Şirketler Veri İhlalinin Farkına Varamıyor
Teknolojinin gelişmesiyle birlikte veri, günümüzün en değerli kaynağına dönüştü ve daha fazla talep oluşmasına neden oldu. Başta kişisel veriler olmak üzere tüm işletme verilerinin her zamankinden daha fazla korunması gerektiğini belirten Rasyotek Bilişim Hukuku Departmanı Yönetici Avukatı Alara Yılmaz, "Çalışanlar farkında olmadan kişisel veri ihlaline sebep olabiliyor, birçok işletme de bunun farkına varamıyor" dedi. Yılmaz, Kişisel Verilerin Korunması Kanunu'na yönelik önemli açıklamalarda bulunarak çalışanların ve işletmelerin dikkat etmesi gereken konulara değindi.
"Veri sorumluları yaşadıkları ihlalleri bildirmiyor"
Veri sorumlusu nezdinde kişisel veri ihlali yaşanması halinde, bu durumun öğrenildiği andan itibaren en geç 72 saat içerisinde Kişisel Verileri Koruma Kurumu'na bildirilmesi gerektiğini aktaran Yılmaz, "Kişisel Verilerin Korunması Kanunu'nun (KVKK) 12'nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli ve yeterli güvenlik düzeyini temin etmek için her türlü teknik ve idari tedbirleri alması gerektiği açıkça belirtiliyor. Bu tedbirler yeterli düzeyde alınmadığı takdirde birçok işletme farkında olmadan veri ihlallerine maruz kalıyor ve ne yazık ki veri sorumluları, yaşanan ihlalleri, Kişisel Verileri Koruma Kurumu'na bildirmiyor" diye konuştu.
Veri ihlaline maruz kalan veri sorumluları ifşa edilmekten korkuyor
Birçok veri sorumlusunun veri ihlaline maruz kaldığını tespit edemediğini veya çoğunlukla bu ihlalin farkına varmadığını ekleyen Yılmaz, "İşletmeler, veri ihlaline maruz kaldığını Kişisel Verileri Koruma Kurumu'na bildirdiğinde, açık bir şekilde ifşa edilmekten çekiniyor veya Kişisel Verilerin Korunması Kanunu'na uygun şekilde veri işlemedikleri için daha büyük cezalar ile karşılaşmaktan korkuyor. Ayrıca verileri hukuka aykırı şekilde işlenen veya veri ihlali sebebiyle zarara uğrayan ilgili kişiler de uğradıkları zararları tazmin edebilmek adına yasal haklarını kullanabiliyor. Ancak tüm bunlar, veri güvenliği açısından ciddi riskleri doğurabildiği gibi daha büyük idari para cezalarına da yol açabiliyor" dedi.
"Kişisel verilerin korunması farkındalığı oluşturulmalı"
Kişisel veri ihlallerinin çoğunlukla siber saldırılar aracılığıyla gerçekleştiğini ancak çalışanların bilgi eksikliğinin de veri ihlallerinde büyük payının olduğunu söyleyen Yılmaz, şöyle devam etti: "Çalışanların bulundukları konum itibariyle erişim sağladıkları verileri farkında olmadan sosyal medya hesaplarında paylaşması, kötü niyetli bir şekilde veri sorumlusu şirket tarafından işlenen kişisel verileri hukuka aykırı bir şekilde üçüncü kişilere aktarması, oltalama adını verdiğimiz virüs içerikli e-postaların eklerini açması gibi olaylar karşısında işletmeler; veri ihlali ile karşı karşıya kalabiliyor. Çalışanlar çoğunlukla bu eylemlerin veri ihlaline sebep olabileceğinin farkında olmayabiliyor veya ne yapılması gerektiğini bilmiyorlar. İşletmeler, gerekli hukuki ve teknik güvenlik altyapısını oluşturmadığında bu tip veri ihlallerinin tespiti mümkün olmadığı gibi bu durumlarda ne yapmaları gerektiğini bilmedikleri için süresi içinde Kurum'a da bildirimde bulunmuyor veya KVKK'ya uygun faaliyet göstermedikleri için Kurum'a bildirim yapmıyor. Genel itibariyle burada önemli olan, sistemin en basit halkasından başlamak ve çalışanlarımızı bu konularda bilgilendirmek. Şirket içerisinde bir veri koruma farkındalığı ve kültürü oluşturmak şirketlerin veri sızıntılarının önüne geçebilmesi için alması gereken en büyük önlemlerden birisidir."