Mobile logo
Top

Kişisel Verileri Dijital Ortamda Tutmak

Veri Güvenliği Yazı

Kişisel Verileri Dijital Ortamda Tutmak

Teknolojinin ilerlemesi, ucuzlaşması ve sağladığı sayısız kolaylıkla birlikte artık veriler dijital ortamda tutulmaktadır. Bu gelişmelerden kişisel veriler de nasibini alsa da, veri sorumluları maalesef veri güvenliğine yeterince önem vermemektedir. Bu durum kişisel verilerin korunması hukuku kapsamında veri sorumlularını cezai ve hukuki yaptırımlarla karşı karşıya getirmekle birlikte aynı zamanda kurumları büyük ticari itibar kaybına uğratmaktadır.

Hukuk Veri Güvenliğine Neden Önem Veriyor?

Kişisel verileri dijital ortamda tutmak kurumlar için artık birçok açıdan kaçınılmaz hale gelse de; bu husus aynı zamanda büyük güvenlik zafiyetlerine de ortam hazırlamaktadır. Verinin her geçen gün daha da önem kazandığı bu çağda yalnızca şu örneklere bakmak bile kurumlar için veri güvenliğinin ne denli önemli olduğunu gözler önüne sermektedir:

  • 2014 yılında korsanlar, en büyük e-ticaret sitelerinden biri olan Ebay’in 145 Milyon kullanıcısının verilerini ve parolalarını ele geçirdi.
  • 2005-2012 yılları arasında bir grup korsan, aralarında Nasdaq, Citigroup, Carrefour gibi devlerin de bulunduğu birçok şirket ve platforma saldırı düzenleyip 160 milyon kullanıcının kredi kartı bilgisini çalarak bu şirketleri toplamda 300 Milyon Dolar zarara uğrattı.
  • 2013-2014 yılları arasında, dönemin en büyük Bitcoin borsası olan Gox hacklendi ve o dönem 480 Milyon Dolara tekabül eden 850.000 Bitcoin çalındı. Bunun üzerine Mt Gox iflasını istemek zorunda kaldı ve binlerce kullanıcı mağdur oldu.
  • Türkiye’de de 2013 yılında 5 Milyon kullanıcının kredi kartı ve telefon bilgilerinin dolandırıcıların eline geçtiği ortaya çıktı. Türkiye’den benzer bir skandal olarak 50 Milyon vatandaşın kimlik bilgilerinin sızdırılması da veri güvenliğine ilişkin zafiyetlerin ne denli büyük zararlara yol açabileceğine örnek olarak gösterilebilir.

Konuyla ilgili sayısız örnek verilebilecek olsa da, veri sorumlularının, büyük zararlara uğramamak için ellerindeki kişisel verileri korumada azami özeni göstermeleri gerektiği ortada. Bu bağlamda hukuk sistemi de veri sorumlularına kişisel verileri koruma hususunda büyük sorumluluklar yüklemekte.

 Veri Sorumlularının Yükümlülükleri Nelerdir?

Kanun, veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini 3 temel başlık altında toplamaktadır. Bu bağlamda veri sorumluları,

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

ile ilgili uygun güvenlik düzeyini temin etmekle mükelleftir Dolayısıyla veri sorumluları, emirleri altında çalışan personelin kişisel verileri hukuka uygun şekilde işlemesine dair gerekli eğitimi vermekle yükümlü olduğu gibi gerek personelin gerekse de 3. kişilerin kişisel verilere hukuka aykırı olarak erişmesini de engellemekle yükümlüdür. Bu kapsamda veri sorumluları uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri de almak zorundadır.

Her ne kadar bu tedbirlerin her somut vakıada ayrı ayrı değerlendirilmesi gerekse de, fikir vermesi adına aşağıdaki tedbirler örnek mahiyetinde değerlendirilebilir:

  • Uzun ve karmaşık karakterlerden oluşan güçlü bir şifre kullanılması,
  • Şifreleri düzenli aralıklarla değiştirilmesi,
  • Her platform için farklı şifreler kullanılması,
  • İşletim sistemini güvenlik açıklarına karşı sürekli olarak güncel tutulması,
  • Mümkünse sisteme (Google Authenticator, SMS onay vb) çift doğrulamalı yöntemlerle giriş yapılması,
  • Mümkünse sisteme yalnızca (Parmak izi, Retina taraması gibi) biyometrik sistemlerle giriş yapılabilmesi, (Elbette bu durumda hassas veri niteliğindeki biyometrik veriler elde edilmiş olacağından açık rıza alınması gerekebilecektir.)
  • Sistemin düzenli olarak yedeklemesinin yapılması,
  • Gereksiz olan portların kapatılması,
  • Gelişmiş bir güvenlik duvarına (Firewall) sahip olunması,
  • Ağ güvenliğini sağlamaya yönelik sair önlemlerin alınması,
  • Personelin veri güvenliğine ve kişisel verilerin korunması hususunda eğitilmesi,
  • CD, USB gibi veri çıkış ve giriş araçlarının kontrol altında tutulması ve bunlara ilişkin gerekli güvenlik önlemleri alınması,
  • Sisteme ve özellikle kişisel verilere yalnızca belirli personelin ulaşabiliyor olması,
  • Kullanılan servislerin ve uygulamaların mümkün olduğunca güvenli olduğuna dikkat edilmesi,
  • Güvenlik uygulamaları kullanılması ve bunlar güncel tutulması,
  • Periyodik olarak sızma  testlerinin ve zaafiyet taramalarının yaptırılması

Bu hususlara uymamanın veri sorumlularını milyonlarca liraya varan para cezası ve yüklü tazminatlarla karşı karşıya bırakabileceğini belirtmek gerekir.

Peki Veriler Bulutta Tutulacaksa?

Veriler bulutta tutulacaksa veri sorumlusunun sorumluluğu sona ermiyor olup veri sorumlusu, her türlü tedbirin alınması hususunda bulut firması ile birlikte müştereken (birlikte) sorumludur. Dolayısıyla bir veri sorumlusunun, (her ne kadar bulut firmasının güvenlik zafiyetinden kaynaklanıyor olsa da) Kanun nezdinde Bulut Sağlayıcı Firma ile birlikte sorumlu olduğu için sorumluluktan kurtulma imkânı bulunmamaktadır. Bu sebeple Bulut Sağlayıcı Firma seçiminde belirli güvenlik kriterlerinin varlığına dikkat edilmesi gerekmektedir.

Bu noktada veri sorumlusunun güçlü şifre belirleme, yalnızca sınırlı sayıdaki personelin verilere erişebilmesi gibi yükümlülükleri devam edecek olup mümkünse (Avrupa Konseyi’nin konuya ilişkin Model Sözleşme setlerine uygun olarak) Bulut Sağlayıcı Firma ile sorumlulukların ve şartların belirlendiği yazılı bir sözleşme yapılması yerinde olacaktır.

İhlal Halinde Bildirim Yükümlülüğü

Veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle mükelleftir. Kurul, gerekmesi hâlinde bu durumu, kendi İnternet sitesinde ya da uygun göreceği başka bir yöntemle de ilan edebilir.

Veri Güvenliğine İlişkin Yükümlülükleri Yerine Getirmemenin Yaptırımı Nedir?

Kişisel Verilerin Korunması Kanunu kapsamında veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde veri sorumluları hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilecektir. Ayrıca veri sorumluları, verdikleri zarar oranında zarar görenlere tazminat ödemekle karşı karşıya kalabilir.

Örneğin bir ödeme hizmeti şirketi, kredi kartı bilgilerinin sızdırılarak binlerce müşterinin kredi kartından milyonlarca TL’lik alışveriş yapılması halinde, bu ihmalinden dolayı zarar görenlerin zararını kusuru oranında karşılamakla mükellef olacaktır. 

Toparlamak Gerekirse; gerek bulutta gerekse de kurum bünyesindeki sunucularda tutulsun; kişisel verilerin güvenliğini sağlamak veri sorumlularının Kanun kapsamında en büyük yükümlülüklerinden birisidir. Veri sorumluları bu yükümlülüklerine uymamaları halinde yüklü meblağda para cezası ve tazminatlarla karşı karşıya kalabilecektir. Bu bağlamda veri sorumlularının gerekli idari ve teknik her türlü tedbiri alması gerekmektedir.

12 Ocak 2018
0
0
dijital veri işleme
Related Posts
Kişisel Sağlık Verilerinin İşlenmesi
 10 Mart 2018
Kişisel Verileri İşlerken Nelere Dikkat Etmek Gerekir?
 15 Şubat 2018
Konum Verisinin İşlenmesi
 6 Şubat 2018
Oğuz Yavuz
Oğuz Yavuz
Yorum Bulunmuyor

Yorum Yapın