A. Baransel Ağca tarafından yazılmış tüm yazılar

İstanbul Üniversitesi Tarih Bölümü mezunu, 2015 yılından bu yana gazetecilik yapıyor

KVKK

Son kayıt tarihi yaklaşan VERBİS neyi değiştirecek?

22 Eylül 2020 A. Baransel Ağca Yorum yapın

Türkiye’de kişisel verileri işleyen tüm şirketleri ilgilendiren VERBİS nedir? VERBİS’e nasıl kayıt yapılır? Son kayıt tarihi ne zaman? VERBİS’e kayıt tarihleri neden sürekli erteleniyor?

Kişisel Verileri Koruma Kurulu (Kurul) tarafından 2018 yılından bu yana zorunlu hale getirilen VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce kaydolmaları gereken bir sicil kayıt sistemi olarak tanımlanabilir. Türkiye’de veri güvenliği açısından önemli bir eşik olarak görülen VERBİS sayesinde, kişisel veri toplayan ve işleyen tüm şirketler, bundan böyle verileri işlemeden önce herkesin erişimine açık bir sisteme yani VERBİS’e envanter girişi yapmak zorunda.

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketler, 30 Eylül 2020 tarihine kadar VERBİS’e kayıt yaptırmak zorundalar. VERBİS’in veri güvenliği açısından sağlayacağı faydaları ve veri işleyen şirketlerin sorumluluklarını Kavlak Avukatlık Bürosu’ndan Av. Deniz Mina Küpana ile konuştuk.

“HERKESİN ERİŞİMİNE VE KAMUOYU DENETİMİNE AÇIK”

VERBİS’in tüm yurttaşların erişimine açık olduğunu söyleyen Küpana, “Gündelik yaşamda karşımıza çıkan pek çok şirket, dijital alanda kişisel verileri kullanarak işlem yapıyor. VERBİS, bu verilerin ne amaçla kullanıldığını ne düzeyde kullanıldığını ve ne tür bir kategorizasyon ile depolandığını alenen denetlememizi sağlıyor. Yani bugün herhangi bir yurttaş VERBİS’in sistemine girerek alışveriş yaptığı bir şirketin, ne tür kişisel bilgileri kayıt altına aldığını görebilir” dedi.

KÜÇÜK ŞİRKETLERİ DE KAPSIYOR

Sistemin sadece büyük şirketleri kapsamadığını belirten Küpana, “Bazı şirketler, çalışan kişi sayısı ve yıllık cirosu bakımından küçük olsa da faaliyet gösterdiği alan dolayısıyla kişisel verileri kullanıyor. Örneğin sağlık sektöründe faaliyet gösteren küçük çaplı şirketler, pek çok kişinin sağlık bilgilerini, özel bir takım kişisel bilgilerini depoluyor. KVKK, bu tarz şirketlerin de büyüklüklerine bakmadan kişisel verileri depoladıkları için sisteme kayıt olmaları zorunlu tutuyor” şeklinde konuştu.

YURTTAŞLAR AÇISINDAN ÖNEMİ

Sistemin yurttaşlar açısından en önemli avantajının aleniyet olduğunu söyleyen Küpana, “Geçmişte kendi kişisel verilerimizin şirketler tarafından ne düzeyde depolandığını ve kullanıldığını bilmiyorduk. Örneğin siz bir uçak bileti alırken, şirkete verdiğiniz kişisel verilerin kaç yıl depolandığını, siz verdikten sonra aracı firmalara verilip verilmediğini ve bu bilgilerin ne amaçla kullanıldığını bilemezdiniz. Bu sistemle birlikte şirketlerin kişisel verileri ne sürede ve ne için depoladığını görebiliyorsunuz. Bunu görebildiğiniz için de bir başvuru hakkınız doğabiliyor. Geçmişte bu veri elimde olmadığı için böyle bir başvuru hakkım da yoktu” ifadelerini kullandı.

ŞİRKETLER AÇISINDAN ÖNEMİ

VERBİS’in şirketler açısından da önemli değişikliklere yol açacağını belirten Küpana, “VERBİS, şirketlerin sahip oldukları bilgileri düzenleme, kontrol etme ve hangi bilginin neden o şirkette yer aldığını bir kurala bağlaması açısından önemli. Bu yolla bir şirket, aslında kendisine bir nevi ‘anayasa’ oluşturmuş oluyor. Yani ‘Ben şu bilgileri şu kadar yıl şu amaçlarla tutarım’ diyebileceği bir kurallar bütününe sahip oluyor. Şu an şirketlerin büyük bölümünde pek çok bilginin ne işe yaradığı, neden orada olduğu ve ne kadar daha orada kalacağına dair bir sistem oturmuş değil. VERBİS sayesinde bu anlamda bir sadeleşme ve kurala bağlanma söz konusu” dedi.

VERBİS’TE SON KAYIT TARİHİ NEDEN SÜREKLİ ERTELENİYOR?

Şirketlere son kayıt için verilen sürenin tam üç kez ertelendiğini hatırlatan Küpana, “VERBİS’e kayıt için belirlenen ilk son tarih olarak 2019’un Eylül ayı belirtilmişti. Daha sonra süre Aralık 2019 tarihine ertelendi. Bunu takiben Kurul’un yapmış olduğu bir açıklama ile VERBİS kayıt sürecinin şirketler tarafından doğru anlaşılamaması sebebi ile sürenin 2020’nin 6. ayına ertelendiği duyuruldu. Sonrasında ise pandemi nedeniyle Eylül ayı sonuna ertelendi. Bu ayın sonuna kadar kişisel verileri depolayan ve işleyen tüm kuruluşlar sicil kaydını yapıp envanter girişini tamamlamak zorunda. Fakat ertelemenin kaynağındaki sorun da tam olarak bu. Yani şirketler buna bir türlü hazır olamadı. Kurul tarafından yapılan incelemelerde şirketlerin sisteme henüz hazır olmadığı ve usulüne uygun envanter giremediği belirtilmişti. Bu nedenle Kurul da artık VERBİS’in anlaşılmasını ve gerekli şekillerde envanter girişi yapılmasını bekliyor” ifadelerini kullandı.

VERBİS’TE SİCİL KAYDI NASIL YAPILIR?

Yurt içi ve yurt dışında yerleşik veri sorumluları için son kayıt tarihi 30 Eylül olan VERBİS sistemine kayıt olmak için öncelikle Kişisel Verileri Koruma Kurulu’nun internet sitesine girmeniz gerekiyor. Ardından ana sayfada bulunan VERBİS başlığına tıklamanız ve çıkan formda ilgili alanları doldurarak kaydınız tamamlamanız gerekiyor. Kaydolan şirketin belirlediği irtibat kişisine sistem tarafından gönderilen kullanıcı adı ve şifresiyle sisteme giriş yapılabilecek. Sisteme girilen veriler istenildiği zaman düzeltilebilecek.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik

Çocuk Kodu: Britanya’da çocukların veri güvenliğini sağlamak için 1 yıllık geçiş süreci başladı

10 Eylül 2020 A. Baransel Ağca Yorum yapın

Birleşik Krallık, 2 Eylül tarihinde çocukların verilerini korumak amacıyla yapılan Yaşa Uygun Tasarım Kodu için bir yıllık geçiş sürecini başlattı. Yaşa Uygun Tasarım Kodu veya Çocuk Kodu olarak adlandırılan düzenleme, 18 yaşına kadar olan çocuklar tarafından erişilebilecek çevrim içi hizmet ve uygulama üreten tüm kuruluşları kapsayacak. Britanya’da veri koruma yasası ve bilgi hakları yasası açısından bağımsız düzenleyici konumundaki Bilgi Komisyonu Ofisi (ICO) tarafından duyurulan Kod, irili ufaklı tüm şirketlerin, bu sürece hazır olması için bir yıllık süre içinde teknik ve yatırım desteği de sağlayacak.

“EMNİYET KEMERİ TAKMAK KADAR NORMAL OLACAK”

Düzenlemenin yürürlüğe girdiği 2 Eylül’de ICO adına açıklama yapan Elizabeth Denham, “Şu andan itibaren, çocukları çevrimiçi ortamda korumaya yönelik belirli bir düzenlemenin olmadığı durumlar hepimiz için şaşırtıcı olacak. Bu konudaki güvenlik alışkanlıklarımız emniyet kemeri takmak kadar normal olacak” dedi.

ŞİRKETLERE BİR YIL SÜRE VERİLDİ

2 Eylül’den itibaren çocuklara hizmet veren tüm şirketlerin 1 yıl süresinin olduğunu söyleyen Denham, “Şirketlerin, özellikle de küçük işletmelerin, kurallara uymak için desteğe ihtiyaç duyabileceğini biliyoruz ve bu nedenle işletmelere hazırlanmaları için bir yıl süre verme kararı aldık” şeklinde konuştu. Denham bu kodun bir tür ebeveyn kontrolü olmadığının altını çizerek, “Bu kod, çocukların yetişkinlere benzemediğini ve verilerinin daha fazla korunmaya ihtiyaç duyduğunu anlamamız sonucunda ortaya çıktı. Çocukların interneti kullanmalarını, dünyayı öğrenmelerini, oynamalarını ve deneyimlemelerini istiyoruz. Ama güvende olmalarını daha çok istiyoruz” ifadelerini kullandı.

BİLGİLENDİRME METİNLERİ ÇOCUKLARA UYGUN HALE GETİRİLECEK

Yaşa Uygun Tasarım Kodu ile yapılmak istenen şey, çocukların kullandığı tüm uygulamaların sağlayıcılarını veri güvenliğinin temel parçalarından biri haline getirmek. Çocukların verilerini korumayı klasik ebeveyn kontrolüne bırakmak istemeyen yetkililer, çocuklara yönelik hizmet ve uygulama üreten tüm şirketleri bu kod sayesinde siber güvenliğin kilit bir halkası haline getirmeyi hedefliyor.

Yaşa Uygun Tasarım Kodu’nu ve çocuklar için veri güvenliğinin önemini Siber Bülten’e değerlendiren Kavlak Avukatlık Bürosu’ndan Av. Deniz Mina Küpana, yapılan düzenlemenin tüm dünyada veri güvenliğin geleceğine önemli etkisi olacağını söyledi. Kodun Avrupa’da bir ilk olduğunu belirten Küpana, “Burada önemli olan şey sadece çocuklar için ürün/hizmet üreten şirketleri değil, aynı zamanda çocukların erişme ihtimali olan içerik ve hizmetleri üreten platformların da düzenleme kapsamına girmesi. Britanya’da yaşayan çocuklara yönelik ülke içinde veya Avrupa’dan hizmet üreten tüm şirketler buna tâbi olacak. Düzenleme, her şeyden önce çevrimiçi platformlara, çocuklara yönelik şeffaflık ve anlaşılabilirlik şartı koyuyor. Yani sizin bir yetişkine yönelik hazırladığınız bilgilendirme metnini bir çocuğun anlaması mümkün olmayabilir. Bu nedenle çocuğa uygun şekilde bir bilgilendirme metni hazırlanması ve çocuktan ne istendiğinin açık bir şekilde anlatılması gerekiyor” dedi.

ÇOCUĞUN MENFAATİ ÖN PLANDA

Kodun temel prensibinin çocuğun verilerini korumak olduğunu vurgulayan Küpana, “Kod, düzenlemede veriyi korurken aynı zamanda çocuğun bilgiyi almasını da sağlamayı ön planda tutuyor. Bu anlamda denge tutturulduğunu söylemek mümkün. Alınan veri, çocuğun menfaatini ihlal ediyorsa kod, şirkete ‘bu veriyi alma’ diyor.

ŞEFFAFLIK VE VERİ MİNİMİZASYONU

Çocuk Kodu’nun her yaş grubuna göre farklı yaklaşımları zorunlu kıldığını belirten Küpana, “Düzenleme sadece siteleri ve hizmetleri değil, çocukların çok fazla zaman geçirdikleri oyunları da kapsıyor. Oyunu yüklemek ve oynamak için sorulan sorular, çocuktan paylaşması istenen veriler, açıklıkla çocuğa anlatılmalı. Kod ile bu zorunlu tutuluyor. Tabi bu anlatım, her yaş grubu için farklılık gösteriyor. 0-5, 10-12 yaş gibi farklı yaş gruplarına anlayacakları şekilde, onlardan hangi veriyi neden istediğini anlatma zorunluluğu getiriliyor. Daha önemlisi ise veri minimizasyonunun sağlanması. Kod, çocuktan alınan veriyi hizmetin unsurlarını sağlamak için ihtiyaç duyulan miktar ile sınırlandırmayı hedefliyor” dedi.

VERİ KULLANIMI YASAKLANMIYOR

Veri koruma mevzuatları hakkında çok fazla yanlış bilginin yaygınlaştığını söyleyen Küpana, “Hiçbir veri koruma mevzuatı, şirketlerin veri kullanımını ve hareket alanlarını yasaklama üzerine kurulmaz. Özellikle de bu düzenleme ile hedeflenen şey çocukları hedef alan stratejileri ve hizmetleri engellemek değil, çocukların bu hizmetleri alırken karşılaşabilecekleri olumsuzlukları ortadan kaldırmak. Yani çocuğun oyun oynamasını engellemek bir veri koruma politikası haline gelemez. Bunu sağlamak zaten günümüz şartlarında imkânsız. Ama çocuk oyun oynarken onun konum bilgilerinin paylaşılması vb. engellenebilir. Artık çocukların çevrim içi dijital dünyada var olduğunu kabul ediyoruz. ‘Peki çocukları bu dünyada ne kadar koruyabiliriz?’ sorusundan hareketle ortaya çıkan bir düzenleme ve bu anlamda önemli” şeklinde konuştu.

ÇOCUĞU KORUMAK ONU KISITLAR MI?

ICO’nun Çocuk Kodu’nu oluştururken Birleşmiş Milletler Çocuk Hakları Sözleşmesi’ni referans aldığını hatırlatan Küpana, “Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin öncelikli hedeflerinden birisi çocuğun bilgiye ulaşmasını sağlamak. ICO da çocuğu korurken bu hakkı ihlal etmemeyi gözetiyor. Çocuklar, dijital dünya ile zaten iç içe. Buradaki sorun veri güvenliğini, hizmet sağlayıcının insafına bırakıp bırakmamak. ICO’nun bu kodla hedeflediği şey bu konuda bir standart yaratmak ve tüm hizmet sağlayıcıları, içerik üretirken veya hizmet sağlarken bu kurallar çerçevesinde hareket etmesini sağlamak” dedi.

YENİ DÜZENLEMELERİ TETİKLEYEBİLİR

Özellikle pandemi döneminde insanların ve özel olarak çocukların internette geçirdikleri sürenin uzamasının bu tarz düzenlemeleri hızlandıracağını söyleyen Küpana, “Çocuklar özelinde hazırlanmış veri koruma düzenlemeleri çok alışık olduğumuz bir durum değil. COPPA ile ABD’de geçerli çocuklara yönelik bir veri koruma düzenlemesi var. Avrupa’da ise GDPR’ın çocuklara ilişkin genel bir düzenlemesini görüyoruz. Bu nedenle Britanya’da başlatılan Yaşa Uygun Tasarım Kodu’nun önümüzdeki günlerde diğer Avrupa ülkeleri ve Türkiye için de bir örnek oluşturabileceğini söyleyebiliriz” diyerek sözlerini sonlandırdı.

KVKK

Üçüncü taraf kaynaklı veri sızıntıları büyük şirketleri zor durumda bırakıyor

24 Ağustos 2020 A. Baransel Ağca Yorum yapın

Dünyada ve Türkiye’de gittikçe artan üçüncü taraftan kaynaklı siber güvenlik olayları kurumlara ciddi maliyetlere sebep olmaya devam ediyor. Ponemon Enstitüsü’nün konuyla ilgili yaptığı araştırmaya göre, kurumların yüzde 53’ü bir veya birden çok kez üçüncü taraf kaynaklı veri sızıntısı yaşamış durumda. Üstelik bu sızıntıların maliyetinin 7.5 milyon doların üzerinde olduğu tahmin ediliyor.

Amazon, e-Bay, T-Mobile, British Airways, Ticketmaster ve General Electric gibi dünya devi şirketler dahi üçüncü taraf kaynaklı sızıntıları engellemekte tıpkı Türkiye’de bazı örneklerde olduğu gibi güçlük yaşıyor.

Üçüncü taraftan kaynaklanan veri ihlallerini önlemek için hangi adımların atılabileceğini, Kişisel Verileri Koruma Kanununun ilgili olaylarda kimi muhatap kabul ettiğini ve böyle bir olay yaşandığından izlenen hukuki süreci Kavlak Avukatlık Bürosu’ndan Mina Küpana ile konuştuk.

ŞİRKETLER ÜÇÜNCÜ TARAFI SÜREKLİ DENETLEMELİ

Dünyadaki tüm büyük şirketler, belirli hizmetleri kullanıcılarına sunmak, site güvenliğini sağlamak veya çeşitli hedeflerle kurdukları stratejiler doğrultusunda işbirlikleri geliştirmek amacıyla üçüncü taraflarla çalışıyor. Fakat son zamanlarda üçüncü taraflarla kurulan ilişki bu şirketlerin başını ağrıtmaya başladı. Dünyadaki ve ülkemizdeki veri ihlallerinin ciddi bir bölümü göz önünde bulundurulduğunda, sızıntılar genellikle üçüncü taraf kurumlar veya kişilerden kaynaklı oluyor.

Şirketlerin üçüncü taraflarla işbirliği yapmadan önce kılı kırk yaran bir süreçten geçirmesi gerektiğini söyleyen Küpana, “Bu durum artık alt işverenin denetimi düzeyinde yaygınlık kazanmalı ve üzerinde titizlikle durulmalı. Bir şirket, bu tip veri ihlallerini önlemek adına işin başında ve devamında sürekli ve düzenli bir denetim mekanizması kurmalı. Üçüncü tarafın çalışanlarının gerekli eğitimlerden geçip geçmediği, idari ve teknik tedbirlerin alınıp alınmadığı, kurumun güvenlik stratejisinin ne kadar etkili olup olmadığı, doğabilecek riskler ve bunların nasıl önlenebileceği üzerine hazırlıklı olunduğunu kontrol etmeli. Nasıl ki çalıştığımız şirkete, ‘Çalıştırdığın işçilerin sigortasını yapıyor musun?’ sorusunu sormak ne kadar elzemse, güvenlik konusundaki önlemleri alıp almadığını sormak da bir o kadar önemli” dedi.

SEKTÖRDE BAŞARI KADAR GÜVENLİK DE KISTAS OLMALI

Şirketlerin üçüncü taraf hizmet sağlayıcılarla iş yaparken kârlılık hesabı yaparak güvenlik konusunu geri planda bıraktığını vurgulayan Küpana, “Çalışılması düşünülen üçüncü taraf hizmet sağlayıcının sektörde ne düzeyde iyi olduğu doğal olarak belirleyici oluyor. Fakat bu şirketin güvenlik konusunda ne düzeyde hassas olduğu, gerekli önlemleri alıp almadığı çok araştırılmıyor. En baştan bir eleme sürecine tabi tutulmalılar. Sektöründe iyi olabilir. Ama daha önce yapılan işlerde bir güvenlik açığı yaşanmış mı? Şirket güvenlik açıklarını engellemek adına ne gibi bir sisteme sahip? Bu sorular işin başında sorulduğunda ve gerekli denetimlerden ve eleme süreçlerinden geçirildiğinde yapılan işbirliği iki taraf için de sağlıklı olur. Öteki türlü, anlaşmayı imzaladıktan sonra yaşanan bir güvenlik açığı ile görülecek zarar düşünüldüğünde üçüncü taraf ile imzaladığınız sözleşmenin çok da bir getirisi olmuyor. Hukuki sürecin uzun dehlizlerinde kaybolup gidiyorsunuz. Kaldı ki bu ihlalleri önlemek adına yapılacak her titiz çalışma sadece maddi olarak şirketinizi kurtarmıyor. Siber güvenliğin itibar açısından ne kadar önemli olduğu su götürmez bir gerçek. Fakat güvenlik ihlâllleri ve veri sızıntılarının maddi boyutu da oldukça önemli. Gerçekleşen veri ihlalleri her yıl şirketlere büyük kayıplara mal oluyor.” ifadelerini kullandı.

TÜRKİYE’DEKİ ŞİRKETLERE MALİYETİ 12 MİLYONUN ÜZERİNDE

IBM Güvenlik İş Birimi ve Ponemon Institute tarafından geçtiğimiz yıl veri ihlali yaşamış kuruluşlarda çalışan 3200’den fazla güvenlik uzmanıyla yapılan kapsamlı mülakatlara dayanan 2020 Veri İhlali Maliyeti Raporuna göre, Türkiye’de yaşanan her bir veri ihlalinin maliyeti 12,7 milyon TL’ye mal oluyor. Türkiye’deki veri ihlalleri bir önceki yıla göre yüzde 10,3 düzeyinde artış göstererek bu seviyeye geldi. Rapora göre Türkiye’de meydana gelen veri ihlallerinin yüzde 50’sinin temel nedeninin kötü amaçlı saldırılar olduğu ortaya çıktı. Kötücül saldırıların insan hatası ve sistemsel hatalardan kaynaklandığı belirtilen raporda, firmalar için ortalama toplam maliyeti 12,98 milyon TL olan kötücül saldırılardan kaynaklanan veri ihlallerinin yalnızca en yaygın değil, aynı zamanda da en maliyetli sorun olduğu söylendi.

ASIL SORUMLU HER ZAMAN VERİ SORUMLUSU ŞİRKET

Yaşanan veri ihlallerinde Kanunun üçüncü tarafı değil veri sorumlusu firmayı işaret ettiğini belirten Küpana, “Veri sorumlusu şirket istediği kadar üzerine düşeni yapsın, ihlal üçüncü taraftan da kaynaklansa kanun asli sorumlu olarak veri sorumlusu firmayı muhatap alıyor. Sorumluluk çalışılan üçüncü şirkette değil veri kayıt sisteminin kurulduğu ana şirkette. Veri sorumlusu şirket ancak ilerleyen süreçte üçüncü tarafın hata ve eksiklerinden ötürü yasal yollara başvurabiliyor.” dedi.

SÜREÇ NASIL İŞLİYOR?

Kişisel Verileri Koruma Kurumu tarafından yürütülecek soruşturmaya ve verilebilecek cezaya dair de konuşan Küpana, “Sızıntının büyüklüğüne, görülen zararın derecesine göre soruşturmanın boyutu ve verilecek cezanın miktarı değişiyor.

Avrupa ve dünyada pek çok veri koruma otoritesi para cezalarına ilişkin politikalar belirlerken ülkemizde henüz böyle bir standart mevcut değil. KVKK uyarınca yaşanan veri ihlallerini öğrendiğimiz andan itibaren belirli sürelerde Kişisel Verileri Koruma Kurumuna bildirmek durumundayız, Kurum da kamuoyunun menfaati olan hallerde bu ihlalleri kamu ile paylaşıyor.

Bir veri sızıntısı yaşandığında sonraki süreçte yapılacak denetimin sonuçlarına göre verilecek ceza belli olacaktır. Süreçlerde hukuki metinler hazırlanmış mı? Teknik önlemler alınmış mı? Periyodik olarak eğitimler yapılmış mı? Güvenlik açısından gerekli önlemler alınmış mı? Bunlar üzerinden veri sorumlusunun yapması gerekenleri yapıp yapmadığı saptanacak” ifadelerini kullandı.