Teknolojinin gelişmesi ile kişisel verilerin işlenmesi, saklanması ve muhafaza edilmesi için gerekli dikkat ve özenin yerine getirilmesi önem arz etmeye başlamıştır. Karşılaşılacak bir siber saldırı ya da izinsiz erişim ile kişisel veriler başka kişilerin eline geçebilmektedir ve istenmeyen kötü sonuçlar doğurabilmektedir.

Bir hayal edelim; herhangi bir işletmenin web sitesine ya da uygulamasına adımızı, soyadımızı, adres bilgilerimizi girerek üye olduğumuzu, işletmenin ise işlediği bu kişisel verileri korumak için gerekli teknik çalışmayı yapmadığı, uzmanından destek almadığını. İşletmenin veri kayıt sistemi karşılaştığı ilk siber saldırı ile zarara uğrayacak ve sistemdeki kişisel veriler başkalarının eline geçecektir.

Peki, kişisel verilerimiz bu üçüncü şahısların elinde olduğunda kendimizi ne kadar güvende hissedebiliriz? Tedirgin edici bir hayal farkındayız ama üzülerek söylemekteyiz ki günümüzde bu tarz veri hırsızlığı ile milyonlarca insan karşı karşıya kalmakta ve kişisel veriler üçüncü kişilerin eline geçerek ve kötü niyetle kullanılmaktadır.

Peki, açık rızamızla verdiğimiz bu kişisel verilerimizi koruması için veri sorumluların yükümlülükleri yok mudur? Elbette vardır. 6698 Sayılı KVKK 12. md.;

  • Kişisel verilerin hukuka aykırı işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin korunmasını sağlamakla yükümlü, bu yükümlülüklerini yerine getirirken gerekli güvenlik düzeyini sağlamakla yükümlü olduğu belirtmiştir.

Veri sorumlularının öncelikle kişisel verilerin nitelikleri, hangi derecede gizlilik içerdiğini, ihlal halinde oluşabilecek zararların kişiye etkisinin niteliğini belirlemesi faydalı olacaktır. Veri güvenliği konusunda da çalışanlarını bilgilendirmesi ve eğitim almalarını sağlayarak veri ihlallerine karşı mücadele etme yollarında farkındalık oluşturabilir. Her işletmenin, kurumun kişisel veri güvenliğine ilişkin bir politikası ve prosedürü olması gerekir. Kullanım amacı veya saklama süresi sona eren kişisel verilerin Kanunda ve Yönetmelikte belirlenen şartlar sağlanarak güvenli şekilde imha edilmesi gerekir. Güvenli imha, verileri korumakla yükümlü veri sorumlusunun riskini de azaltacaktır

Veri sorumlularının yanında veri işleyenlerde veri güvenliğinin sağlanması konusunda müştereken sorumludur. Bu sebeple veri sorumlusunun, veri işleyenin yaptığı çalışmaları denetlemesi ve raporlaması önem arz etmektedir. Ayrıca veri sorumlusu veri işleyen ile imzaladığı sözleşmede, veri işleyenin görevi boyunca işlediği kişisel verileri süresiz şekilde sır saklama yükümlülüğü altında olacağını hüküm altına alması faydasına olacaktır.

Yukarıdaki paragrafta açıkladığımız hususlar veri güvenliğine ilişkin idari tedbirler idi. Bu yazımızın konusu olan teknik tedbirler açısından baktığımızda ise KVKK’nın Kişisel Veri Güvenliği Rehberi, yine Kurul’un web sitesinde yayınladığı veri sorumluları tarafından alınması tavsiye edilen teknik ve idari tedbirlere ilişkin kamuoyu duyurusu, Kurul kararları, 6698 Sayılı Kanun ve ilgili yönetmelikler incelendiğinde veri sorumlusunun kişisel veri güvenliğinde alması gerekenleri şu şekilde özetleyebiliriz.

Veri sorumluları ve veri işleyenler, öncelikle hem genel sistemlerini hem de veri kayıt sistemlerini siber saldırılara karşı koruyabilmek için güvenlik duvarı gibi bazı ağ güvenlik cihazlarına sahip olmaları gerekmektedir. Bu ağ cihazları ve uygun konfigürasyonlar ile izinsiz erişimler ve ihlaller engellenebilir, çalışanların internette gezinirken kişisel veri sistemi ve diğer sistemlerin saldırıya uğrama riski dikkate alınarak tehdit içerikli online erişimlere ulaşılmaması sağlanabilir.

Kişisel verilerin işlendiği sistemlere sadece yetkili kişiler kullanıcı adı ve şifre ile girmelidir. Şifrenin oluşturulmasında gerekli güvenlik hususları dikkate alınarak, kolayca tahmin edilebilecek rakam, harf, kimlik bilgileri yerine daha karmaşık karakter kombinasyonları tercih edilmelidir. Şifrelerin belirli aralıklarda değiştirilmesi, yanlış şifre/parola denemelerinin sınırlandırılması, iki kademeli kimlik doğrulayarak giriş yapılması, sistemlerin düzenli şekilde lisanslı antivirüs programları ile taramak ve tehditleri engellemek ve bu programları güncel şekilde tutmak gerekmektedir.

Kurul kamuoyu duyurusunda (https://www.kvkk.gov.tr/Icerik/7177/Kullanici-Guvenligine-Iliskin-Veri-Sorumlulari-Tarafindan-Alinmasi-Tavsiye-Edilen-Teknik-ve-Idari-Tedbirlere-Iliskin-Kamuoyu-Duyurusu) veri sorumlularının tarafından aşağıdaki önlemlerin alınmasını tavsiye etmiştir.

  • İki kademeli doğrulama sistemi üye olma aşamasından itibaren etkin olmalıdır.
  • Kullanıcıların sıklıkla erişim sağladıkları cihaz dışında erişim sağlamaları halinde bu bilginin kullanıcıya iletişim adresleri yoluyla iletilmelidir.
  • Uygulamaların HTTPS veya benzer/üst güvenlik seviyesinde korunmasının sağlanması,
  • IP adresinden yapılacak başarısız giriş denemelerin sınırlandırılmalıdır.
  • Kullanıcıların son kez başarılı ya da başarısız birkaç girişlerini görüntüleyebilmelidir (Kurul en az son 5 giriş olabileceğini değerlendirmiştir).
  • Kullanıcılara parola oluştururken nelere dikkat etmeleri gerektiği hatırlatılmalıdır.
  • Parolanın belirli aralıklarla kullanıcı tarafından değiştirilmesi sağlanmalı ve en az son 3 parola ile aynı olması engellenmelidir.
  • Veri sorumlusu da sisteme girişlerde güçlü bir parola oluşturmalıdır.
  • Veri sorumlusu sistemlere girişte üçüncü parti yazılımlar veya servisler kullanması halinde bu yazılım ve servislerin güvenliğini düzenli olarak denetlemeli ve güncel tutmalıdır.

Veri sorumlusu güvenlik tedbirlerini aldıktan sonra nasıl olsa önlemimi aldım düşüncesine kapılmamalıdır. Çünkü çoğu durumda sistemlere gelen saldırılar ve kötü amaçlı yazılımlar çok geç fark edilmekte ve bunun sonucunda geç müdahale edilmektedir. Sebebi de kişisel veri güvenliğinin takibinin düzenli yapılmamasıdır.

Veri sorumlusu, sistem güvenliğinde hangi yazılım ve servislerin çalıştığını, sisteme herhangi bir sızmanın olup olmadığını ya da herhangi bir anomalinin tespitini, tüm kullanıcıların log kayıtlarının düzenli tutulmasını, güvenlik sorunlarının neler olduğuna dair raporlama işleminin yapılmasını ve bunun yanında çalışanların sistemde fark ettikleri güvenlik zafiyetlerini raporlamasını takip etmesi gerekmektedir.

Kişisel verilerin bulutta depolanması durumunda, veri sorumlusu ve veri işleyen veri güvenliğine ilişkin tedbirleri almakta daha titiz davranmalıdır. Veriler, bulut ortamına gönderileceği zaman şifrelenmeli, uzaktan erişim halinde çift kademeli kimlik doğrulaması yapılmalı, bulut hizmet ilişkisi sona ermesi halinde ise kişisel verileri kullanmaya yarayacak şifrelemelerin tüm kopyalarıyla yok edilmesi gerekir.

Bir diğer hususta kişisel verilerin olduğu sistemin yedeklenmesine ilişkindir. Fidye yazılımı gibi bazı kötü amaçlı yazılımlar verileri şifreleyerek ulaşılmasına engel olmaktadır. Böyle durumlarda kişisel verilerin yedeklenmesi önem arz edecektir. Bu yedeklenen kişisel verilerin sadece veri sorumlusu tarafından ulaşılması faydalı olacaktır. Yedeklenen kişisel verilerin güvenliğine de gerekli dikkat ve özen gösterilmelidir ve fiziki olarak farklı bir ortamda saklanmalıdır.

Veri sorumlusunun sistemlerinde bir arıza gerçeklemesi ve onarım bakım için bir üçüncü kişiye teslim edilecek olması halinde veri sorumlusu kişisel verilerin bulunduğu sistem cihazlarını göndermemesi ve ayırması gerekmektedir. Personelin ya da üçüncü şahısların bu cihazlardan kopya alması engellenmelidir.

Kişisel veri sistemleri ister manuel isterse dijital olsun, veri sorumlusu bu bilgilerin çalınması veya kaybolmasını engelleyecek güvenlik önlemini almalıdır. Örneğin veri sorumlusu, verileri kâğıda yazıyorum böyle bir yükümlülüğüm yok diyemez. Kâğıda yazılı kişisel verilerin başkasının eline geçmesini ya da kaybolmasına izin verilmemelidir. Bu verilerin imha edilmesi gerektiğinde de geri döndürülemeyecek yöntemler tercih edilmelidir. Bunun yanında verilerin kaydedildiği flash bellek, CD, hafıza kartı gibi cihazlar var ise bunların da güvenli şekilde saklanması gerekir.

Veri işleyen, hukuka aykırı veri ihlallerini, sistemin güvenliğine ilişkin bir sorunu fark etmesi halinde veri güvenliği konusunda veri sorumlusu ile müşterek sorumlu olması ve Kanunda bu durumları veri sorumlusuna bildirmesi gerektiği açıkça belirttiğinden zaman kaybetmeden derhal bildirmelidir.

Son olarak da veri sorumlusu ve veri işleyen veri güvenliğine ilişkin idari ve teknik tedbirleri hukuka uygun şekilde yerine getirmemesi durumunda bir yaptırımla karşı karşıya kalacak mıdır?

Veri sorumlusu ister kamu kuruluşu isterse özel sektör olsun KVKK’da belirtilen veri güvenliğine ilişkin yükümlülükleri yerine getirmez ise idari para cezası ile cezalandırılacaktır. Örneğin; bir oyun şirketi hackerler tarafından şirketin bulut sistemine yasal olmayan yolla girerek kullanıcıların ad-soyad, adres gibi özel nitelikli olmayan kişisel verileri ele geçirildiği ve veri sorumlusu şirketin gerekli veri güvenliğine ilişkin tedbirleri almadığı ayrıca Kanunda öngörülen “en kısa sürede” (Kurul kararı ile bu 72 saat olarak belirlenmiştir) bildirimde bulunmadığı gerekçesiyle 1.100,00 TL idari para cezası ile cezalandırmıştır. 16.04.2020 tarihli ve 2020/286 Karar sayılı Kurul kararı. Kurul’un web sitesinde de hukuka aykırı gerçekleşen veri ihlalleri, veri sorumlusu ve kaç kişinin etkilendiğine dair veri ihlali bildirimleri yayınlanmaktadır. Veri ihlal bildirimlerini incelediğimizde karşımıza bankalar, kargo şirketleri, çevrimiçi alışveriş yapma imkânı veren işletmeler gibi kişisel verileri işleme faaliyetini çokça gerçekleştiren veri sorumluları çıkmakta ve çok büyük sayıda kullanıcıların veri ihlalinden etkilendiği görülmektedir. Veri ihlalinden milyonlarca kişinin etkilendiği bir veri ihlali durumunda yaptırımların daha ağır olacağı değerlendirilmektedir.

AB merkezli veya AB vatandaşlarına hizmet ve mal satışı yapan AB dışında yerleşik veri sorumlularının, veri güvenliğine ilişkin tedbirleri yerine getirmemesi halinde karşılaşacağı yaptırımlar, GDPR’da daha caydırıcı olarak öngörülmüştür. Bu durum göz önüne alındığında, veri güvenliği için gerekli yükümlülükleri yerine getirmeyen veri sorumluları büyük riskler almaktadır. Özel nitelikli veri olmayan ad, soyad, adres, iletişim bilgisi gibi bilgilerin üçüncü kişilerin eline hukuka aykırı olarak geçmesi halinde kişiler kendini huzurda hissedemeyecek, belki tehdit, cinsel taciz, sarkıntılık gibi istenmeyen durumlarla karşı karşıya kalabilecek ve kendisi dışında ailesi de bu durumdan etkilenecektir. Özel nitelikli kişisel verilerin hukuka aykırı ele geçmesi halinde ise ilgilinin zararları daha da ağırlaşabilecektir.

Yukarıda açıklamaya çalıştığımız üzere veri sorumluları mevzuat gereği bünyesinde tuttukları kişisel verileri koruyacaklarına ilişkin taahhüt ve yükümlülük altına girmektedir. Veri sorumluları kendilerine emanet edilen kişisel verileri gerekli dikkat, özen ve tedbiri alarak koruması gerekmektedir. Bu sebeple veri sorumlularının alanında uzman kişilerden destek ve danışmanlık alması faydalı olacaktır.