Kişisel veri, en temel tanımıyla kimliği belirli ya da belirlenebilir bir kişiyle ilgili herhangi bir bilgiyi ifade ediyor. 2016 yılında 6698 sayılı kanunla herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alındı.
Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği de hükme bağlandı. Ancak gün geçmiyor ki dünyadan ya da Türkiye’den yeni bir veri ihlali haberi almayalım. Son dönemde özellikle sık ziyaret edilen ve yüz binlerce dijital müşterisi olan şirketler teker teker siber saldırıların hedefi oluyor. Elbette bunda iş ve günlük yaşamın büyük bir kısmının dijital ortamlara taşınması, veri toplama ve işleme kapasitesinin artışı çok etkili. Veri ve online alışveriş arttıkça kişisel verilerin korunması çok daha kritik hale geliyor. Veri sızıntılarından, yetkisiz analizlere kadar dünyada çok çeşitli ve kötü amaçlı siber saldırı türleri görülüyor. Türkiye’de KVKK, Avrupa’da GDPR ile güvence altına alınan kişisel verilerin güvenliği tüm şirketler için en önemli yasal mevzuat konumunda. Kişisel verilerin güvenliğine, verilerin korunamadığında doğan sonuçlara ve küresel siber güvenlik pazarına dair gündeme yakından bakalım.
VERİLERİ KORUMANIN MALİYETİ KATLANIYOR!
2004’te küresel siber güvenlik pazarı 3,5 milyar dolardı, 2017’de ise 120 milyar doları aşmıştı. Bu 13 yılda 35 kat artan pazar büyüklüğü, 2021’de 6 trilyon dolara ulaştı ve sadece 4 yılda 50 kat arttı. Cybersecurity Ventures, küresel siber suç maliyetlerinin 2025 yılında 10,5 trilyon dolara ulaşmasını bekliyor. Ve veri ihlalleri, 2022 yılında da tüm şirketler ve kurumlar için önemli bir sorun olmaya devam ediyor.
En son Fransa’da iki teknoloji şirketi büyük cezalar aldı. Fransız veri düzenleyicisi CNIL, AB gizlilik kurallarını ihlal ettiği için Google’a 150 milyon Euro ve Facebook’a 60 milyon Euro ceza kesti. CNIL, Fransız kullanıcıların çerez izleme teknolojisini kolayca reddetmesine izin vermediği için Google’ın Amerika Birleşik Devletleri ve İrlanda operasyonlarına sırasıyla 90 milyon Euro ve 60 milyon Euro ve Facebook’un İrlanda koluna 60 milyon Euro ceza verdi. Google ve Facebook ayrıca, CNIL’in kararı verdiği tarihten itibaren üç ay içinde uygulamalarını düzeltmezlerse günlük 100.000 Euro ceza ile daha karşı karşıya kalacaklar. Bu Google’a ait google.fr ve youtube.fr web sitelerinin yanı sıra Facebook’un Fransız platformu için de geçerli.
KİŞİSEL VERİLER ÇALININCA…
Türkiye ise sadece birkaç gün önce yine bir veri ihlali haberiyle sarsıldı. Binlerce müşterisi olan bir fast food şirketinin 9 Ocak’ta gelen bir e-posta ile müşterilerine ait isim, soy isim, iletişim bilgileri, müşteri numarası bilgilerinin e-postayı gönderen kimliği belirsiz kişi veya kişiler tarafından edinildiği iddiaları ortalığı karıştırdı. Olayın kamuoyuna yansıması üzerine şirketten yapılan açıklamada, tehdit içeren söz konusu e-postanın ardından detaylı incelemelerin şirket tarafından derhal başlatıldığı, teknik kontrollerin sağlandığı, teknik ve idari tüm tedbirlerin alındığı belirtildi.
İdari para cezaları her geçen yıl artıyor olmasına rağmen alınmayan önlemlerden dolayı birçok şirket büyük miktarlarda idari para cezalarına uğruyor. Oysa KVKK (Kişisel verilerin korunması kanunu) kapsamında tüm idari ve teknik önlemleri almaları gerekiyor. Önlem alma noktasındaki en büyük sorun küçük ayrıntıların gözden kaçırılması olarak ortaya çıkıyor. Kurum ve kuruluşların veri koruma süreçlerinde büyük miktarlarda idari para cezalarına uğramamaları için profesyonel destek almaları önemli. Çünkü gizlilik regülasyonları sürekli global olarak güncelleniyor. Şirketlerin uyumsuzluklarını ortadan kaldırmak için hızlı hareket etmesi gerekiyor.
TEPE YÖNETİCİSİ SAHİPLENMELİ
Verinin ekonomi için en değerli unsur haline gelmesi her türlü veriyi saldırılara açık hale getirdi. Günümüzde karşı karşıya kalınan çok sayıda siber güvenlik tehditi var. Kimlik avı, fidye yazılımlar, DDoS saldırıları, oltalama saldırıları, sosyal mühendislik, kişisel verilerden yapılan profilleme ile davranışsal yönlendirme gibi güvenlik tehlikeleriyle karşı karşıyayız. İş dünyası dijitalleşmenin fırsatlarından yararlanırken risklere karşı da hazır ve güvende olabilmeli. 2021’de veri ihlali maliyetleri IBM’e göre şirket başına 4,24 milyon dolara yükseldi. Lider yani tepe yönetici seviyesinde bu konudaki sahiplenmenin güçlendirilmesi gerekiyor. Siber saldırılar karşısında güvenlik çözümleri yeteneklerinin artırılması, geleceğe dair planlamalar yapılırken kurumların güçlü bir siber saldırıya uğrayabilme riskini düşünmesi ve önleyici tedbirleri alması kritik önem taşıyor.
KVKK VE GDPR NEDEN ÖNEMLİ?
Şirketler için kritik önemde değişiklikler içeren Kişisel Verilerin Korunması Hakkında Kanun (KVKK), veri sorumlusu, veri işleyen, kişisel verilerin açık rıza ile işlenmemesi gibi pek çok kavram ve yükümlülüğü beraberinde getirdi. Avrupa Birliği de Mayıs 2018 tarihinde Genel Veri Koruma Tüzüğü’nü (GDPR) yürürlüğe soktu. Gerek KVKK gerekse GDPR veri işleyen şirketler, dernekler, vakıflar, kamu kurum ve kuruluşları gibi kişisel veri işleyen tüm yapıları yani veri sorumlularını ciddi bir şekilde etkiledi. Veri sorumlularına çeşitli teknik, idari, hukuki tedbirler alma yükümlülüğü getirdi. Bir Türk şirketinin AB’de kurulu şirketi, irtibat ofisi veya benzeri bir yapısı varsa, şirket AB vatandaşlarına mal veya hizmet sunuyorsa ya da onlara yönelik profilleme çalışması yapıyorsa KVKK’nın yanı sıra GDPR’a da tabi olmak durumunda. Bu şirketler bu nedenle bir Veri Koruma Uzmanı (DPO) veya temsilci atamaları gerekiyor. Bu süreçte faaliyet kaydı tutmaları ve iş süreçleri için veri koruma etki analizi yapmak gibi çeşitli yükümlülükleri var. Kişisel verilerin korunması alanında da veriden sorumlu olan kuruluşlar bir uyum süreci yürütmek zorunda. Aksi takdirde regülasyonların getirdiği yaptırımlara maruz kalma riskleri bulunuyor. GDPR açısından bu risk, global cironun yüzde 4’üne kadar para cezasıyken, KVKK açısından 2022 değerleme oranı ile birlikte 2,6 milyon TL’nin üzerine çıkıyor.
UYUM SAĞLANDI MI?
Nisan 2020’de yapılan IDC EMEA Güvenlik Araştırması’nın GDPR ile ilgili sonuçları çok enteresan. Şirketlerin sadece yüzde 23’ü GDPR ile tamamen uyumlu olduğunu ifade ediyor. Yüzde 18’i çok uyumlu olduklarını, yüzde 29’u temel bir GDPR uyumu sağlayabildiklerini ve yüzde 19’u ise GDPR konusunda bir temel elde etmek için hala çalıştıklarını ifade ediyor. Oysa büyük veri ve analitiğin öneminde kayda değer bir artış yaşanıyor. Günün sonunda, tüm şirketler ister dijital dönüşümü gerçekleştirmek ister KVKK ile uyumluluğu veya yeni iş modelleri bulmak için olsun verilerini keşfedecek ve sınıflandıracaklar. Şirketlerin hangi kişisel verileri hangi süreçlerle sakladığına ilişkin çalışmaları yaparken aynı zamanda sistemlerde bu verilerin nerede saklandığının keşfi de önemli bir süreç. KVKK, hassas verilerin korunmasını güçlendirmek için şifreleme kullanımını öneriyor. Yasa ayrıca bir veri ihlali durumunda şifrelemeyi bir risk azaltıcı faktör olarak konumlandırıyor. Öte yandan pek çok şirket ne kadar ve hangi kişisel verilere sahip olduğunu dahi bilmiyor. Veri keşfi ve sınıflandırması hayati bir adım. Hangi verilere sahip olduğunuzu ve bunların nerede olduğunu bilmiyorsanız KVKK ile uyumlu olamazsınız.
Kaynak:
https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
https://techcrunch.com/2022/01/06/cnil-facebook-google-cookie-consent-eprivacy-breaches/
https://www.ibm.com/security/data-breach
https://cyberartspro.com/2021221-2022-yili-kvkk-idari-para-cezalari-guncellendi/
