Dijital dünya çığ gibi büyüyor! Ne yapmalı?
Dünya genelinde kişisel veri, son yıllarda sıkça gündeme gelen önemli kavramlardan biri. Kişisel verilerin önemi ve değeri kadar konuşulan bir başka konu ise; veri ihlalleri. Rasyotek Genel Müdür Yardımcısı Uysal, “Pandemi döneminde pek çok kurum evden çalışma modeline geçmek zorunda kaldı. Bu dönemde yeterli güvenlik önlemini alamamış firmalar, pek çok siber saldırıların hedefi haline geldi.” dedi.
info@karadenizekonomi.com / 23.09.2020
Siber Güvenlik, Kişisel Verilerin Korunması gibi konular son günlerde herkesçe merak edilen ana başlıklar oldu. Rasyotek Genel Müdür Yardımcısı Erdi Uysal ve Avukat Alara Yılmaz gazetemize özel açıklamalarda bulundu.
EKİBİN YÜZDE 50’Sİ BİLİŞİM KÖKENLİ
Rasyotek firması ile ilgili bilgi veren Uysal, “2015 yılında kurulmuş bir bilişim firmasıdır. Kuruluşumuz sırasında SGK kurumunun sağladığı teşviklerle alakalı hesaplamaları yapan bir danışmanlık hizmeti veriyorduk. Ancak ilerleyen yıllarda bu hizmetlerle bağlantılı olan bordrolama, KVKK danışmanlığı gibi süreçlerde faaliyetler alanlarımızı arttırırken sağlık sektörüne dijital çözümler gerçekleştiren ciddi bir yapıya bölündük. Uzmanlıkları çerçevesinde şirketlerin iş yükü oluşturan konularda da birtakım geliştirmelerde de bulunmaktır. Bunları ‘Süper Portal’ ile yapıyoruz. Süper Portal projesi aslında dijital ortamda müşterilerimizin ihtiyaçlarına uygun olarak sağlamış olduğumuz bir nevi ‘Sanal AVM’ mantığında iş yükü oluşturan birbirinden farklı konularda çözüm oluşturan bir sistemdir. Rasyotek ekibinin yüzde 50’sine yakını tamamen bilişim kökenli personellerden oluşmaktadır.” şeklinde konuştu.
‘KİŞİSEL VERİ’ KAVRAMI NEDİR?
‘Kişisel Veri’ kavramına açıklık getiren Yılmaz, “6698 sayılı kişisel verilerin korunması kanunundan önce bizim hayatımıza girdi. Kanuna baktığımızda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak kanunda bir tanımı var. Anayasa mahkemesi kararında biz kişisel verinin ne olduğunu daha detaylı bir şekilde gördük. Bir kişinin adı, soyadı, cep numarası, banka bilgileri, pasaport bilgileri gibi her türlü bilginin kişiyi belirlenebilir kılması nedeniyle kişisel veri olduğunu söyleyebiliyoruz. Kişisel veri, nedir ne değildir diye bakacak olursak, bir tüzel kişiye ait bilgi kişisel veri değildir. Ancak Alara Yılmaz dediğimizde bu bir kişisel veri niteliğindedir.” dedi.
KİŞİSEL VERİLERİMİ NEDEN KORUMALIYIM?
Kişisel verilerin korunmasına neden ihtiyaç duyulduğu ile ilgili açıklamalarda bulunan Yılmaz, “Cep telefonlarımızda artık isim, soy isim, fotoğraf, adres gibi çok temel özelliklerden binlerce kişinin kişisel verisi bulunuyor. Hal böyle olunca bir mevzuata ihtiyaç duyuluyor. Neden böyle bir kanuna ihtiyaç duyulduğu ile ilgili örnek vermek gerekirse, 2016 yılında Yahoo arama motorunun 3 milyar kişisel veriyi ihlal ettiği bildirildi. 3 milyar vatandaşın kredi kartı bilgileri, e-posta bilgileri, telefon bilgileri bu ihlalle beraber çalınmış oldu. KVKK gibi mevzuatlar kurumlara belli sorumluluklar getirerek bu tip veri ihlallerin hiç yaşanmamasını eğer yaşanıyorsa da bununla ilgili önlemlerin en kısa sürede alınmasını sağlıyor. Kanunun çıkış noktası olarak teknolojik gelişimi örnekleyebiliriz.” dedi.
KANUNLA BİRLİKTE GELEN GÖREVLER
6698 sayılı kişisel verilerin korunması kanununu ve kanunla birlikte gelen sorumluluklara da değinen Yılmaz, “ Kanun tanımlarına baktığımızda bir veri sorumlusuyla karşılaşıyoruz. Biz veri sorumlusu dediğimiz zaman kişisel veriyi işleyen gerçek veya tüzel kişi olarak karşımıza çıkıyor. Bu veri sorumlusunun kişisel veriyi işleme kısmında ilk temas anından itibaren kanuna uygun hareket etmesi gerekiyor. Kanunda da buna ilişkin birtakım yükümlülüklerimiz var. Bir veriyi işleyeceğimiz zaman bu veriyi niye işlediğimizi ilgili kişiye bildirmemiz gerekiyor. Kanunda bu aydınlatma yükümlülüğü olarak tanımlanmış durumda. Ayrıca veri sorumluluğunun, veri güvenliğine ilişkin yükümlülükleri var. İdari ve teknik tedbirlerimiz var. İlgili kişiler, veri sorumlusuna başvuru yapabiliyorlar. Başvuru yaptığı takdirde veri sorumlusunun 30 gün içerisinde cevaplaması gerekiyor. Cevaplamazsa bu sefer ilgili kişi, kuruma şikâyet yolu açılmış oluyor. Bir veri ihlaliyle karşılaştığı zaman 72 saat içerisinde bildirme yükümlülüğünden söz edebiliriz. Bu veri ihlalini derhal kuruma veya ilgili kişilere bildirmesi gerekiyor. Bir de VERBİS’e kayıt yükümlüğünüz var. Kanun tarafında idari tarafta baktığımızda veri sorumlusunun bu yükümlüklerini eksiksiz olarak yerine getirmesi gerektiğini söyleyebiliriz.” ifadelerine yer verdi.
Teknik tedbirler kısmının kanunda genelde göz ardı edildiğinin altını çizen Uysal, “Altyapıların tamamı KVKK’nın konularını içeriyor. Örneğin, eski bir sistem kullanıyorsanız, yeni dünyanın getirdiği siber saldırılara karşı savunmasız kalıyorsunuz. Mesela pandemi döneminde pek çok kurum evden çalışma modeline geçmek zorunda kaldı. Bu dönemde yeterli güvenlik önlemini alamamış firmalar, pek çok siber saldırıların hedefi haline geldi. KVKK’nın teknik tedbirler tarafı, sistemlerin güncelliği, güncel tehditlere karşı yeterli korumaya alması noktasında birtakım öneriler veriyor.” ifadelerine yer verdi.
KURUMLARA DÜŞEN GÖREVLER
KVKK kapsamında kurumlara düşen sorumluluklarla ilgili konuşan Yılmaz, “ Kanunda bizim ne yapmamız gerektiğini aydınlatma yükümlüğü idari tedbirler başlığı altında birçok yükümlüğü getiriyor. Kurumların işlediği verileri ele alıp mevcut riskleri belirlemesi gerekiyor. Hangi verileri hangi süreçlere dâhil ettiğini, bu verilerin ihlali durumunda ne gibi sonuçlarla karşılaşacağını belirlemesi gerekecek kurumların. Veri ihlali olması durumunda ilgili kişilerin ne durumda etkileneceğinin tespit edilmesi gerekiyor. Bu sürecin aktif bir şekilde devam edilmesi için kurum çalışanlarına düzenli aralıklarla eğitim verilmesi gerekiyor. İlgili kişi başvuru yaptığı zaman başvuruyu nasıl yöneteceklerini bilmeleri gerekiyor. Veri ihlaliyle karşılaşılması durumunda bir veri ihlalinin oluşturulmasını öneriyoruz.” dedi.
30 EYLÜL TARİHİ SON!
VERBİS Kayıt Yükümlülüğünün 30 Eylül tarihinde sona ereceğini belirten Yılmaz, “Bu tarihe kadar bir veri sorumlusu eğer yükümlüyse bunu yerine getirmezse kanunun doğrudan para cezası getirme söz konusu. Kanunda 20 bin liradan 1 milyon liraya kadar para cezasıyla karşılaşması muhtemel. Kayıt yükümlüğü bulunan kurumların VERBİS’e kaydını gerçekleştirmesi gerekiyor. Kamu kurumları tarafından şu an hala devam eden bir süreç var 31 Mart 2021 tarihine kadar. Ama diğer şirketler açısından 30 Eylül’de kaydınızı gerçekleştirmeniz gerekecek.” dedi.
KİŞİSEL VERİLERİM İHLAL EDİLDİĞİNDE NE YAPABİLİRİM?
Kişisel verilerin bir kişi ya da kurum tarafından ihlal edildiği düşünüldüğü takdirde, ilgili kişilerin nasıl şikâyette bulunacağına dair açıklamalarda bulunan Yılmaz, sözlerini şöyle sürdürdü:
“Aslında her yerde kişisel verilimizi paylaşıyoruz. Bir veri sorumlusu benim kişisel verimi işliyorsa kanun, ilgili kişi olarak bana birtakım haklar tanımış durumda. Bir örnek vermek gerekirse; benim verilerimi kime aktarıyorsunuz diyerek başvurumu yapabilirim. Bir de veri ihlal tarafı var. Burda da veri sorumlusu aydınlatma yükümlüğünü yerine getirmiyorsa, hukuka aykırı işlemiş kabul ediliyor. Öncelikle veri sorumlusuna başvuru yapılması gerekli. Başvurudan sonra bana 30 gün içerisinde bir cevap vermesi gerekiyor. Verdiği cevap yeterli değilse ya da hiç cevap vermediyse ben bu sefer kuruma şikâyet edebiliyorum.”
VERİ İHLALİ YAŞANDIĞINDA YAPILMASI GEREKENLER
Bir veri ihlali yaşandığında yapılacakları da sıralayan Yılmaz, “Veri ihlali kurum nezdinde meydana geldiği takdirde veri ihlali prosedürün oluşturulması gerekli. Böyle bir şey yaşadığımızda öncelikle prosedürümüze bakıp hangi departmandan geldiği, hangi kişiye iletileceği, fiziki mi yoksa elektronik ortamda mı bir veri ihlaliyle karşılaştık gibi birçok şeyin tespit edilmesi gerekiyor. Bunları da hızlıca yapmamız gerekiyor ki kuruma 72 saat içerisinde bildirim yükümlülüğümüz var. En temel noktamız bu sürecin nasıl işletileceğine dair bir prosedürün oluşturulması ve bu prosedür doğrultusunda herkesin özellikle çalışanların bu konuda bilinçlendirilmesi ya da bunun ne şekilde raporlanacağının doğru bir şekilde çalışanlara aktarılması çok önemli. 72 saat içerisinde bildirim yükümlülüğü yerine getirilmezse, para cezası uygulanabiliyor.” şeklinde konuştu.
HAZAL PALAVAR / KARADENİZ EKONOMİ