Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp uygulaması hakkında, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlattı.
Alınan bilgiye göre, Kişisel Verileri Koruma Kurulunun bugünkü toplantısında, "Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği" yönündeki haberlerle ilgili değerlendirme yapıldı.
Konuyu, kişisel verilerin korunması mevzuatı genel hükümleri yönünden değerlendiren Kişisel Verileri Koruma Kurulu, toplantıda WhatsApp uygulaması hakkında, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlatılmasına karar verdi.
İncelemeyi yürütecek Kurul, süreci takip ederek, 8 Şubat 2021'de konuyu yeniden değerlendirecek.
REKABET KURULU HAREKETE GEÇTİ
Tüm dünyada olduğu gibi Türkiye'de de tepkilere neden olan WhatsApp'ın yeni gizlilik sözleşmesi için Rekabet Kurulu harekete geçti.
Kuruldan yapılan açıklamada Facebook ve WhatsApp hakkında resen soruşturma başlatıldığı duyuruldu. Ayrıca WhatsApp'la veri paylaşımı zorunluluğunun durdurulduğu bildirildi.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp'ın "zorunlu güncelleme" kararının bugünkü toplantıda ele alınacağını duyurmuştu.
KVKK'nin internet sitesinde yer alan duyuruda, WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyenlerin kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği hatırlatıldı.
WhatsApp'ın, rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği belirtilen duyuruda, şunlar kaydedildi:
"Kişisel Verilerin Korunması Kanunu'nun 15'inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12 Ocak 2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile kanunun açık rıza, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden değerlendirilece
Arama Motorlarında Ad Soyad Aramasında Çıkan Kişisel Verilerin Kaldırılması Taleplerine İlişkin Değerlendirme Kriterleri Neler Olmalıdır?
Geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu önemli bir karara daha imza atmıştı. Karara göre arama motorlarında kişisel verisi bulunan kişiler indekste çıkan verilerin silinmesine ilişkin talepte bulunabilecek. Öncelikle arama motoruna başvuru yapılacak, talebin reddedilmesi veya cevapsız kalması durumunda ise KVKK’ya bizzat başvuru yapılabilecek. KVKK Arama Motorlarından Şahısların Talebiyle Kişisel Verilerin Çıkarılmasına Yönelik Talepleri Nasıl Değerlendirecek?
KVKK kişilerin adı ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirme yaparken; belli başlı 13 kritere dikkat edecek. KVKK tarafından belirlenen bu kriterler ihtiyaç halinde güncellenebilecek. İlgili kriterler aşağıdaki şekildedir;
1. İlgili kişi kamusal yaşamda önemli bir rol oynuyor mu? Kamusal yaşamda rolü olan kişilerin bilgilerine erişilmesinde kamu yararı söz konusudur. Bu sebeple kişinin arama motorlarında bulunan arşiv kayıtlarının kaldırılması talebine ilişkin değerlendirme yapılırken, kamusal yaşamda önemli, ayırt edilebilir bir rolü olup olmadığına bakılmalıdır. Kamusal rolü ağır basan bir kişinin bilgilerine erişim sağlandığında toplumun daha üstün menfaati söz konusu olabilir. Bu sebeple kamusal yaşamda rolü belirgin olan kişilerin bu konuda KVKK’ya yapacakları başvuruların kabul görme olasılığı diğerlerine nazaran düşüktür. Fakat kişi kamusal yaşamda aktif rol alan birisi de olsa arama motorlarında bulunan verilerin, kişinin özel yaşamına ilişkin olması durumunda arama motorlarından kaldırılabilir.
2. Arama sonuçlarının öznesi bir çocuk mu? Arama motorlarında bilgisi çıkan kişi reşit değil ise, yani bir çocuktan bahsediyorsak; KVKK’nın bu minvalde oluşan taleplerin değerlendirilmesinde “çocuğun üstün (yüksek) yararı” ilkesi göz önünde bulundurması gerekecektir.
3. Bilginin içeriği doğru mu? Arama motorlarında kişiye ilişkin çıkan bilgilerin gerçeği yansıtmaması, doğru olmayan ve yanıltıcı bir izlenime sebebiyet vermesi durumlarında KVKK, söz konusu bilgiye ilişkin bağlantının kaldırılması talebini yüksek olasılıkla uygun görecektir. Ayrıca talepte bulunan kişinin, bilginin gerçek olmaması durumunu ispatlamalıdır. Fakat bilginin doğruluğu tartışmalı ise, KVKK konunun netleşmesini bekleyebilir.
4. Bilgiler kişinin çalışma hayatı ile mi ilgili? Bilginin kişinin iş yaşamına ilişkin olması talebin kabul edilmesi ihtimalini zorlaştırmaktadır. Fakat burada bakılması gereken kişinin aynı işi yapıp yapmadığı ve ilgili kişinin işine ilişkin yayımlanan verilerin olması gerekenden fazla bilgi içerip içermediğidir. Arama motorunda bulunan iş yaşamına ilişkin veriler, kişinin özel hayatını ilgilendiriyorsa talebin kabul edilme ihtimali yüksektir.
5. Arama sonuçlarında yer alan bilgi ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliği taşıyor mu?
Kişinin adı ve soyadı arama motorlarına yazıldığında, kişiye ilişkin hakaret, nefret söylemi içeren ifadeler varsa bu bağlantıların indeksten kaldırılması için; KVKK’dan ziyade yargı yoluna başvurulması daha mantıklı olacaktır.
6. Arama sonuçlarında yer alan bilgi özel nitelikli kişisel veri niteliği taşıyor mu? 6698 sayılı KVKK’ya göre özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel veriler öğrenildiği takdirde kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalmasına yol açabilir. Bu sebeple özel nitelikli kişisel verilerin arama motorlarından kaldırılmasına yönelik taleplerin kabul edilme olasılığı yüksektir. Kamuya mal olmuş kişilere ait özel nitelikli kişisel verilerin arama motorlarından kaldırılmasına yönelik taleplerin değerlendirilmesinde ise; bu bilgilere erişildiğinde sağlanan menfaatin kişi haklarından üstün gelip gelmediğine bakılmalıdır.
7. Arama sonuçlarında ulaşılan bilgi güncel mi? Kişiye ait kişisel verilerin güncel olmaması, çok eski zamana ait olması, verinin işlenme amacı ile olan bağını koparabilmektedir. Bu nedenle, aradan geçen zaman sebebiyle verilerin indeksten çıkarılma talebinin uygun görülme ihtimali yüksektir. Fakat yukarıda da belirttiğimiz üzere kişinin kamuya mal olan birisi olması durumunda verinin tarihsel ya da kültürel değer taşıması sebepleriyle, talep daha farklı sonuçlanabilir.
8. Arama sonucunda ulaşılan bilgi kişi hakkında önyargıya sebep oluyor mu? Arama sonucunda ulaşılan bilginin kişiye karşı bir önyargıya sebep olması durumunun ispatlanması halinde talebin kabul görme olasılığı yüksektir.
9. Arama sonucunda yer alan bilgi kişi açısından bir risk doğuruyor mu? Bir arama sonucu ulaşılan bilgiler kişiyi kimlik hırsızlığı veya takip edilme gibi risklere açık hale getiriyorsa, söz konusu bilgilerin arama motoru listelerinden kaldırılması olasıdır.
10. Bilgi kişinin kendisi tarafından mı yayımlandı? Eğer veri kişinin kendi isteği ile ve kendi tarafından yayımlandıysa KVKK tarafından talebin kabul görme olasılığı düşmektedir. Fakat bilginin yayımlanması için verilen açık rızanın geri alınması talebin kabul olma ihtimalini yükseltir.
11. Orijinal içerik gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor? Özel yaşatıya ilişkin bilgilerin olması durumunda gazetecilik içeriğiyle ilgili olarak arama sonuçlarının kaldırılması da mümkün olabilecektir. Kişiler tarafından yapılan şikayet özelinde yarışan menfaatler arasında bir değerlendirme yapılması gerekliliği gündeme gelecektir.
12. İlgili kişiye ilişkin bilgilerin yayımlanmasında yasal bir zorunluluk var mı?, Eğer indekste yayımlanan kişisel veri bir kamu kurumu ya da yasal bir zorunluluk nedeniyle kendisine yetki tanınan kuruluşlar tarafından belirli bir verinin yayımlanması zorunluluğu varsa ve bu zorunluluk geçerliliğini sürdürüyorsa, bu durum ilgili kişinin kendisi ile ilgili arama sonuçlarının kaldırılması yönündeki talebinin reddedilme ihtimali yüksektir.
13. İlgili kişiye ilişkin bilgi ceza gerektiren bir suçla mı ilgili? Göreceli olarak daha küçük ve zaman açısından çok önce işlenmiş suçlara ilişkin taleplerin bağlantılardan kaldırılmasına yönelik taleplerin kabul edilmeme ihtimali düşüktür. Ancak, bu kriter kesin bir kural şeklinde algılanmamalı ve her somut olay özelinde dikkatle incelenerek ele alınmalıdır.
Yapılan yeni bir araştırmaya göre müşteriler, Covid-19 salgını sırasında kullanıcılarının verilerinden ödün veren şirketlerden uzaklaşıyor. Pandemi öncesi ve sonrası kişisel verilerin güvenliği konusundaki bilinçte ciddi değişimlerin yaşanacağını belirten uzmanlar, yetersiz güvenlik uygulamaları nedeniyle kişisel verilere gerekli özeni göstermeyen şirketleri uyarıyor.
PCI Pal tarafından yapılan yeni araştırma, pandemiyle birlikte kişisel veriler konusunda tüketicilerin şirketlere karşı tutumunu değerlendiriyor. Tüketicilerin çoğunluğunun (%69) pandemi öncesinde kişisel verilerinin ne şekilde kullanıldığı konusunda endişeli olduğu ve pandemi sırasında bunun daha da arttığı raporlandı. Covid-19 salgını sırasında zayıf siber güvenlikleri nedeniyle müşterilerinin kişisel verilerini koruyamayan şirketlerin ciddi zararlar alabileceğini aktaran Siberasist Genel Müdürü Serap Günal, kişisel verilerle temas kuran her şirketin gerekli olan teknik ve idari yapılanmayı titizlikle gerçekleştirmesi gerektiğinin altını çizerken, şirketlere kişisel verilerin güvenliği konusunda 5 öneride bulunuyor.
Pandemide Endişeyi Uzaktan Çalışma Artırıyor
Birçok şirket çalışanın uzaktan çalışma sistemine geçmesi ve hala devam ediyor oluşu ile pandemi sürecinde siber saldırıların daha da artması, kişisel verileri şirketlerde olan müşterileri ciddi derecede tedirgin ediyor. Araştırmaya göre ankete katılanların 4’te 3’ü bu durumdan dolayı büyük bir düzeyde endişe duyuyor. Pandemi sürecinin başlı başına bir olağanüstü durumu içermesinin kişisel veriler konusunda da tüketicilerin bilinç düzeylerini değiştirdiğine dikkat çeken Serap Günal, gerekli siber güvenlik adımları atmayan şirketlere karşı müşterilerin bağlılık oranlarının ciddi oranda değişeceğini ve müşteri kayıplarında bu durumun önemli bir etken olarak karşılarına çıkacağını belirtiyor.
Önlem Almayan Şirket Müşteri Kaybediyor
Şirketlerdeki veri sızıntıları ya da yaşanan ihlallerin birçok nedeni olsa da müşterilerdeki izlenimi tamamıyla yeterli güvenlik önlemlerinin alınmamasıyla örtüşüyor. Yapılan araştırmada, İngiltere’deki tüketicilerin %33’ünün verilerinin herhangi bir şekilde sızdırıldığını öğrenme durumlarında, birkaç yıl boyunca o şirketle ilgili bir ilişkilerinin olmayacağını belirttiğini aktarıyor. Kişisel verilerini emanet ettiği şirketlerin gerekli siber güvenlik adımlarını atmadığını gören müşterilerin ceza sistemine geçişinin kolay olabileceğini hatırlatan Siberasist Genel Müdürü Serap Günal, kişisel verisini koruyamayan şirketlere yönelik müşterilerin hala pozitif algı ile yaklaşmasının zor olabileceğini ve müşteri kayıplarının yaşanabileceğini belirtiyor.Siber saldırganlar tarafından sayısız saldırılara maruz kalan şirketlerin sahip oldukları verileri saklama, koruma ve işleme aşamalarında daha dikkatli olması gerektiğine dikkat çeken Serap Günal, şirketlere kişisel veriyi korumaya dair önemli önerilerde bulunuyor.
Kişisel Verileri Korumada 5 Önemli Öneri
Siber saldırganlar tarafından sayısız saldırılara maruz kalan şirketlerin sahip oldukları verileri saklama, koruma ve işleme aşamalarında daha dikkatli olması gerektiğine dikkat çeken Serap Günal, şirketlere kişisel veriyi korumaya dair önemli önerilerde bulunuyor.
1. Gizliliğe en çok şirketler dikkat etmeli. Bireylerin, kişisel bilgilerini uygunsuz ve yetkisiz erişimden korumak için makul güvenlik önlemlerini şirketlerin alması gerekiyor. KVKK ve GDPR özelinde şirketlerin karşılaşacakları yaptırımlar dışında, artık bu konu da bilinçli davranışlar sergilemesi şirketlerin itibarına da artılar katacaktır.
2. Şeffaflığın güven yaratacağını unutmayın.Tüketicilerin kişisel bilgilerini nasıl topladığınız, kullandığınız ve paylaştığınız konusunda açık ve dürüst olun. Tüketicinin verilerinin nasıl kullanılmasını bekleyebileceğini düşünün ve varsayılan olarak bilgilerini korumak için gerekli adımları atın.
3. İş ortaklarınıza ve aldığınız üçüncü taraf hizmetlere dikkat edin. Şirketiniz adına hizmet veren herkesin, tüketicilerinizin kişisel bilgilerini nasıl topladığı ve kullandığından da şirketinizin sorumlu olduğunu unutmayın.
4. Veri sorumlunuzu tayin edin. KVKK dahilinde şirketinizin veri sorumlusu olduğunu unutmayın. KVKK’nın getirdiği gerekliliklerden önemli bir adım olan VERBİS kayıt ve bildirim yükümlülüğünü gerçekleştirmeyi unutmayın.
5. KVKK uyumluluğunuzu tamamlayın. Kişisel verileri saklamak, korumak ve işleyebilmek için gerekli olan tüm hukuki ve teknik tedbirleri şirketlerin alması gerekiyor. İhtiyaç duyduğunuz gerekli adımların atılmaması karşılığında gerçekleşecek yaptırımlar konusunda geç kalmamak adına profesyonel destek almaktan kaçınmayın.
Gelen bir son dakika haberine göre, Kişisel Verileri Koruma Kurulu (KVKK), sosyal medya uygulaması TikTok hakkında, veri güvenliği açığı iddiaları üzerine resen inceleme başlattı.
Alınan bilgiye göre, Kurul, fotoğraf, video paylaşım ve mesajlaşma uygulaması TikTok hakkında son günlerde basın-yayın organlarında yer alan, "kişisel verilerin korunmasına yönelik veri güvenliği açığı" haberleri ve ihbarlar üzerine harekete geçti.
Kurul, TikTok hakkında resen inceleme başlattı. Kurul daha önce, veri ihlalleri sebebiyle Facebook'a toplam 3 milyon 250 bin lira idari para cezası uygulanmasına karar vermişti.
Kimler Kişisel Veri Envanteri Hazırlamalıdır? Veri Sorumluları Hazırladıkları Kişisel Veri İşleme Envanterini KVKK'ya Göndermeli midir? Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi?
Kimler Kişisel Veri Envanteri Hazırlamalıdır?
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Tüm veri sorumluları kişisel veri işleme envanteri hazırlamak zorunda değildir. Yukarıda bahsi geçen Yönetmeliğin 5 inci maddesine göre kişisel veri işleme envanteri hazırlanması, VERBİS’e kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür. Böylelikle VERBİS’e kayıt yükümlülüğü bulunmayan veri sorumlularının kişisel veri envanteri hazırlama yükümlülüğü bulunmamaktadır.
Fakat KVKK tarafından önerilen VERBİS’e kayıttan istisna tutulan veri sorumlularının da kişisel veri envanteri hazırlamasıdır.
Veri Sorumluları Hazırladıkları Kişisel Veri İşleme Envanterini KVKK’ya Göndermeli midir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesine göre hazırlanan kişisel veri işleme envanterini KVKK’ya göndermek gibi bir durum söz konusu değildir. Kişisel veri işleme envanteri veri sorumlusunun kendi faaliyet alanı içinde kalmalıdır. Veri sorumlusu gerek aydınlatma metinlerini oluştururken gerekse ilgili kişi tarafından yapılan başvuruları cevaplandırırken hazırlamış olduğu kişisel veri envanterinden faydalanmalıdır. KVKK tarafından herhangi bir denetim yapılması durumunda, Kurul kişisel veri envanterinin kuruma gönderilmesini talep edebilir.
Envanter VERBİS’e Yüklenecek mi?
Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gibi bir durum söz konusu değildir.
Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi? Kişisel veri işleme envanterinde saklama süresi belirtilmelidir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.
Dolayısıyla yalnızca Veri Sorumluları Sicil Bilgi Sistemine kayıt olmakla yükümlü veri sorumlularının kişisel veri envanteri hazırlaması mecburidir. Fakat KVKK VERBİS’ten istisna tutulan veri sorumlularının da envanter hazırlamasını önermektedir. Hazırlanan envanterler KVKK’ya gönderilmemektedir fakat; herhangi bir denetim vuku bulduğunda Kurulun kişisel veri envanterini talep etme yetkisi bulunmaktadır. Bunun yanında envanter VERBİS’e yüklenen bir çalışma değildir. Kişisel veri işleme envanterinde kişisel verilerin azami saklama süreleri de mutlaka belirtilmelidir.
Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olabilir mi? Veri Sorumlusu ve Veri İşleyen Farklı Kişiler Olduğunda Sorumluluk Nasıl Belirlenecek?
Veri Sorumlusu ile Veri İşleyen Aynı Kişi Olabilir mi? 6698 sayılı Kişisel Verileri Koruma Kanununa göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler kendileri veri sorumlusu olup; kişisel veri işleme sorumluluğu tüzel kişiliğin şahsında doğacaktır.
İlgili kanuna göre veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Görüldüğü üzere veri işleyen daha çok veri işlemekle ve kişisel veri işleme faaliyetinin teknik kısımlarıyla ilgilenmektedir. Sorumuzun cevabına gelecek olursak; bir tüzel ya da gerçek kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından ise “veri işleyendir.”
Peki Veri Sorumlusu ve Veri İşleyen Ayrı Kişi Olduğunda Sorumluluk Nasıl Belirlenir? Veri işleyen, kişisel verileri veri sorumlusu adına işlediğinden; kişisel verilerin işlenmesine dair idari ve teknik tedbirlerin alınması konusunda veri sorumlusu ile müştereken sorumludur. Ayrıca, hem veri sorumlusu hem veri işleyen öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
Veri İşleyen Tarafından Bir İhlal Gerçekleşmesi Durumunda Sorumluluk Kimde Olacaktır? İlgili Kanun herhangi bir veri ihlali olması durumunda sorumluluğu veri sorumlusuna yüklemiştir. Kişisel veri işleme faaliyeti kapsamında bir ihlal gerçekleştiğinde, ihlalin veri sorumlusu ya da veri işleyen kaynaklı olup olmadığına bakılmaksızın Kanunen sorumluluk veri sorumlusuna aittir. Kanun veri ihlallerinde sorumluluğu her şekilde veri sorumlusuna yüklemiştir. Fakat veri sorumlusu sonrasında bu ihlalin veri işleyenden kaynaklandığını ispat ederse aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı kadarını rücu ettirebilir. Etiketler: Veri İşleyen Tarafından Bir İhlal Gerçekleşmesi Durumunda Sorumluluk Kimde Olacaktır?, Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olabilir mi? Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olduğunda Sorumluluk Nasıl Belirlenecek?
Bilindiği üzere; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS bildirim yükümlülüğünü yerine getirmeleri için son tarih 30 Haziran 2020 olarak belirlenmişti. Önceki yazılarımızda bu tarihin yaklaştığını, süre uzatılmaz ise şartları sağlayan veri sorumlularının bir an önce ilgili başvuruları yerine getirmesi gerektiğini duyurmuştuk. Fakat tüm dünyayı ve ülkemizi etkisi altına alan COVID-19 salgını sebebiyle bazı iş yerleri fiziksel olarak kapalı tutulmuş, bazı iş yerlerinde ise uzaktan çalışma şekli uygulanmıştır. Yukarıdaki şartları sağlayan veri sorumluları gerekli hazırlıkları yapamadıklarından, ayrıca birçok veri sorumlusunun kişisel veri envanteri hazırlama süreçlerinin de sekteye uğraması sebebiyle Kişisel Verileri Koruma Kurumu 23/06/2020 tarihinde vermiş olduğu karar ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine uzatılmasına karar vermiştir.
KVKK resmi internet sitesinde yayınlanan duyuru aşağıdaki şekildedir;
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına oybirliği ile karar verilmiştir.
Reklam teknolojilerinde veri yönetimi konusunda faaliyet gösteren Adform, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) yıl dönümünü kutlarken, Türkiye’nin de Kişisel Verileri Koruma Kanunu (KVKK) ile örnek ülkelerden birisi olduğu mesajını verdi.
Kişisel verilere nasıl yaklaşılacağı konusundaki etik çerçeve, resmi düzenlemelerle netlik kazanıyor. Bu konuda ilk adımı atanların başında Avrupa Birliği geliyor. 25 Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR), ikinci yılını kutlarken, birçok ülkedeki yaklaşıma da öncülük etti.
Reklam teknolojileri de kişisel veriler konusunda çok kez eleştirildi, ancak GDPR ile belirlenen gizlilik çerçevesi, IAB gibi sektör birliklerinin de çabalarıyla reklam dünyasında karşılığını buluyor.
Dünyada GDPR adaptasyonunda öncü kuruluşlardan olan Adform, tüzüğün ikinci yılında, veri konusundaki düzenlemelerin önemini vurguladı.
Kişisel veriler hakkında konuşan Adform Türkiye Genel Müdürü ve MEA, APAC Bölgeleri Satış Direktörü Cem Eroğlu, “İki yıl önce GDPR’nin gerekliliklerini yerine getirdik. Bunu bir yıl önce ICO’nun reklam teknolojileri ve gerçek zamanlı teklif (RTB) raporu, beş ay önce de CCPA (Kaliforniya Tüketici Gizliliği Yasası) kararnamesi izledi. Gizlilik, üçüncü taraf çerezlerin de kullanımdan çıktığı bir zamanda, günümüzde, her zamankinden daha çok önem taşıyor. Ancak bu değişiklikler, bugüne kadarki biçimiyle programatik reklamcılığın sonu anlamına gelmiyor” dedi.
Eroğlu, sözlerine “Sektör olarak, veri bütünlüğünü ilk sıraya koyarak, verilerinin nasıl toplandığı, saklandığı ve işlendiği bilgisiyle tüketicilere güç veriyoruz. Bu ortak ve çapraz çalışma, çok sayıda üçüncü taraf tedarikçiyle çalışmadan, kapsamlı rıza yönetimi çözümlerini bir standart olarak uygulayan, daha sofistike ve entegre reklam platformlarına geçişimizi de hızlandıracak” şeklinde devam etti.
Türkiye’nin de Avrupa ile benzer bir dönemde kişisel verilerle ilgili adım attığını ve aynı yıllarda düzenlemelerin hazırlandığını ve yasalaştığını söyleyen Eroğlu, “Türkiye, dünyanın tartıştığı bir noktada kişisel verilerin korunması için kanun hazırlayarak öncü ülkelerden birisi oldu. Bugün, KVKK da tüketicilerin bilgilerinin ve dolayısıyla haklarının korunabilmesi için ülkemizde bir mihenk taşı niteliğini taşıyor” dedi.
Kurumsal web sitelerinden, e-ticaret veya blog sitelerine kadar birçok alanda kişisel veriler toplanıyor. Toplanan kişisel verilerin korunması, işlenmesi veya saklanması ise KVKK kapsamına giriyor. Kişisel veriye ulaşan her internet sitesinin KVKK anlamında risk taşıdığına dikkat çeken uzmanlar, kişisel veriye ulaşan web sitelerinin KVKK kapsamında yapması gerekenler olduğunu belirtiyor.
Günümüzde en çok kişisel verinin toplandığı dijital alan internet siteleri olarak görülüyor. Kişisel blog sitelerinden, e-ticaret ya da şirket web sitelerine kadar hemen hemen her yerde kişisel veri toplanıyor. Özellikle bu verilerin toplandığına dair bilgilendirmenin ya da toplanması için gerekli iznin alınmadığı internet sitelerinin varlığına işaret eden Siberasist Genel Müdürü Serap Günal, özellikle kişisel veri elde eden şirket web siteleri başta olmak üzere birçok internet sitesinin KVKK kapsamında uygulaması gereken önemli düzenlemeler olduğunu aktarıyor.
Açık Rıza Almayan ve Aydınlatma Metnini Paylaşmayan Siteler Var
İnternet siteleri ayrıcalıklı durumlar, kampanyalar ya da ekstra içerikler için kullanıcılarından üyelik talep edebiliyor. Verilen hizmetten faydalanmak için ya da o hizmete devam edebilmek için kişisel verilerini paylaşan birçok kullanıcı da oluyor. Toplanan kişisel verilerin işlenme faaliyetlerini, neden ve ne amaçla toplandığını ilgili kişilere aktarmayan birçok internet sitesi olduğuna dikkat çeken Serap Günal, bu internet sitelerinin ilgili kişiden elde ettiği kişisel veriler konusunda KVKK kapsamına ilişkin veri politikalarını bir an önce hazırlaması gerektiğini belirtiyor. Hazırlanan veri politikası çerçevesinde internet sitesinin aydınlatma metnini ilgili kişi ile paylaşması gerektiğini belirten Günal, aydınlatma metnini paylaşmayan ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun öngördüğü gerekli yükümlülüklere uymayan internet sitelerinin KVKK tarafından ceza alabileceğini aktarıyor.
İnternet Siteleri De Kişisel Veriyi Korumakla Yükümlü
Elde edilen kişisel verilerin saklanması ya da korunması konusunda internet sitelerine de büyük sorumluluk düşüyor. Kişisel verinin elde edilmesinden sonra korunmasında da internet sitelerinin KVKK yükümlülüklerine uyması gerektiğini belirten Serap Günal, işlemek üzere alınan kişisel verilerin neler olduğunun, verinin ne amaçla işlendiğinin ve kimlere aktarılacağının dahi internet sitelerinde yer alması gerektiğini belirtiyor. Bu yüzden e-ticaret ya da blog sitesi fark etmeksizin kişisel veriyi elde eden her internet sitesini konu hakkında uyaran Günal, KVKK’nın işaret ettiği gerekli olan idari ve teknik yükümlülükleri yerine getirmede internet sitelerinin geç kalmaması gerektiğinin altını çizerken kişisel veriler konusunda internet sitelerinin bu 4 adımı kesinlikle uygulaması gerektiğini de ifade ediyor.
1. Kişisel veriler açık rıza alınarak işlenmeli.
2. Aydınlatma metni paylaşılmalı.
3. İlgili kişiler için KVKK talep formu oluşturulmalı.
4. Kişisel verilerin korunması ve saklanması için KVKK’nın işaret ettiği teknik tedbirleri almalı.
KVKK kapsamında sıkça duyulan kişisel veriler ile özel nitelikli kişisel veriler arasında önemli farklar bulunuyor. İlgili kişiye mağduriyet yaratacak özel nitelikli kişisel verilere dikkat çeken uzmanlara göre, KVKK uyumlulukları doğrultusunda bu ayrımlara dikkat etmeyen şirketler ciddi cezalarla karşılaşabilir.
KVKK’nın yürürlüğe girmesiyle birlikte çoğu kişi ve şirket, kişisel veriler tanımına aşina oldu. Ancak KVKK’nın kendi gereklilikleri ile birlikte gelen özel nitelikli kişisel veriler ile kişisel veriler arasında önemli düzeyde farklılıklar bulunuyor. Şirketler için KVKK ve GDPR uyum danışmanlığı hizmeti sunan Siber Asist’in Hukuk Danışmanı Beliz Özkırım’a göre, şirketlerin bu iki tanım arasındaki ayrıma dikkat etmesi gerekiyor.
Kişisel Verilerin İşlenmesinde Açık Rızanın Alınması Önemli
En temel ifadeyle bir kişiyi tanımlamak için kullanılabilen herhangi bir bilgi parçası kişisel veri kapsamına giriyor. Bu bağlamda aşağıdakilerden herhangi biri kişisel veri olarak kabul edilebilir:
• Ad Soyad
• Ev ve e-posta adresi
• Vatandaşlık numarası
• Konum bilgileri
Kişisel verilerin şirketler tarafından kullanımının KVKK ile belirli kurallara bağlandığını aktaran Özkırım, şirketlerin kişisel verileri işleyebilmesinin ilgili kişinin açık rızasına bağlı olarak gerçekleşebileceğini, bilgilerin saklanması ya da kullanılmasına dair ilgili kişilerden açık rıza alınmaması durumunda ciddi yaptırımlarla karşı karşıya kalınabileceği konusunda uyarılarda bulunuyor.
Girilmez Bölge: Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, ekstra güvenlikle ele alınması gereken verileri kapsıyor ve kişilere ait aşağıdakilerden herhangi biri özel nitelikli kişisel veri olarak kabul ediliyor:
• Irk veya etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din-mezhep
• Sağlık bilgileri
• Dernek, vakıf veya sendika üyelikleri
• Cinsel hayat
• Biyometrik ve genetik veriler
• Ceza ve güvenlik tedbirleri ile ilgili veriler
Özel nitelikli kişisel verilerin diğer kişisel verilerden ayrı tutulması gerektiğine dikkat çeken Özkırım, özel nitelikli kişisel verilerin işlenmesi dahilinde ilgili kişilerin mağdur olabileceğini ve ayrımcılığa maruz kalabileceğini belirtiyor. Bu nedenle özel nitelikli kişisel verilerin ilgili kişinin açık rızası alınarak ya da Kanunda istisnai olarak düzenlenen bazı hallerde işlenebileceğine dikkat çekiyor.
Açık Rızanın Geri Alınması Verilerin İşlenmesini Durdurur
Kişilerin şirketlere verilerini işleme konusunda verdiği açık rızalar geri alınabiliyor. Açık rıza ile alınan kişisel verilere dair söz hakkının ilgili kişide olduğunu belirten Özkırım, açık rızanın geri alınması beyanının şirketlerin veri sorumlusuna ulaştığı andan itibaren verilerin işlenmesinin durdurulması gerektiğini ifade ediyor.
KVKK’nın şirketler özelinde dikkate aldığı en önemli noktalardan biri de verilerin korunmasında şirketlerin alması gereken teknik tedbirleri alıp almadığıdır. Tek bir siber güvenlik ürün ya da hizmetinin kişisel verileri korumada tam etkinlik sağlamayacağını aktaran uzmanlar, şirketlerin tam kapsamlı KVKK uyumluluğu için dikkate alması gereken 17 teknik tedbirin bulunduğunu belirtiyor.
Kişisel verilerin güvenliğine ilişkin şirketlerin alması gereken birçok teknik tedbir bulunuyor. Özellikle teknik altyapılarını incelemeyen, geliştirmeyen ya da KVKK’nın dikkat ettiği alanlar için gerekli adımları atmayan şirketlerin cezalarla karşılaşması an meselesi. Her geçen gün şiddeti artan ve yapısı daha da karmaşıklaşan siber saldırılara da dikkat çeken Siberasist Genel Müdürü Serap Günal, tek bir siber güvenlik ürününün tam güvenlik sağlamayacağı gibi KVKK kapsamında uyumluluğu sağlayacak tedbirlerin alınmasına da yeterli olmayacağının altını çiziyor. Günal, şirketlerin uyumluluk aşamasında teknik altyapılarını inceleyerek KVKK’nın da işaret ettiği gerekli birçok teknik tedbiri alması gerektiğini belirtiyor.
Siber Güvenliğe Yatırım Yapmadan Kişisel Veri Korunamaz
Günümüzde bir hacker için veriye ulaşmak artık çok kolay. Saldırdığı herhangi bir şirketten, petrol gibi altın değerinde veri saçıldığını fark eden hackerlerin, işlerini kolaylaştıran ise gerekli siber güvenlik yatırımlarını yapmayan şirketler oluyor. Birçok veriye sahip olan ve gerekli siber güvenlik korumalarına sahip olmayan şirketlerin hem hackerlerin hem de KVKK’nın hedef tahtasında olduğunu dile getiren Günal, veriye sahip olmanın getirdiği sorumlulukları yerine getirmeyen birçok şirketin ya hackerlerin saldırılarından ya da KVKK’nın talep ettiği teknik tedbirleri yerine getirmediğinden dolayı zarara uğrayacağını belirtiyor. Özellikle KVKK’nın yerine getirilmesini talep ettiği teknik tedbirlerin hem verileri korumada hem de şirketleri korumada önemli faydalar sağladığının altını çizen Günal’a göre, siber güvenliğe yatırım yapılmadan hiçbir veri güvenliğinin sağlandığı ve korunduğu söylenemez.
6 Ana Başlıkta Analiz ve 17 Gerekli Teknik Tedbir
Bir verinin korunmasına ilişkin şirketin nerede ve nasıl durması gerektiğini KVKK’nın yol haritasıyla şirketlere aktardıklarını belirten Günal, KVKK uyumluluğuna geçiş için öncelikle şirketin teknik altyapı durumunun 6 başlıkta analiz edilerek ve hukuki tedbirlere de uyumluluğu dengelenerek ihtiyacı olan teknik tedbirlerin önerildiğini belirtiyor.
KVKK’nın işaret ettiği ve şirketlerde analizinin yapılması gereken 6 ana başlık ise şu şekilde;
• Siber güvenliğin sağlanması
• Kişisel veri güvenliğinin takibi
• Kişisel veri içeren ortamların güvenliğinin sağlanması
• Kişisel verilerin bulutta depolanması
• Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı
• Kişisel verilerin yedeklenmesi gibi başlıklarda şirketin gerekli teknik altyapı analizlerinin yapılması gerekiyor.
Şirketlerde yapılan analizler sonucunda, KVKK’nın talep ettiği teknik tedbirleri hem hukuki hem de teknik boyutları ile harmanlayarak şirketlere sunduklarını aktaran Günal, bir şirketin tam kapsamlı güvenliği için 17 teknik tedbirden sorumlu tutulduğunu ifade ediyor. KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şu şekilde;
1. Yetkilendirme matrisinin oluşturulmuş olması
2. Erişim loglarının tutulması
3. Yetki kontrolünün yapılması
4. Kullanıcı hesaplarının yönetilmesi
5. Ağ güvenliğinin sağlanması
6. Uygulamaların güvenliğinin sağlanması
7. Verilerin şifreleme yöntemleri ile şifrelenmesi
8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi
9. Saldırı tespit ve önleme sistemlerinin oluşturulması
10. Log kayıtlarının incelenip yedeklenmesi
11. Veri maskelemelerinin yapılması
12. Veri kaybı önleme yazılımlarının kullanılması
13. Yedekleme sistemlerinin kullanılması
14. Güncel antivirüs sistemlerinin kullanılması
15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması
16. Güvenlik duvarlarına sahip olunması
17. Anahtar yönetiminin olması.
Başkan Faruk Bilir: - "İlgili kişilerin şikayetlerinin ve veri ihlal bildirimlerinin kurumun internet sayfası üzerinden yapılabilmesi önemli bir gelişmedir. Her iki uygulama da vatandaşlara ve veri sorumlularına kolaylık sağlayacaktır"
KEMAL KARADAĞ - Kişisel Verileri Koruma Kurumu (KVKK), vatandaşların şikayetlerini ve veri sorumlularının ihlal bildirimlerini elektronik ortamda iletmesine yönelik uygulama başlattı.
Şikayetlerin ve ihlal bildirimlerinin internetten yapılmasına yönelik çalışmaların tamamlanmasının ardından, kurumun resmi internet sitesi "www.kvkk.gov.tr"de "İlgili kişi şikayet bildirimi" adı altında "KVKK Şikayet Modülü" oluşturuldu. Kişisel verisi işlenen ilgili kişilerin başvurularını bu alandan yapmalarına, başvurularını takip edebilmelerine imkan tanındı.
"e-Devlet" şifresiyle giriş gerçekleştirilen şikayet modülünde, kuruma başvuru yapılmadan önce veri sorumlusuna başvurmanın yasal bir zorunluluk olduğu, bu gerçekleştirilmeden kuruma intikal eden şikayetlerin incelemeye alınamadığına yönelik uyarı da yer aldı.
Başvuru sisteminde, veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması, veri sorumlusunun başvuruya cevap vermemesi halinde yapılacaklar ve kuruma başvuruların süreleri hakkında da bilgiler sunuldu.
Öte yandan, veri sorumlularının veri ihlal bildirimlerini elektronik ortamda yapmalarına ilişkin uygulama da hayata geçirildi.
Daha önce veri sorumluları tarafından yapılacak ihlal bildirimlerinde kullanılmasına karar verilen "Kişisel veri ihlali bildirim formu"nun da kurumun internet sitesinde yer alan "https://ihlalbildirim.kvkk.gov.tr" adresi üzerinden KVKK'ye iletilmesi sağlandı.
Konuya ilişkin açıklamada bulunan KVKK Başkanı Prof. Dr. Faruk Bilir, sistemin sorunsuz çalışması için gerekli altyapının oluşturulduğunu bildirdi.
Bilir, "İlgili kişilerin şikayetlerinin ve veri ihlal bildirimlerinin kurumun internet sayfası üzerinden yapılabilmesi önemli bir gelişmedir. Her iki uygulama da vatandaşlara ve veri sorumlularına kolaylık sağlayacaktır." değerlendirmesinde bulundu.
Geride bırakmaya hazırlandığımız 2020 yılı, kişisel verilerin korunması konusunda endişeleri artırdı. Teknoloji alanındaki ilerlemelerin beraberinde getirdiği siber risklerin şirketleri daha da zorlayacağını belirten uzmanlar, kişisel verilerin güvenliği konusunda 2021 yılı öngörülerini sıralıyor.
Pandeminin kasıp kavurduğu 2020 yılı, kişisel verilerin de siber saldırılara sıkça uğradığı bir yıl oldu. Ayrıca hackerlerin kişisel verilere amansızca düzenlediği saldırılar, gelecek yıllarda şirketleri nelerin beklediğini de gösteriyor. Teknolojik gelişmelere ve yeni normalin oluşturduğu uzaktan çalışmaya dayalı organizasyonel yapılara alışmaya çalışan şirketlerin müşteri ve kişisel verileri korumada yetersiz kaldığına dikkat çeken siber güvenlik uzmanı Serap Günal, gelecek yıldan itibaren kişisel verilerin güvenliği konusunda şirketleri bekleyen 5 öngörüyü paylaşıyor.
1. Çalışanların mahremiyetiyle ilgili düzenlemeler artacak. Pandemi yönetimi, iş gücü analitiğini ve öngörülerini iyileştirmeye yönelik artan arzunun yanı sıra, şirketleri daha fazla çalışan verisini iştahla toplamaya yönlendirecek. Önümüzdeki 12 ay içinde düzenleyici ve yasal faaliyetlerin, çalışan verilerine özenli bir yaklaşım benimsemeyen şirketleri köşeye sıkıştıracağını göreceğiz. Şirketler, çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmelidir.
2. Kanunlar ve yönetmeliklerin ağırlığı daha da hissedilecek. GDPR, KVKK ve ülkeler özelinde kişisel verileri korumaya yönelik birçok mevzuat sınırlarını ve yetkilerini genişleterek daha da etkin hale gelecek. Şirketlerin ulusal ve uluslararası koşullara tam uyumluluk sağlaması karşılaşabileceği cezaların önüne geçmek için koruma sağlayacak.
3. Şeffaflığın önemi artacak. PwC tarafından gerçekleştirilen bir ankete göre tüketicilerin %84’ü, bir şirketin veri koruma sisteminin kırılgan ve zayıf olduğunu düşündüğünde hizmet almayı sonlandıracağını raporluyor. Başta teknoloji şirketleri olmak üzere kişisel verilerin emanet edildiği birçok şirketten şeffaflığın üst düzeyde bekleneceği bir yıl kapıda duruyor.
4. Kişisel verileri korumada güvenlik otomasyonu ön plana çıkacak. Veri güvenliği konusundaki artan korku, otomasyon teknolojisi kullanılarak hafifletilecek. Pandemiyle ilgili komplikasyonlar, normal güvenlik kontrollerinin yetersiz kaldığını gösterirken, şirketlerin ilgi duyacağı çözüm, veri güvenliği otomasyonu olacak. Siber tehditleri insan müdahalesi olmadan programlı olarak algılama, araştırma ve püskürtme gücüne sahip güvenlik eylemlerinin makine tabanlı yürütülmesi, şirketlerin en çok başvuracağı çözümlerden olacak.
5. Üçüncü taraf hizmetleri değerlendirmek kritik hale gelecek. Araştırmalar, tüm veri ihlallerinin %63'ünün üçüncü taraf satıcılarla ilişkilendirildiğini gösteriyor. Tüketiciler, verilerini üçüncü taraf erişimine izin veren şirketlere temkinli yaklaşacak. Şirketler, üçüncü taraf ortaklarını değerlendirmeye ve daha fazla risk değerlendirmesi yapmaya zorlanacak.
Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
