Pandemi’nin dijital dönüşüm fırtınasını güçlendirdiği ‘Veri Çağı’nda, şirketlerin ve kurumların sürdürülebilirliği için verilerin ve kişisel verilerin korunması, stratejik bir önem taşıyor. Kişisel verileri korumanın bir insan hakkı olarak kabul edildiği Veri Çağı’nda, işletmeler verilerini ve ellerindeki müşterilerine, çalışanlarına, tedarikçilerine, iletişimde oldukları kişi ve kurumlara dair verileri ve kişisel verileri; etik, uyumlu, güvenli kullanma ve koruma konusunda yasal olarak da sorumlu. İş gereklililiği ve yasal yaptırımların yanı sıra verileri ve kişisel verileri koruma, işletmelerin sürdürülebilirliği, marka değeri ve ticari itibarlarını korumaları açısından da hayati önemde. Kaldı ki müşteri verilerini koruyamayan veya başkalarıyla paylaşan şirketleri 1 milyon TL’ye kadar para cezası bekliyor. Bunun için de ‘KVKK Çözümleri’ne ihtiyaç var.
Türkiye konuyla ilgili mevzuat çalışmalarını sürekli güncelleyen ülkeler arasında. ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’ 7 Nisan 2016 tarihinde yürürlüğe girdi, tanınan uyum süresi 31.12.2019’da sona erdi; kanundan doğan sorumluluklar ve haklar başladı. Kişisel verileri işleyen gerçek ve tüzel kişiler, şirketler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kaydolmak zorunda. Bu yapılmazsa Kanun’un 18. maddesindeki yaptırımlar devreye girecek.
Mevzuat, dijitalleşmedeki yeni gelişmelere göre güncellenmeye devam ediyor. Kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlıyor.
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanıyor. Örneğin; müşterilerin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamda.
Kişisel Verileri Koruma Kurumu 10 binden fazla başvuruyu sonuçlandırdı
Kişisel Verileri Koruma Kurumundan (KVKK) yapılan açıklamaya göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında 12 Ocak 2017’de göreve başlayan Kurum’a bugüne kadar 11 bin 514 başvuru gerçekleştirildi. Bunlardan 10 bin 156’sı sonuçlandırıldı, 1358’inin işlem süreci devam ediyor. Bugüne kadar 726 veri ihlali bildirimi başvurusu yapıldı, bunlardan 169’u kamuoyuyla paylaşıldı. KVKK tarafından bugüne kadar Kanunla ilgili 705 hukuki görüş verildi.
Geçen yıl Kuruma yapılan 4 bin 513 başvuru, çalışmalara başlandığı yıldan itibaren alınan en çok başvuru olarak kayıtlara geçti. KVKK, bunlardan 3 bin 586’sını sonuçlandırdı, 927’sine ilişkin süreç devam ediyor. Bu başvurulardan 328’ini ‘veri ihlal bildirimi’ oluşturdu, bunlardan 78’i Kurum’un internet sitesinde ilan edildi. Geçen yıl kanunla ilgili 178 hukuki görüş verildi.
Türkiye’de hak arama kültürünün geçmiş yıllara göre yaygınlaştığına işaret edilen açıklamada, kanun kapsamında kişilerin kendilerine ait verilerin işlenip işlenmediğini öğrenme, işlenmişse bilgi isteme, amacına uygun kullanılıp kullanılmadığını öğrenme, eksik veya yanlış işlenmişse düzeltme gibi birtakım haklara sahip bulundukları, herhangi bir veri ihlali meydana gelmeden de kişilerin kanun kapsamında sahip oldukları haklar çerçevesinde başvuruda bulunabildiği belirtildi.
Yeni ‘ilke kararı’: KVKK’nin açıklamasında 2021’de yeni bir ilke kararının alındığı kaydedildi. Şikayet üzerine veya resen inceleme sonucu ihlalin yaygın olduğunun tespiti halinde ‘ilke kararı’ alındığı belirtilen açıklamada, bugüne kadar 6 ilke kararının yayımlandığı bilgisi paylaşıldı. Geçen yıl yayımlanan kararın, kişilerin telefon numarası ve e-posta adresi gibi iletişim kanallarına kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel verilerle ilgili ‘ilke kararı’ olduğu anlatıldı: “Bu ilke kararıyla kişisel verileri işleyenler tarafından kişilerin iletişim kanallarına, kanuna aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura ve buna benzer belgelerin gönderilmesinin önlenmesi amaçlandı. Bu çerçevede kişilerin iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması kararlaştırıldı.”
Yapay zeka alanında kişisel verilerle ilgili tavsiyeler yayımlandı: KVKK’nin 2021’deki çalışmalarından biri de ‘Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler’in yayımlanması. Açıklamada ayrıca; ‘Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’, ‘Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi Broşürü de geçen yıl KVKK tarafından kamuoyuyla paylaşıldı.
KVKK ve veri güvenliğinde işletmeler nelere dikkat etmeli?
VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırılmalı. Sicile kayıt ve bildirim yükümlülüğü, VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsıyor.
• Faaliyet ana konusu kişisel veri işlemek olmayan ve istihdamı 50’den az olan KOBİ’ler kanun kapsamı dışındadır.
• İlginin açık rızası olmaksızın işlenmesi yasak özel veriler işlenmemeli: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
• İşletmeler, kurum ve kuruluşlar, KVKK ve veri güvenliği konusunda tüm siber güvenlik önlemlerini almalı.
KVKK çözümleri ve ilgili teknolojiler
Yapay Zeka, Büyük Veri (Big Data), Siber Güvenlik, İş Analitiği, Cihaz Kurulumu ve Konfigürasyonu, Sensörler, Yetki Matrisi / Yetki Kontrol Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği / Ağ Erişim Kontrolü (NAC), Veri Maskeleme ve Şifreleme / Veri Kaybı Önleme (DLP) Yazılımları / Veri Sızıntısı Önleme (DLP) Testi / Veri Sınıflandırma, Logging ve Monitoring, Masaüstü ve Sunucu Yedekleme / Sunucu Oturumu Kaydı, Siber Güvenlik / Uygulama Güvenliği / E-Posta Güvenliği Testi / Güvenlik Duvarları / Güncel Anti-Virüs Sistemleri, Şifreleme / Şifreleme Testi, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Web Güvenliği ve ADC Testleri, Log Kayıtları / Log ve SIEM Teknolojileri Testi, Yedekleme, Veri Silme, Yok Etme veya Anonim Hale Getirme / Veri Silme ve Yok Etme Testi / Veri Tabanı Güvenliği Testi, Zaman Damgası Testi, Anahtar Yönetimi, İdari Tedbirler, Kişisel Veri İşleme Envanteri / Kişisel Veri Tespit Testi, Tokenizasyon Testi, KVKK Modülü, KVKK Uyumluluk Testi, Mobil Cihaz Yönetimi (MDM) Ürünleri, Yetki ve Erişim Denetim Ürünleri, Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.), Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında), Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi), Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.), Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun), VERBİS’e Bildirim, VERBİS Kayıt Süreci Yönetimi, Zorunlu KVKK Eğitimi, Denetim Hizmetleri, KVKK Danışmanlığı, KVKK Uyum Danışmanlığı.
KVKK ve GDPR uyum süreci
Veri koruma mevzuatımız Avrupa Birliği (AB) ile uyum sürecinde şekilleniyor. Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmelik GDPR (General Data Protection Regulation-Genel Veri Koruma Yönetmeliği), 25 Mayıs 2018’den itibaren yürürlüğe girdi. AB’ye üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamayı amaçlayan GDPR, AB sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu AB sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutuluyor. GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar bekliyor. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde AB vatandaşlarının verisini işleyen gerçek ve tüzel kişilerin GDPR’ye ayrıca ve açıkça uyum sağlaması şartı sözkonusu. Dolayısıyla e-ticaret siteleri de bu kurallara uymak zorunda.
*Bilgi için: www.kvkk.gov.tr
Suçlar ve cezalar
Kanunun;
a) 10’uncu maddesinde (Veri sorumlusunun aydınlatma yükümlülüğü) öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15’inci maddesi uyarınca Kurul (Kişisel Verileri Koruma Kurulu) tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
Veri ihlali sonrasında atılması gereken 10 temel adım
Günümüzde Dünya genelinde veri ihlalleri, olay başına 4.2 milyon dolardan fazlaya mal oluyor. Ortalama büyüklükteki bir kuruluşun veri ihlalini bulması ve kontrol altına almasının günümüzde 287 gün sürdüğü tahmin ediliyor. Siber güvenlik şirketi ESET artan veri ihlalleri sonrasında yapılması ve yapılmaması gerekenleri sıraladı: “Sakin olun. Olay tepki planınıza uyun. İhlalin kapsamını değerlendirin. Hukuk birimini dahil edin. Ne zaman, nasıl ve kime bildirimde bulunacağınızı bilin. Emniyet birimlerine bilgi verin. Müşterilerinize, iş ortaklarınıza ve çalışanlarınıza söyleyin. Kurtarma ve düzeltme çalışmalarına başlayın. Gelecekte olabilecek saldırılar için sağlam bir yapı oluşturmaya başlayın. En kötü olay tepkisini inceleyin.”
2021’de KVKK’ya 48 veri ihlal bildirimi yapıldı, 25 milyondan fazla kişi etkilendi: Kişisel Verileri Koruma Kurumu’na (KVKK), 2021 boyunca 48 veri ihlali bildirimi yapıldı ve 25 milyondan fazla kişi etkilendi. Eğitim, teknoloji, sağlık, bankacılık, kozmetik ve e-ticaret sektörlerinin ciddi sayıda veri ihlali bildirmiş olması ise dikkat çekti. KVKK’ya bildirilen ihlallerin neredeyse yarısının kaç kişiyi etkilediğinin hala tespit edilemediğini belirten Siberasist Genel Müdürü Serap Günal, veri güvenliği konusunda KOBİ’lerin büyük kuruluşlara kıyasla halen yetersiz kaldığının altını çiziyor. KOBİ’ler gereken tedbirleri almadıkça veri ihlaliyle karşılaşma ihtimalinin arttığını vurgulayan Günal, siber saldırganların gözde durağının e-ticaret siteleri olduğunu ifade ederek, uyardı: “Bu platformların biriktirdiği hassas verilere göz diken yüzlerce siber saldırgan var. Kullanıcılarının kişisel verilerini güvende tutmak için e-ticaret şirketlerinin KVKK’ya uyum süreçlerini tamamlaması ve hukuken gerekli tüm düzenlemeler ile teknik hazırlıklarını avukatlar ve siber güvenlik uzmanları aracılığıyla yaptırması gerekiyor.”
Veriler ve kişisel verilerin korunmasını sağlayan teknolojiler: KVKK Hizmetleri ve Güvenlik Çözümleri
Veriler ve kişisel verilerin korunmasını sağlayan teknolojiler: KVKK Hizmetleri ve Güvenlik Çözümleri
Şirketlerin ve kurumların verilerinin, müşterilerinin, çalışanlarının, tedarikçilerinin kişisel verilerinin güvenliğinde; özellikle; ‘KVKK Hizmetleri ve Güvenlik Çözümleri’ önemli rol oynuyor. Şirketlerin ticari itibarlarını ve marka değerlerini koruyan KVKK hizmetleri ve güvenlik çözümleri, sürdürülebilirliği de sağlayarak onları geleceğe taşıyor.