Siber güvenlik tedbirleri

Kişisel veri güvenliğiyle ilgili gelişmeleri hepimiz yakından takip ediyoruz. Gerçek kişilere ait her türlü veriyi kişisel veri olarak tanımlarken, bu veriler sıkça ihlale konu oluyor.

Kişisel Verileri Koruma Kurulu’nun (KVKK) son kararları genelde veri sızıntılarıyla ilgili… Veri sızıntılarında ve ihallelerinde veri sorumlusunun bu durumu derhal KVKK’ya bildirmesi gerekiyor. Derhalden kastımız ise en geç 72 saat olarak kabul ediliyor.

Bu belirlenen sürede bildirim yükümlülüğüne uyulmaması halinde ise cezalar gündeme geliyor.

Yakın zamanda, kişisel bakımdan sektöründe faaliyet gösteren bir şirket 210.000 TL, kurumsal yazılım sektöründe faaliyet gösteren bir şirket 125.000 TL, bir banka 450.000 TL idari para cezasına hükmedildi.

Sebebi ise siber güvenlik önlemleri konusunda gerekli tedbirleri almamış ve süresinde veri ihlalini KVKK’ya bildirmemiş olmaları…

Veri sorumlularının kişisel veri koruması için gerekli tedbirleri almak, bu tedbirleri güncellemek ve gelişen teknolojiye adapte etmek zorundalar.

Veri sorumlusu deyimini sıkça kullandım. Peki, “veri sorumlusu” kim?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ediyor. Örneğin veri sorumlusu kişisel verileri yazılım sisteminde veya fiziki olarak muhafaza etme veya yurtdışında veya yurtiçinde kullanma gibi konularda yönetimi yapar. Mesela, bir e-ticaret sitesi, işverenimiz olan şirket kişisel verilerimizi işlediği ve bunların yönetilmesinden sorumlu olduğu için veri sorumlusu olarak kabul ediliyor.

Kişisel veri güvenliğinin ve siber güvenlik tedbirlerinin öneminin henüz anlaşılmadığını düşünüyorum. Özellikle birçok işveren şirket çalışanların özlük dosyalarını tutarken veya tüketicilere satış yaparken veyahut şirket belgelerini yazılıma aktarırken dahi kişisel veriyle ilgili bir işlem yaptığının farkında değil. KVKK bu konuda çok ciddi adımlar atıyor ve cezalar oldukça caydırıcı nitelikte…

Elbette bu önlemleri almanın asıl sebebi ceza almamak olmamalı. Kişisel veri sızıntılarında birçok kişi maddi veya manevi mağduriyet yaşayabiliyor. Son günlerde dijital ortamdan çok fazla dolandırıcılık vakası görüldüğü gibi adresi veya telefonu sızan bir kişinin yaşayabileceği taciz veya muhtelif eylem varyasyonları sonsuz nitelikte…

Siber güvenlik önlemleri almak artık kapımızı kilitlemek kadar elzem oldu…

Av. Oğuz Kara

(kara@oguzkara.av.tr)

Kişisel veri güvenliğiyle ilgili gelişmeleri hepimiz yakından takip ediyoruz. Gerçek kişilere ait her türlü veriyi kişisel veri olarak tanımlarken, bu veriler sıkça ihlale konu oluyor.

Kişisel Verileri Koruma Kurulu’nun (KVKK) son kararları genelde veri sızıntılarıyla ilgili… Veri sızıntılarında ve ihlallelerinde veri sorumlusunun bu durumu derhal KVKK’ya bildirmesi gerekiyor. Derhalden kastımız ise en geç 72 saat olarak kabul ediliyor.

Bu belirlenen sürede bildirim yükümlülüğüne uyulmaması halinde ise cezalar gündeme geliyor.

Yakın zamanda, kişisel bakımdan sektöründe faaliyet gösteren bir şirket 210.000 TL, kurumsal yazılım sektöründe faaliyet gösteren bir şirket 125.000 TL, bir banka 450.000 TL idari para cezasına hükmedildi.

Sebebi ise siber güvenlik önlemleri konusunda gerekli tedbirleri almamış ve süresinde veri ihlalini KVKK’ya bildirmemiş olmaları…

Veri sorumlularının kişisel veri koruması için gerekli tedbirleri almak, bu tedbirleri güncellemek ve gelişen teknolojiye adapte etmek zorundalar.

Veri sorumlusu deyimini sıkça kullandım. Peki, “veri sorumlusu” kim?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ediyor. Örneğin veri sorumlusu kişisel verileri yazılım sisteminde veya fiziki olarak muhafaza etme veya yurtdışında veya yurtiçinde kullanma gibi konularda yönetimi yapar. Mesela, bir e-ticaret sitesi, işverenimiz olan şirket kişisel verilerimizi işlediği ve bunların yönetilmesinden sorumlu olduğu için veri sorumlusu olarak kabul ediliyor.

Kişisel veri güvenliğinin ve siber güvenlik tedbirlerinin öneminin henüz anlaşılmadığını düşünüyorum. Özellikle birçok işveren şirket çalışanların özlük dosyalarını tutarken veya tüketicilere satış yaparken veyahut şirket belgelerini yazılıma aktarırken dahi kişisel veriyle ilgili bir işlem yaptığının farkında değil. KVKK bu konuda çok ciddi adımlar atıyor ve cezalar oldukça caydırıcı nitelikte…

Elbette bu önlemleri almanın asıl sebebi ceza almamak olmamalı. Kişisel veri sızıntılarında birçok kişi maddi veya manevi mağduriyet yaşayabiliyor. Son günlerde dijital ortamdan çok fazla dolandırıcılık vakası görüldüğü gibi adresi veya telefonu sızan bir kişinin yaşayabileceği taciz veya muhtelif eylem varyasyonları sonsuz nitelikte…

Siber güvenlik önlemleri almak artık kapımızı kilitlemek kadar elzem oldu…

Av. Oğuz Kara

(kara@oguzkara.av.tr)