Kişisel verileri korumak için şirketinizi karantinaya alır mıydınız?

Son günlerden gündemi en çok meşgul eden konuların başında Coronavirus geliyor. Yaklaşık 2 aydır adını sıklıkla duyduğumuz hatta günlük yaşamımızı etkileyen virüs için ellerimizi dikkatlice yıkamakla başlayan çeşitli önlemler alınıyor. Kimileri tarafından çok radikal olarak değerlendirilse bile ülkeyi karantinaya almaya kadar uzanan bu önlemlerin amacı, tabi ki henüz tedavisi bulunmamış bu virüs yayılmadan önüne geçmek.

Bu gibi kararlar alınırken birçok faktör hesaba katılarak bir değerlendirme yapılıyor. Durumun neyi etkilediği, alınacak tedbirlere de önemli ölçüde şekil veriyor. Coronavirus insan sağlığını etkilerken bilgisayar virüsleri, zararlı yazılımlar ve siber saldırılar da insanları, şirketleri ve bazı durumlarda ikisini de etkileyebiliyor.

Bunun bir sonucu olarak, son zamanlarda gündemi meşgul eden başka bir konunun kişisel verilerin işlenmesine ve korunmasına yönelik düzenlemeler olduğunu görüyoruz. Özellikle büyük veri işleme yetkinliklerinin artmasıyla kişisel verilerin satış, pazarlama, sağlık, üretim gibi birçok farklı konuda ve alanda kullanımı da günden güne artıyor. Dolayısıyla, bireylerin zarar görmesini engellemek amacıyla bu faaliyetleri kontrol altına almak ve belirli standartlar getirmek kaçınılmaz bir hal alıyor.

Neredeyse tüm Dünya üzerinde (kişisel) verilerin korunmasıyla ilgili yasa ve mevzuatlar bulunuyor. Bunların birçoğu sadece idari konulara değil belirli teknik konulara da uyumu gerekli kılıyor. Gerek ilgili yasa ve mevzuatlara uyum için, gerekse bilgi güvenliğinin sağlanması amacıyla bir takım teknik tedbirler alınması gerekiyor. Yukarıda da bahsettiğimiz, şirketleri ve şahısları etkileyen durumlara bazen en başından alınması gereken tedbirlerin alınmaması da sebep olabiliyor. Geçtiğimiz günlerde ikisi yurtdışı, biri yurt içi olmak üzere üç örneği sizlerle paylaşmak istiyoruz.

Kişisel verileri etkileyen karmaşık teknik konular mı?

1.örneğimiz, Danimarka Veri Koruma Kurumu tarafından 10 Mart 2020 tarihinde Gladsaxe ve Hørsholm belediyelerine sırasıyla 100.000 ve 50.000 Danimarka kronu ceza kesilmesine sebep olmuş. Cezanın sebebi, GDPR’da belirlenen güvenlik gereksinimlerine uyum sağlanmaması. Aslında 2 durum birbirinin neredeyse aynısı: 2 belediyeye ait içinde (özel nitelikli de dahil) kişisel veri içeren bilgisayarlar çalınmış ve iki olaydan yaklaşık 22.220 kişi etkilenmiş. Detaylara linkten ulaşabilirsiniz.

Bu durumun önüne geçmek için full disk encryption (tüm diskin şifrelenmesi) gibi alınabilecek çeşitli önlemler bulunuyor. Tüm diskin şifrelenmesi durumunda, şifrelemenin türüne göre değişiklik gösterse de temel olarak bilgisayara veya verilerin bulunduğu diske erişim sağlansa da ekstra bir şifre girmeden verilere erişmek mümkün olmuyor.

2. örneğimiz, Norveç Veri Koruma Kurumu (Datatilsynet) tarafından 26 Şubat tarihinde Rælingen belediyesine 73.600 EUR para cezası kesilmesine sebep olmuş. Cezanın sebebi, yukarıda örnekteki gibi, GDPR’da belirlenen güvenlik gereksinimlerine uyum sağlanamaması. Okullar ve fiziksel ya da zihinsel engelli öğrencilerin velileri arasında iletişim kurulmasını sağlayan uygulama üzerinde sağlık verilerinin işlenmesi. Detaylara linkten ulaşabilirsiniz.

KVKK’da da olduğu gibi, sağlık verileri özel nitelikli kişisel verileri işlemek için veri sahiplerinden veya velilerinden açık rıza alınması gerekiyor. Bu tarz durumların önüne geçmek için sadece işleme amacına yönelik kişisel verileri toplamak ve işlemek ve bu verileri işleyebilmek için veri sahiplerinden açık rıza alınması gerekiyor.

3. örneğimiz ise, tahminen 300 kişinin etkilendiği Doğa Sigorta’nın yaşadığı bir veri ihlali. İhlal, şirketin web sayfasına ait bir test sunucusunun hacklenmesiyle gerçekleşiyor. Burada dikkat çeken konu, test sistemlerinde gerçek kişilere ait kişisel verilerin bulunması. İyi uygulama örneklerinde test sistemlerinde kullanılacak veriler rastgele oluşturuluyor ya da anonimleştirme teknikleri kullanılarak veri sahiplerine erişilemeyecek şekilde değiştiriliyor.

Bu örnekler bize neyi anlatıyor?

Geldiğimiz nokta itibariyle, herhangi bir düzenleme olmasa bile, iş gücü kaybı, itibar kaybı, müşteri kaybı vb. kayıplar yaşamamak için alınabilecek tedbirler arasında:

  • Şirket BT altyapınızı faaliyet gösterdiğiniz alana göre standart güvenlik önlemlerini aksatmadan tamamlamanız,
  • Privacy by design ve privacy by default ilkelerini göz önünde bulundurmanız,
  • Şirket bünyesinde konu uzmanı personel bulundurmanız veya konu uzmanlarından destek almanız,
  • Çalışanlarınızın bilgi güvenliği konusunda farkındalığını artıracak faaliyetlerde bulunmanız,
  • Bilgi güvenliği konusundaki politika ve prosedürlerinizi sadece bir gerekliliği yerine getirmek amacıyla değil yasa ve mevzuatlara, şirket kültürünüze, iş süreçlerinize ve BT altyapınıza uygun olarak çalışanlarınızın en yüksek verimle faydalanabileceği şekilde hazırlamanız/güncellemeniz,
  • Yazılım geliştirme ve benzeri faaliyetlerde bulunuyorsanız süreçlerinizi veri güvenliği konusundaki iyi uygulama örnekleri ışığında güncellemeniz,
  • Yasalara ve mevzuatlara uyum konusundaki idari ve teknik konuları sürekli takip ederek şirket iş süreçlerinizi güncellemeniz,
  • Bilgi güvenliği konusundaki güncel gelişmeleri takip etmeniz

yer alıyor.

Sizlerin de herhangi bir zarara uğramamanız için, özellikle evden çalışma düzenine geçilen bu günlerde konuyu dikkatle ele almanızı tavsiye ediyoruz. Tıp alanında günden güne yaygınlaşan “koruyucu hekimlik” uygulamasının şirket bilgi güvenliği konusunda da geçerli olduğunu düşünüyoruz. Unutmayın, önlem almazsanız hasarı onarmanız gerekebilir, bu da ne yazık ki her zaman mümkün olmayabilir.

Veri Sorumlularına Yeni Yıl Hediyesi!

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Yine Uber! Bu sefer Data Protection ihlali

Bu yazıda içlerinde 600,000 sürücünün de bulunduğu 57 milyon müşterinin etkilendiği bir siber sızıntıyı ele alacağız. Söz konusu sızıntı dünyaca bilinirliği olan uluslararası ulaşım şebekesi Uber nezdinde gerçekleşti.

Şirket, 2016 yılında, müşterilerin isimleri, e mail adresleri, telefon numaraları, sürücülerin ehliyet bilgileri gibi verilerin de içinde yer aldığı bir veri hırsızlığı olayıyla karşı karşıya kalmıştı. Fakat şirketin o dönemki CEO’sunun, sızıntıdan 2016 Kasım’da haberdar olduktan sonra zarar gören ilgili kişilere bildirimde bulunmadığı anlaşıldı. Bunun yerine verileri çalan hackerlarla olayı gizli tutmaları ve çalıntı verileri silmeleri için $100,000’a anlaştığı ortaya çıktı. Yaklaşık bir yıl boyunca üstü örtülen bu olayı Şirketin yeni CEO’su Dara Khosrowshahi’nin olaydan haberdar olur olmaz açığa çıkardığı haberlere yansıdı.
Bunun üzerine İowa eyaleti yerel mahkemesi Uber’i 50 eyalet ve Washington DC’nin savcılarına ödeme yapmaya hükmetti. Eyalet savcılarının tutar hakkındaki görüşmeleri sonucu ödenecek en büyük meblağ 26 milyon dolarlık talebiyle Kalifornia eyaleti savcısına oldu. Bunu takiben sırasıyla İllinois ve New York eyaletlerinin 8.5 milyon dolar ve 5.1 milyon dolar elde ettikleri, İowa’nın ise 612,950 dolar edindiği biliniyor. Bu farklı tutarların belirlenmesindeki koşulun İowa eyalet savcısı Tom Miller’ın açıklamasına göre etkilenen sürücü sayısıyla alakalı olduğu tespit edildi. Böylelikle verileri korumak adına yeterli tedbirleri alamaması ve yetkili mercilere ihbarda bulunmaması Uber’e 148 milyon dolara mal oldu.

Bu nakit uzlaşmaya ek olarak Uber, daha çetin veri koruma politikaları benimseyerek gelecekte olması imkan dahilindeki sızıntıları engelleme, ayrıca düzenli olarak güvenlik durumları hakkında yetkili mercilere rapor verme yükümlülüğü altında.

Çok yakın zamanda yaşanan bu siber saldırı ve ardından gelen ilgililerin zararlarını tazmin süreçleri gösteriyor ki veri korunma alanı tüm dünyada gittikçe daha da önem kazanıyor. Şirketlerin yeni yasalara yeterli uyumu sağlayamaması hem maddi hem itibari olarak büyük zararlara sebep olmakta. Hızlanan süreç, Türkiye’de de önemli kararları yavaş yavaş görmeye başlayacağımıza bir işaret.

Sare Goluoğlu