KVKK'ya uygunluk, siber saldırılardan korurken milyonlarca TL'lik ceza riskini de önlüyor

Serbest Kürsü
Serbest Kürsü

Haldun PAK - Rasyotek Yönetim Kurulu Başkanı

7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren, 6698 sayılı Kişisel Verilerin Koruması Kanunu (KVKK) ile şirketlerin idari ve teknik tedbirler başlıklarında öngörülen birçok adımı eksiksiz ve hatasız yerine getirmesi, kanuna uygun şekilde gerekli düzenlemeleri yapması gerekmiştir. 7 Nisan 2021’de beşinci yılını dolduran kanun ile ilgili günden güne farkındalık artsa da halen pek çok işletmenin veri güvenliği anlamında çeşitli eksikleri olduğuna ve hemen her gün gerçekleşen binlerce siber saldırıda, şirketlerin ve o şirketlerde kişisel verileri bulunan milyonlarca vatandaşımızın zarar gördüğüne şahit oluyoruz. Kimi işletmelerde kısmi anlamda da olsa değişimler ve geliştirmeler gerçekleştirilirken ne yazık ki kimi işletmeler, hali hazırda veri işleyen ve veri sorumlusu sıfatına haiz olduklarının bile farkında değildir. Oysa çalışan, müşteri, ziyaretçi ya da tedarikçilik gibi pek çok farklı açıdan kişisel verilere bir şekilde ulaşan her gerçek ve tüzel kişi, Kişisel Verilerin Korunması Kanunu’na tabidir ve Kanun’un gereklerine harfiyen uymalıdır.

Uluslararası arenada veri güvenliği ve siber saldırılar

Son dönemlerde medyada da geniş yer alan bulan haberlerde görüldüğü üzere, Türkiye’de de önemli oranda veriye sahip birçok ulusal ve uluslararası şirket, Facebook, Linked-in gibi dünyada milyonlarca kişinin verisini işlemekte olan sosyal medya platformları veri kayıpları yaşamışlardır. Avrupa Birliği’ne bağlı ülkelerde GDPR (General Data Protection Regulation) adıyla korunan kişisel veriler, ülkemizde de Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altındadır. Ne var ki bu Kanun tarafından belirtilen her bir noktaya azami hassasiyet göstermek ve tüm kurallarına istisnasız şekilde uymak da veri sorumlularının birincil önceliği olmalıdır. Aksi takdirde verilerimizin siber saldırganların eline geçmesine engel olamayız.

Kişisel Verileri Koruma Kurumu’nun işletmelerden bekledikleri

Kişisel Verileri Koruma Kurumu’nun kişisel veri işleyen tüm gerçek ve tüzel kişilerden bekledikleri ilgili kanun ile madde madde belirtilmiştir. Bunlar idari ve teknik tedbirler olarak ayrılmaktadır. İdari tedbirler, kanun açısından yorumlanması ve düzenlenmesi gereken süreçleri ifade ederken teknik tedbirler; bir siber güvenlik uzmanının ya da bilgi teknolojilerinden sorumlu kişilerin dikkate alması gereken başlıkları ifade etmektedir.

Teknik tedbirleri bir bütün olarak ele aldığımızda, kurumlardaki bilişim teknolojileri (BT) uzmanlarına oldukça fazla iş düşmektedir. Kişisel veri içeren ortamların güvenliğinin sağlanmasından veri yedekleme işlemlerine, bulutta veri depolama ve siber güvenliğin sağlanmasına kadar pek çok farklı başlıkta oldukça önemli birçok madde bulunmaktadır.

Teknik tedbirlere göre hazırlanmış ve KVKK uygunluğu göstermiş bir işletmenin her adımı tamamladığını da söylemeyiz. Kanuna uygunluk için idari tedbirler de en az teknik tedbirler kadar büyük önem taşımaktadır. Mevcut uygulamada kullanılan tüm dokümanların Kişisel Verilerin Korunması Kanunu’na (KVKK) uyumlu hâle getirilmesinden, VERBİS kayıtlarının yapılmasına, aydınlatma yükümlülüğünün yerine getirilmesinden, gerekli görülen hallerde açık rıza formlarının kanuna uygun şekilde hazırlanması ve onayların alınmasına kadar pek çok ayrı başlıkta yapılması gereken idari kurallar bulunmaktadır. Bunlarla birlikte çalışanların eğitilmesi ve farkındalık çalışmaları da idari tedbirler içinde zorunlu tutulan bir diğer husustur.

Kişisel Verilerin Korunması Kanunu kapsamında KVKK farkındalık eğitimleri

Türkiye'de özel ve kamu dahil yaklaşık 30 milyon kişi için bilinçli bilişim okur yazarlığı büyük önem taşımaktadır. KVKK eğitimi, veri güvenliği konusunda insanların gerekli donanıma ve farkındalığa ulaşabilmesi için büyük önem taşımaktadır. Aynı zamanda Kanun’da da açıkça belirtildiği üzere işverenlerin çalışanlarına bu eğitimi aldırma sorumluluğu bulunmaktadır. Bu sorumluluğu yerine getirmedikleri takdirde doğabilecek herhangi bir aksi durumda ciddi idari para cezaları ve hatta hapis cezaları ile karşı karşıya kalınmaktadır.

KVKK kurallarına uygunsuzluk hâlinde cezalar

6698 sayılı Kanun’un 18.maddesine ve Türk Ceza Kanunun 135.-140. maddelerine göre; kişisel veri ihlalleri, VERBİS kaydının yapılmaması, aydınlatma yükümlülüğünün yerine getirilmemesi vb. durumlarda 9.834 TL ile 1.966.862 TL arasında değişen idari para cezaları, 1 yıldan başlayarak 6 yıl 9 aya kadar çıkan hapis cezaları riski bulunmaktadır. İhlali gerçekleştiren kurumun yapısına ve ihlalin gerçekleşme sebebine göre, ceza tutarı ve cezanın uygulaması farklılık göstermektedir. 2017 yılından beri, Kişisel Verileri Koruma Kurumu tarafından emsal niteliğindeki kurul kararları ve ciddi oranda veri ihlali yapan kurumların duyuruları kurumun internet sitesi üzerinden paylaşılmaktadır.

 

Yazara Ait Diğer Yazılar Tüm Yazılar