Kişisel Verilerin Korunması Kanunu (KVKK) hakkında bilgisine başvurduğumuz Av. Şeyma İnal önemli konulara dikkat çekti
Kanun ülkemizde yaklaşık iki yıl önce yürürlüğe girdi ve son aylarda ikincil mevzuatın da çıkmasıyla birlikte, KVKK ülkemizin adeta gündemine oturdu. Her ne kadar çok büyük holdingler veya şirketler KVKK yürürlüğe girdikten sonra bazı çalışmalar yapmış olsalar da birçok orta ve küçük ölçekli şirketin ya da kuruluşun veya şahıs şirketlerinin ya da serbest meslek erbaplarının konu hakkında yeteri kadar bilgisi olmadığını, bilgisi olanların da ne yapacağını bilmediğini görüyoruz. Aslında bir yandan da bu konuda büyük bir bilgi kirliliği olup, cep telefonları ya da e-posta adreslerine KVKK ile ilgili gelen mesajlar bıkkınlık yaratmış durumda.
KVKK kapsamında, bir kişinin verisini işleyen ile bir milyon kişinin verisini işleyen veri sorumluları arasında bir ayrım yapılmamıştır. Kişisel Verilerin Korunması Kurumu’nun yayımlamış olduğu rehbere göre, uygun önlemlerin belirlenmesinde gözetilecek olan kriter, şirketin büyüklüğü veya cirosundan ziyade şirketin yaptığı iş ve korunan kişisel verinin niteliğidir. Örneğin, küçük ölçekli olmakla birlikte özel nitelikli kişisel veri işleyen veri sorumlusunun daha yüksek standartlarda koruma önlemi alması gerekmektedir. Durum böyle olunca, teknik anlamda da hepimizin sorumlulukları oldukça ciddi ve büyüktür.
Teknik altyapının ve önlemlerin ne kadar önemli olduğunu vurgulamak için çok basit bazı örnekler verebiliriz:
Parola politikanız var mı?
Bir kurumun parola politikasının olmaması, olası bir denetimde ağır kusurlu bulunmasına sebep olabilecektir. Kurum içinde parola ile herhangi bir sisteme erişebilen (bilgisayar, e-posta, vb.) her personelin, en az sekiz haneli olmak üzere, bir harfi büyük, bir harfi küçük ve mutlaka bir işaretten oluşan şifreler kullanması ve bu şifrelerin de en fazla yetmiş iki günde bir değiştirilmesi tavsiye edilmektedir. İşten bir personel ayrıldığında ise, derhal tüm şifre değişimlerinin muhakkak sağlanması gerekmektedir. KVKK’nın sonuçları dikkate alındığında, şifresini başkasına verenlerin de çok dikkatli olması önem arz etmektedir.
‘Server’ınız hangi ülkede acaba?
Birçok kurum ve kuruluş, bir acil durum planı olarak, verilerinin yurtdışında bulunan bir ‘server’a aktarabilmekte ya da yedeklemektedir. Bu kurumlara sorduğunuzda, kişisel verileri yurtdışına aktardıklarının farkında dahi olmadıkları gözlemlenmektedir. Oysa ki, yurtdışında bir ‘server’a veri aktarmak kişisel veri aktarma ihtimalini de içinde barındırmaktadır.
Yazıcınızın hafızasını hafife almayın
Tek kişilik bir ofiste veya yüz kişilik bir ofiste kullanılan ve genellikle pek bilinmeyen bir konu olarak yazıcıların bellek özelliği karşımıza çıkmaktadır. Profesyonel yazıcı cihazları baskıları hafızasında tutabilir ve sonrasında kötü niyetli kişiler bu baskıları tekrar alabilirler, hatta bazı ‘hacker’ların hedeflerindeki önemli kurumların, yazıcıları ‘hackleyip’ buradaki verilere erişmeye çalıştıkları bilinmektedir. Kim bilir belki de görevli personelin başında durup, fotokopisini aldığınız o çok gizli evrakların, siz yazıcıdan uzaklaştıktan bir dakika sonra tekrar çıktıları alınmış olabilir.
İşte bu noktada da KVKK’ya uyum süreçleri, siz işveren ve yöneticilere de farkındalık yaratacak teknik detaylara vakıf olmanızı sağlayarak, korumakla yükümlü olduğunuz kişisel verilere daha teknik ve kapsamlı korumalar edinmenize zemin sağlayacaktır. Nitekim KVKK denildiğinde, ilk akla gelen kişisel verilerin hukuken nasıl korunacağıdır. Oysa, kişisel verilerin korunmasının, biri hukuki, diğeri de teknik olmak üzere, en az iki ayağı vardır. Bu husus, KVKK’nın ‘’Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’inci maddesinin birinci fıkrasında “Veri sorumlusu; (a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” ifadeleriyle belirtilmiştir.
KVKK kapsamında öngörülen cezaların, şirketlerin ekonomik varlıklarını etkileyebilecek boyutlarda olabilmesi nedeniyle, KVKK’da öngörülen hukuki ve teknik yükümlülükleri yerine getirmeleri, bunun için de öncelikle şirketlerinin bünyelerinde bir inceleme yaptırarak, kendi açıklarını tespit ettirmeleri ve kendilerine özgü (tailor made) bir uyum programı hazırlatmaları önerilir. Aksi halde, her ne kadar hukuki açıdan KVKK tarafından öngörülen yükümlülükleri yerine getirseler dahi, teknik açıdan sistemlerinin yetersiz olması veya çok küçük görülebilen eksiklikler sebebiyle, önemli cezalar ile karşılaşabileceklerdir.
