ÖRNEK VERİ İHLALİ ÜZERİNDEN ŞİRKETLERİN KVK TEKNİK VE İDARİ TEDBİRLERE UYUMU İNCELENMESİ
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına göre veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini
temin etmeye yönelik gerekli
her
türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde
(fidye yazılımı, oltalama, hacklenme) veri sorumlusunun bu durumu en kısa sürede (72 saat) ilgilisine ve Kurula bildireceği,
Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği
hükme bağlanmıştır.
Örnek
bir veri ihlali ve KVK idari para cezası incelendiğinde
• İhlalden çalışanlar, kullanıcılar, müşterilerin
etkilendiği ve kişisel verilerin kimlik, iletişim, özlük, hukuki işlem, müşteri
işlem, işlem güvenliği risk yönetimi, finans, mesleki deneyim verileri olduğu,
• İhlalden etkilenen özel nitelikli
kişisel verilerin ise sağlık bilgileri ve adli sicil verilerinin olduğu,
• Teknik ve idari tedbirler ile ilgili olarak,
- KVKK EĞİTİMLERİNİN YAPILMAMASI: Veri sorumlusu tarafından, çalışanların eğitimi için ihlal sonrasında bir eğitim planladığı ve bu durumun Kişisel Veri Güvenliği Rehberinin İdari Tedbirler başlığı altında yer alan 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları maddesinde belirtilen “Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.” hususlarını karşılamadığı,
- GÜNCEL ANTİVİRÜS ve GÜVENLİK DUVARI OLMAMASI: Veri sorumlusunun sistemlerine fidye yazılımın bulaşmasının Kişisel Veri Güvenliği Rehberinin Siber Güvenliği Sağlanması başlığı altında belirtilen “Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak Yarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.” hususlarını karşılamamasından kaynaklandığı,
- YEDEKLEME: Veri ihlalinden etkilenen sunucuların yedeklerinin bulunduğu depolama ünitelerinin ihlalden etkilendiği ve veri yedekleme cihazlarındaki verilerin de silindiği, bu durumun Kişisel Veri Güvenliği Rehberinin 3.6 Kişisel Verilerin Yedeklenmesi başlığı altında ifade edilen “Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir.” hususları karşılamadığı,
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ: İhlalin gerçekleşmesinde, Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında ifade edilen “Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
· Verilerin kriptografik yöntemler
kullanılarak muhafaza edilmesi,
· Kriptografik anahtarların güvenli ve
farklı ortamlarda tutulması,
· Verilerin bulunduğu ortamlara ait güvenlik
güncellemelerinin sürekli takip edilmesi gerekli güvenlik testlerinin düzenli
olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
· Verilere uzaktan erişim gerekiyorsa en az
iki kademeli kimlik doğrulama sisteminin sağlanması,” hususlara riayet
edilmemesinin etkili olduğu,
Yukardaki örnek olayda yer aldığı üzere KVK Teknik tedbirlere mutlaka uyulması ve gerekli teknik güvenlik tedbirlerinin alınması şirketler için olası siber saldırı ve veri ihlalleri ile neticelenecek KVK idari para cezalarının önüne geçme adına büyük önem taşımaktadır.
KVK Teknik tedbirlere uyum konusunda şirketimizle iletişime geçebilirsiniz.
