Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) için hazırlık yapmayan kurumları bekleyen büyük ticari riskler konusunda uyarıyor. Verinin ekonomi için en değerli yakıtlardan biri haline geldiğinin altını çizen Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, günümüzde karşı karşıya kalınan siber güvenlik tehditlerini şöyle özetliyor: “Eskiden ‘siber tehdit’ derken sadece zararlı yazılımlardan bahsederdik. Bugün ise otomatize ve sofistike hedefli saldırılar, kimlik avı, fidye yazılımlar, DDoS saldırıları, mobil bankacılık güvenlik açıkları, organize sosyal mühendislik, kişisel verilerden yapılan profilleme ile davranışsal yönlendirme gibi güvenlik tehlikeleriyle karşı karşıyayız.”
Kişisel verilerin kontrolü kullanıcıya geçiyor
Kurumlara emanet edilen kişisel verilerin kontrolü, GDPR ve KVKK ile kullanıcılara geçiyor. Yeni düzenlemeler ile kişiler, verilerinin hangi amaçlarla ve nerelerde kullanılacağı gibi detayları öğrenme fırsatı yakalıyor. Yeni kanunun, kişiye artık kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme imkanı sağladığını belirten Arı, “Kullanıcılar artık yurt içi ve dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi veya yok edilmesini ve bağlayıcı taraflara isteğin bildirilmesini isteme, kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahipler.” diyor.
GDPR ve KVKK, şirketlere kritik sorumluluklar yüklüyor
Yeni düzenlemeler kurumlara pek çok sorumluluğu da beraberinde getiriyor. Şirketler artık, verilerini tuttukları kullanıcıları detaylı şekilde bilgilendirmek zorunda. “Kanun şirketlere, işlenen gerçek kişilerin verilerine dair hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyma şartları getiriyor.” açıklamasını yapan Ercüment Arı, veri sahiplerine yönelik sorumlulukları şöyle özetliyor: “Veri sorumlularına veri sahiplerini aydınlatma, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbir alma, veri sahiplerinin kendilerine yönelttiği başvuruları cevaplama ve kurulun açacağı VERBİS sistemindeki veri sorumluları siciline kayıt yükümlülüklerini getiriyor.”
Türkiye’deki şirketler GDPR’dan nasıl etkilenecek?
Avrupa Birliği (AB) tarafından yürürlüğe sokulan GDPR, sadece AB üyesi ülkeleri değil, bu ülkelerdeki kişi ve kurumlarla iş yapan her kuruluşu doğrudan etkiliyor. Dolayısıyla Türkiye merkezli şirketler, AB vatandaşlarına mal veya hizmet sunuyor ya da davranışlarını takip ediyorlarsa, bir ödeme yapılmasına bakılmaksızın GDPR düzenlemelerinden sorumlu tutuluyor. Dolayısıyla şirketler, GDPR’ın yükümlülüklerini bilmek ve bu yükümlülüklere göre de faaliyet göstermek zorundalar.
GDPR uyumluluğu noktasında şirketlerin en sık gözden kaçırdığı detayı şöyle anlatıyor Arı: “İnsan faktörü hafife alınıyor. Ne kadar gelişmiş, mükemmel ve yenilikçi sistemler kullanılsa da insana ait bir hata veya kasıt, sistemin çarklarına ve işleyişine çok büyük zarar verebiliyor. Bu yüzden bir güvenlik gurusunun altını çizdiği gibi gelecekteki güvenlik sistemleri teknolojik gelişmelere göre değil insan hatası ve kasıtlarının önlenmesine göre dizayn edilecektir. Bu bağlamda sistem ve süreçleri bu yaklaşıma göre dizayn edip, insanları etkin ve efektif eğitmeye de bütçe ayırmak gerekir.” diyor ve ekliyor: “Müşteri deneyimi yönetimi söz konusu olduğunda bu hatalar şirketlere; müşteri, itibar, finansal kayıplar, personel kayıpları, regülasyon ve kanun koyuculara uyumsuzluk maliyetleri, içsel süreç iyileştirme maliyetleri, sigorta maliyetleri gibi maliyetler yüklüyor.”
Teleperformance’ın deneyimi şirketlere yol gösteriyor
Teleperformance Türkiye, iş süreçlerini Teleperformance’ın GECSP global standartlarına göre düzenleyerek, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standart olan ISO/IEC 27001 sertifikasına ve kredi kartıyla işlem yapan firmalar için kritik bir standart olan PCI DSS sertifikasına sahip. Bunlara ek olarak Teleperformance Türkiye, Aralık 2016’da organizasyon şemasına Data Protection Officer (Veri Koruma Sorumlusu) pozisyonunu birçok Avrupa ülkesinden önce dahil ederek Türkiye’de ve Avrupa’daki ilk uygulayıcılardan oldu. Ercüment Arı, Teleperformance’ın GDPR’ın yükümlülüklerini yerine getirmek isteyen şirketlere sunduğu çözümleri şöyle anlatıyor: “Beraber çalıştığımız paydaşlarımızla, veri işleyen olarak global veri gizliliği ve bilgi güvenliği sertifikasyonları ile taçlandırdığımız (ISO 27001, PCI/DSS) standartlarımız çerçevesindeki süreçleri beraber yürütmeyi, bilgi birikimimizi ve gerektiğinde lokal ve global veri koruma tavsiyelerimizi paylaşıyor ve şirketlere ihtiyaçları doğrultusunda yol gösteriyoruz.”
Kaynak : 