olarak yapılmalıdır.
• Adillik ve şeffaflık – veri denetleyicisi, veri konularını ilgilendiren tüm konularda açık ve kesin bilgi sağlamakla yükümlüdür.
• Amaç sınırlaması – kişisel verilerin toplanma amacı açıkça belirtilmeli, açık ve yasal olarak gerekçelendirilmelidir.
• Yeterlilik – kişisel veriler, işlenme amaçları için yeterli, ilgili ve gerekli olanla sınırlı olmalıdır.
• Doğruluk – işlenen kişisel veriler doğru olmalı ve gerekirse güncellenmelidir.
• Depolama sınırlaması - veri denetleyicisi, kişisel verilerin işlenmesini zamanında sınırlamakla yükümlüdür.
• Dürüstlük, gizlilik ve hesap verebilirlik – kişisel veriler, yeterli korumayı sağlayacak şekilde işlenmelidir.

RPA Projelerinde GDPR İlkeleri ve Veri Koruması

Yasallık

Hukuka uygunluk ilkesi doğası gereği çok geneldir. Tek kelimeyle – robotlarımız verileri yasalara uygun olarak işlemelidir . Bu konuda herhangi bir özellikle pratik rehberlik sağlamak çok zordur. Robotların tedariki ve bakımına yönelik tüm anlaşma ve sözleşmelerin veri işlemeye ilişkin hükümler içerdiğinden emin olunması kesinlikle önemlidir . Verilerin nasıl kullanılacağı açıkça belirtilmelidir. Kimlerin hangi koşullarda veri işleme hakkına sahip olacağını belirtmeliyiz. Çoğu zaman, bu tür belgeler, ilgili taraflar arasındaki verilerin sorumluluğunun paylaşılmasını da belirtir.

Adalet ve Şeffaflık

Veri denetleyicisine dayatılan adalet ve şeffaflık ilkesi oldukça sezgiseldir. Verileri nerede ve hangi amaçla topladığımızı ve işlediğimizi bilmemiz gerekir. Genellikle, bu tür bilgiler bilgi sistemi belgelerinin veya süreç açıklamalarının bir parçası olmalıdır. Her kuruluşun, süreç sahipleri olarak bilinen ve belirli görevler hakkında ayrıntılı bilgiye sahip olan bireysel süreçlerden sorumlu kendi personeli vardır. Ancak uygulamada, genellikle bu tür belgelerin bulunmadığı veya eksik olduğu görülür. Robotların devreye girebileceği yer burasıdır. Popüler platformlar, verimli ve güncel olan optimum süreç dokümantasyonunu sağlamak için yerinde bir süreç akış şeması oluşturabilen araçlar sunar.

Amaç Sınırlaması ve Yeterliliği

Amaç sınırlaması ve yeterliliği ilkeleri genellikle robotlar için geçerli değildir. Veri toplama amacımız, belirli BT çözümlerinden bağımsızdır. Ancak bazı durumlarda robotlar, işlemin doğru yürütülmesi için gerekli olan ek veri kümeleri oluşturabilir. Bu gibi durumlarda amaç sınırlaması ve yeterliliği ilkeleri geçerlidir ve bu tür veri setlerinin neden oluşturulduğu ve işlendiği açık olmalıdır.

Kesinlik

Doğruluk ilkesi, robotik çözümler bağlamında özellikle önemlidir. Her şeyden önce, verilerdeki hatalar, özellikle kişisel verilerdeki hatalar, genellikle insan hatasından kaynaklanır. Robotların kullanılması bu sorunu fiilen ortadan kaldırarak veri kalitesini artırmaktadır. Ayrıca robotlar, veri izleme ve doğrulama süreçleri gibi monoton görevleri yerine getirmek için idealdir. İnsan ekipleri için, verilerin doğruluğunu ve tutarlılığını büyük ölçekte doğrulamak neredeyse imkansızdır. Buna karşılık, robotlar, tutarsızlıklar için seçilen bölümleri ve hatta tüm veritabanlarını zahmetsizce inceleyebilir ve hatta bunları sürekli olarak otomatik olarak doğrulayabilir.

Depolama Sınırlaması

Veriler genellikle uygulama veritabanlarında depolandığından, depolama ilkesi doğrudan robotlar için geçerli değildir. Ancak, robotların belirli işlemleri gerçekleştirmek amacıyla kişisel verileri dahili kayıtlarında veya sistem günlüklerinde sakladıkları da olabilir. Böyle bir durumda veriler, söz konusu işlemler için artık gerekli olmadığı anda silinmelidir. Genel olarak, kesinlikle gerekli olmadıkça, bu tür veri depolamadan tamamen kaçınılmalıdır.

Dürüstlük, Gizlilik ve Hesap Verebilirlik

Şimdiye kadar tartışılan tüm ilkeler esas olarak prosedürle ilgili konularla ilgili olsa da, bütünlük, gizlilik ve sorumluluk ilkesi robotik süreç otomasyonu için en büyük pratik sonuçlara sahiptir . RPA projeleri söz konusu olduğunda, veri koruma, sistemlerin devam eden işleyişiyle ilgili bir konudur. Bu nedenle, bunu her zaman hatırlamalı ve herhangi bir arıza, hata veya saldırı girişimini gerçek zamanlı olarak izlemeliyiz. Doğruluk ilkesinde olduğu gibi, bu durumda da robotlar, veri güvenliğinin ve kalitesinin artırılmasına büyük katkı sağlayabilir.. Bir yandan, veri bütünlüğünden ödün verebilecek insan hatalarını ortadan kaldırırlar. Öte yandan, verilere erişimi sınırlayarak gizliliğini önemli ölçüde artırırlar. Verileri güncelleme ve senkronize etme rutin görevleri robotlara emanet edilirse, bu tür verilerin olası kötüye kullanım riski önemli ölçüde azaltılacaktır. Ek olarak, robotlar söz konusu olduğunda, verilere her bir erişim geriye doğru izlenebilir. Robot tasarım düzeyinde, en kısıtlayıcı veri erişimi raporlama ilkelerini bile uygulayabiliriz. Herhangi bir şüphe durumunda, robotun verileri hangi koşullar altında, ne zaman, ne kadar süreyle ve hangi amaçla kullandığını kesin olarak belirleyebiliriz.

Robotlar (RPA) Haklarımızı Nasıl Koruyor?

GDPR, yukarıda açıklanan ilkelere ek olarak, veri sahiplerinin verileriyle ilgili olarak kullanabilecekleri hakları da düzenler. Çoğu doğrudan robotlar için geçerli olmasa da hepsinden bahsetmekte fayda var. Yukarıda belirtilen haklar şunları içerir:

• Kişisel verilerin işlenmesine ilişkin ayrıntılı olarak bilgilendirilme hakkı
• Kişisel verilerin düzeltilmesi ve eklenmesi hakkı
• Silme hakkı
• İşlemeyi kısıtlama hakkı
• Veri taşınabilirliği hakkı
• Veri işlemeye itiraz hakkı
• Veri işleme iznini yönetme hakkı
• Kişisel veri ihlallerinden haberdar olma hakkı
• Veri Koruma Görevlisi ile iletişim kurma hakkı

RPA açısından en önemlisi, veri işlemeye itiraz etme hakkıdır . Önemli yasal etkileri olan otomatik karar vermenin tamamen yasaklanmasını içerir. Uygulamada bu, insan müdahalesi ihtimalini ortadan kaldıran karar alma süreçlerini devralacak robotların kullanımı için müşterilerin açık rızasını almamız gerektiği anlamına geliyor. Bu yaygın bir durum değildir, ancak bunu akılda tutmaya değer. Genellikle böyle bir durumda, müşterinin haklarını ihlal etmemek için robotlar yalnızca belirli başlangıç ​​işlemlerini gerçekleştirir ve sonuçta tüm kararları insanlar verir.

Veri sahiplerinin kalan haklarının korunmasının sağlanması söz konusu olduğunda, robotlar bize çok yardımcı olabilir. Örneğin, veri düzeltme ve tamamlama süreçleri genellikle tekrarlayıcıdır ve doğru olması gerekir. Robotlar için daha iyi bir görev hayal etmek zor. Veri sahiplerinin silme hakkını kullanmak, bunları değiştirmek veya anonim hale getirmek için büyük veri kümelerinin aranmasını gerektirebilir. Aynı şekilde, veri sahiplerinin veri taşınabilirliği hakkını kullanmak insanlar için oldukça zahmetli olabilir. Buna karşılık robotlar, istek üzerine tüm verilerin eksiksiz bir özetini verimli bir şekilde hazırlayabilir.

Sonuçlar

Robotlar, verileri sızıntıya veya kötüye kullanıma karşı korumada çok etkilidir. Verilere erişim veya yetkisiz kişilere açıklanması açısından insan hatası riskini tamamen ortadan kaldırmaya izin verirler. Robotları kullanırken yanlış yerlere veri girme veya yetkisiz kaynaklardan alma riski yoktur. Robotun kodunda her zaman bir hata olasılığı vardır, ancak bunlar test sürecinde büyük ölçüde ortadan kaldırılır. En iyi mühendislik uygulamaları gözlenirse, bu tür hataların riski insan hatalarına kıyasla çok daha azdır.

Robotik çözümler uygulayarak, veri işleme ile ilgili tüm faaliyetlere ilişkin tam bir içgörüye sahibiz ve çoğu durumda tam otomatik veri izlemenin avantajlarından da yararlanabiliyoruz. Bu, yalnızca GDPR gibi düzenleyici hususlar bağlamında değil, aynı zamanda her şeyden önce yetkisiz erişim ve kullanıma karşı etkili veri koruması bağlamında operasyonel riskleri önemli ölçüde en aza indirmeye olanak tanır.

Robotlar, her Veri Koruma Görevlisinin önemli müttefikleridir.

Kaynak:https://dtmates.com/en/business/gdpr-and-data-protection-in-rpa-projects/