Dijital sistemlerde saklanan kişisel verilerin usulsüz kullanımı ve artan siber tehditler, ülkeleri önlem almaya itiyor. Avrupa Birliği, çeşitli yerel uygulamaları bütünleştirerek Genel Veri Koruma Yönetmeliği’ni (GDPR) yürürlüğe koydu. Türkiye ise Avrupa’daki örneklerden yola çıkarak Kişisel Verileri Koruma Kanunu’nu (KVKK) devreye aldı. Her iki yasa da kişisel gizliliği korumayı hedefliyor ve her iki yasa da Türk şirketlerini çok yakından ilgilendiriyor.
Gizlilik ve mahremiyete ilişkin sınırların flulaşmaya başladığı dijital çağımızda kişisel verilerin korunmasında global öncülüğü Avrupa Birliği yapıyor. Birlik, AB vatandaşlarının gizlilik haklarını korumak amacıyla son 20 yıldır yapılan en önemli reform olarak öne çıkan Genel Veri Koruma Yönetmeliği’ni (General Data Protection Regulation – GDPR) 25 Mayıs 2018’de yürürlüğe soktu.
95 bin şikayet geldi
Yönetmeliğin yürürülüğe girmesinden sonra bu yılın başında Avrupa Komisyonu üyeleri, GDPR’la ilgili 8 aylık güncel verileri paylaştı. Buna göre, Avrupa Birliği vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındı. Şikayetlerin çoğu telefon üzerinden yapılan pazarlama faaliyetlerinden (tele pazarlama) geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve izinsiz video kayıtlar gibi faaliyetler izledi.
Kurumlardan 41 bin şikayet
Sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
Google’a 50 milyon Euro para cezası
Bununla birlikte, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı. Üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon Euro para cezası vermesi oldu. Teknoloji devi, bu karara itiraz edeceğini duyurdu.
Konu Türk şirketlerini neden ilgilendiriyor?
GDPR düzenlemesi AB vatandaşlarına doğrudan ya da dolaylı olarak ürün ve hizmet sunan tüm firmaları kapsıyor. Firmanın AB sınırları içerisinde yer alıp almaması önemli değil. AB ülkeleri Türkiye’nin en önemli ticari partnerleri konumunda. Bu nedenle Avrupa merkezli şirketlerle ticari ilişkileri olan ve AB vatandaşlarının kişisel verilerini bulunduran Türk firmaları bu yasal düzenlemeye uymak zorunda.
Dünyanın en güçlü veri koruma kuralları vurgusu
Avrupa Birliği yetkilileri yaptıkları açıklamalarda açıklamalarda GDPR için ‘küresel bir standart haline gelen dünyadaki en güçlü ve en modern veri koruma kuralları’ vurgusu yapıyor. Konu gerçekten de dünyada dikkatle takip ediliyor. GDPR’dan yola çıkılarak ABD’nin Kalifornia eyaletinde ‘California Consumer Privacy Act (CCPA)‘ ve Japonya’da ‘Act on the Protection of Personal Information‘ düzenlemeleri gündeme sokuldu. Konu, batıdan doğuya tüm dünyada izleniyor.
KVKK
Türkiye de Avrupa’daki örneklerden yola çıkarak 07.10.2016 tarihinden itibaren 6698 Sayılı Kişisel Verilerin Korunması Kanunu‘nu (KVKK) devre soktu. KVKK Başkanı’nın açıklamasına göre yasa doğrultusunda 2017 yılında toplam 125 bin TL idari para cezası da kesildi. 2018’de ise kurumlara tanınan iki yıllık bir geçiş süreci tamamlandı ve yasa tam olarak uygulanma aşamasına geldi. Kişisel veri işleyen tüm kuruluşlar bu yasadan etkilenirken, yasa veri güvenliğini temin etmek adına şirketlerin gerekli teknik ve idari tedbirleri alması gerektiğini söylüyor. Yasa, uymayanlar için 1 milyon TL’ye kadar ulaşabilecek ağır cezaları öngörüyor.
Kurumların sorumlulukları
KVKK’ya göre kurumlar şunlara dikkat etmeli:
- Kişisel bilgilerin ne şekilde kullanılacağı açıkça ifade edilerek kişinin yazılı onayı alınmalı.
- Verinin ne şekilde işlendiği yönünde geçmişe dönük kayıtlar tutulmalı.
- Talep edildiğinde bu kayıtlar içerisinde yer alan kişisel bilgiler bulunarak sistemden tamamen silinebilmeli.
- İşletmeler, veri kullanımıyla ilgili bilgi talep edilmesi durumunda en geç 15 gün içerisinde Kişisel Verileri Koruma Kurumu’na bilgi vermek zorunda.
Peki, kişisel veriler nasıl korunacak?
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. KVKK da benzer yönde önlemleri koruyucu görüyor.
Bilgi güvenliği şirketlerinin kişisel güvenliğin korunmasındaki rolü ne?
ESET olarak tam bu noktada devreye giriyoruz. Avrupa Birliği merkezli en büyük bilgi güvenliği kuruluşu olarak kişisel verilerin korunmasında teknik çözümler sağlıyoruz. Örneğin kurumlara yönelik ESET Endpoint Encryption yazılımı, kullanıcıların e-postalarını, çıkarılabilir disklerini ve dosyalarını şifrelemesine olanak veriyor. ESET Endpoint Security, kurumlara yönelik antivirüs çözümüyle çok katmanlı siber güvenlik sağlıyor. Safetica DLP, insan hatası, işten ayrılan personel, laptop çalınması, USB cihaz kaybı, endüstriyel casusluk gibi iş yeri içinden olabilecek veri sızıntılarını engelliyor. ESET Secure Authentication, tek kullanımlık şifreler yoluyla erişim koruması sağlayan, mobil tabanlı, iki aşamalı kimlik doğrulama (2FA) çözümü sunuyor. Bu ve buna benzer yazılımlarla, ESET ve ESET düzeyindeki bilgi güvenligi kuruluşları, kişisel verilerin korunmasına djital destek sunuyor.
Daha fazla bilgi için tıklayınız
* Bu makale Advertorial Kapsamda Yayınlanmıştır.
