Kategori arşivi: KVKK

KVKK

Kurumsal e-postalardaki yazışmalar işten çıkarılmak için delil olabilir mi? 

1 Yorum

Geçtiğimiz günlerde Anayasa Mahkemesi (AYM), dijital mahremiyet ile ilgili kritik bir karar verdi. Olayda, bir avukatlık ortaklığında çalışanlar arasındaki uyuşmazlığın çözülmesi için başlatılan iç soruşturmada çalışanının kurumsal e-postalarına erişim sağlandı. İçeriği inceleyen şirket, yazışmaları gerekçe göstererek çalışanının iş akdini feshetti.

İşten çıkartılan kişi özel hayatın korunması hakkı kapsamında kişisel verilerinin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği gerekçesiyle konuyu iç hukuk yollarını tükettikten sonra AYM’ye taşıdı. AYM, 14 Ekim’de Resmi Gazete’de yayınlanan kararında başvurucuyu haklı buldu. Mahkeme başvurucunun Anayasanın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkı ve Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine hükmetti. 

YÖNETİM HAKKINDA BİLGİLENDİRME VE ŞEFFAFLIK KRİTİK

AYM’nin veri gizliliğini ve özel hayatın mahremiyetini önceleyen kararının ardından kurumların çalışanlarına sağladığı kurumsal e-posta, araç ve telefon gibi imkanların nasıl kullanıldığının kurum tarafından sorgulanmasında bireysel mahremiyetin sınırlarının nasıl belirleneceğine dair bir tartışma başladı. 

Kararı Siber Bülten için yorumlayan Kavlak Avukatlık Bürosundan Avukat Deniz Mina Küpana, iş hukuku düzenlemelerinin işverene bir yönetim hakkı verdiğini ve çalışana sağlanan imkanları denetleme hakkı bulunduğunu belirttikten sonra uyarıyor: “Tabi ki bunlar mahremiyet gözetilerek yapılmalı.” 

Kurumların çalışanlarına sunduğu iletişim araçlarının yönetim hakkı çerçevesinde denetlenirken iki önemli noktaya dikkat edilmesi gerektiğini belirten Küpana, şeffaflık ve ölçülülüğün altını çiziyor: 

“Kurumların farkında olması gereken bir gerçek var. İş ilişkisi müdahaleyi gerektiriyorsa minimumda ilerlenmeli. Eğer çalışanın özel hayatına daha az müdahale etme imkanı var ise bu yöntemler tercih edilmeli.  En önemlisi müdahaleyi gerçekleştirirken şeffaf olmak gerekiyor. Kişiye öncesinde haber verilmesi ve Kanun’a uygun bilgilendirmenin yapılması çok önemli.”

BİLGİLENDİRMENİN ÖNEMİ: BARBULESCU KARARI

AYM’nin verdiği karara benzer şekilde Avrupa’da da özel hayatın gizliliği ve yönetim hakkı arasında bir denge kurulduğu durumlar mevcut. Bunlardan en bilineni Romanya vatandaşı Bogdan Mihai Barbulescu ile ilgili olan ve Barbulescu kararı olarak da anılan AİHM kararı. 

Karara konu olayda, işyerinde mühendis olarak çalışan Barbulescu’nun işveren tarafından açılan e-posta hesabının  başvurucuya bilgi verilmeksizin denetlenmesi söz konusudur. Bu denetlemeye istinaden iş sözleşmesi feshedilen başvurucu iç hukuk yollarından sonra AİHM’e başvurmuş ve Mahkeme de AİHS 8.maddenin ihlal edildiğine karar vererek önemli bir hususun altını çizmiştir. Buna göre AİHM, yaşadığımız iletişim çağında işverenin yönetim hakkı ile işçinin mahremiyetinin dengesinin iyi kurulmasının önemine dikkat çekerek işçiye yapılacak açık ve anlaşılır bilgilendirmenin önemini vurgulamıştır. 

MAHREMİYET VE YÖNETİM HAKKI DENGESİ

Kurumların çalışanlarına verdiği olanaklar arasında kurumsal e-posta dışında cep telefonu, cep telefonu hattı ve araç da bulunuyor. Küpana, işverenlerin yönetim hakkı kapsamında çalışana sağladıkları bu imkanları denetleme hakkı olduğunu fakat bu noktada makul müdahaleler ile  tüm bu süreçlerin açık ve anlaşılır şirket politikaları ile çalışana sunulması gerektiğini belirtiyor. 

“Konuya iki taraf açısından da bakmak gerekir. Şöyle ki çalışan kendisine işin yapılması maksadı ile sunulan bu ekipmanları iş ile bağlantılı olarak kullanmalı işveren de çalışana tahsis edilen ekipmanlar ile ilgili gözetim hakkını kullanırken makul ve ölçülü hareket etmelidir. Burada en önemli nokta ise iki taraf da uyması gereken usulleri veya yapılabilecek olası müdahaleleri şeffaf bir şekilde karşı tarafa sunmalı ve bunu şirket iç metinleri de destekliyor olmalıdır. ” 

AVRUPA’DAKİ DÜZENLEMELER İLE PARALELLİK BULUNUYOR

AYM’nin kararında uluslararası mahkemeler ve sözleşmelere atıf yapması Türkiye’de kişisel verilerin korunması ve özel hayatın dijital ortamda da gizliliğine saygı duyulması açısından Avrupa’daki düzenlemeler ile paralellik içerisinde olduğunu gösteriyor. 

İnsan Hakları Evrensel Beyannamesi başta olmak üzere Avrupa Birliği Veri Koruma Tüzüğü, Avrupa İnsan Hakları Sözleşmesi, Avrupa Konseyi Siber Suç Sözleşmesinin ilgili maddeleri AYM’nin kararına dayanak olarak gösterilen uluslararası hukuk düzenlemeleri olarak göze çarpıyor. Mahkeme kararında AİHM’nin özel hayat kavramının geniş bir şekilde tanımlanmasına dikkat çekti.

Kişisel verilerin korunması ile ilgili çalışmalarıyla bilinen Av. Mina Küpana, Avrupa İnsan Hakları Sözleşmesinin özel hayatla ilgili düzenlemelerin bulunduğu 8. Maddesine AYM kararında özellikle belirtildiğini hatırlattı. Küpana “8. Maddeye göre çalışanın iş hayatında geçirdiği süre özel hayatını kapsayan bir süreçtir. Bu saatler esnasında da kişinin mahremiyetine saygı duyulmalı. Yönetim hakkından doğan müdahaleler en minimal şekilde yapılmalı. Ancak zorunluysa bir sonraki aşamaya geçilmeli.” ifadelerini kullandı. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

  

KVKK

‘Sosyal Medya Yasası’ yürürlüğe girdi, hayatımızda neler değişecek?  

Yorum yapın

Kamuoyunda ‘Sosyal Medya Yasası’ olarak bilinen ve sosyal medya şirketleri başta olmak üzere teknoloji şirketlerine bir dizi yaptırım ve düzenleme getiren yasanın birçok maddesi bugün itibariyle yürürlüğe giriyor. Temmuz ayında TBMM Genel Kurulunda kabul edilen düzenleme günlük erişimi 1 milyondan fazla olan Facebook, Twitter, Instagram, YouTube, Tiktok gibi yurt dışı kaynaklı sosyal ağ sağlayıcılar ile kullanıcılar arasındaki ilişkiyi düzenlemeyi amaçlıyor.  

Bir yandan ifade hürriyetinin kısıtlanması ve sosyal medyaya sansür uygulanması amacıyla kullanılabileceği için eleştirilen yasal düzenleme diğer taraftan internet kullanıcılarının kişisel başvurularında veya kamu kurumlarının bildirimlerinde yaşanan zorlukların aşılması için sosyal ağ sağlayıcılarla muhataplık ilişkisi kurulmasını sağlayacak. 

SOSYAL AĞ SAĞLAYICI NEDİR? WHATSAPP YASA KAPSAMINDA MI? 

Yeni yasanın getirdiği yeniliklerin başında ‘sosyal ağ sağlayıcı’ kavramı bulunuyor.  5651 sayılı ‘İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’ ile hayatımıza giren ‘yer sağlayıcı’ ‘içerik sağlayıcı’ ve ‘erişim sağlayıcı’ gibi kavramlara ek olarak yasada tanımlanan ‘sosyal ağ sağlayıcı’ sosyal etkileşim amacıyla kullanıcıların internet ortamında metin, görüntü, ses, konum gibi verileri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkân sağlayan gerçek veya tüzel kişileri ifade ediyor. 

Yasa teklifinin kamuoyuna sunulmasının ardından tartışılan konulardan bir tanesi, sosyal ağ sağlayıcı kavramının içine Whatsapp gibi mesajlaşma uygulamalarının girip girmeyeceği idi. Konuyu yorumlayan hukukçular WhatsApp’ın bir sosyal mecra değil kişiler arasındaki iletişimi sağlamaya yarayan bir teknoloji olduğundan yasanın kapsamının dışında olduğu görüşünde birleşiyor.  

 TEMSİLCİLİK İLE MUHATAPLIK İLİŞKİSİ KURULACAK 

Yasanın internet kullanıcılarına ne gibi değişiklikler getireceği ile ilgili değerlendirmelerini Siber Bülten ile paylaşan Kavlak Avukatlık Bürosundan Av.Deniz Mina Küpana, yasa ile sosyal medyada kişilik haklarını zedeleyen içeriklerin kaldırılmasının hızlanacağını ve sosyal ağ sağlayıcılar ile hem devlet hem de kullanıcılar arasında bir muhataplık ilişkisi kurulacağını ifade etti.  

“Yasa ile gelen önemli değişikliklerden bir tanesi, günlük erişimi 1 milyondan fazla olan yurt dışı kaynaklı sosyal ağ sağlayıcılarının Türkiye’de en az bir kişiyi temsilci olarak belirlemesinin zorunlu hale gelmesi. Bilgi Teknolojileri Kurumu (BTK) ve adli ve idari makamlar nezdinde bu kişi temsilci olacak. Temsilcilik ile sosyal ağ sağlayıcıların Türkiye’deki mevzuatlara uyumu sağlanacak. Türkiye’deki kanunlara riayet ederek faaliyetlerine devam edecekler.” 

VERİ LOKALİZASYONU GENEL BİR STRATEJİNİN SONUCU 

Yasa ile şirketlere gelen yükümlülüklerden başka bir tanesi de Türkiye’deki kullanıcılardan elde edilen verilerin Türkiye’de tutulması gerekliliği. Yeni yasada sosyal ağ sağlayıcılarının Türkiye’deki kullanıcı verilerini Türkiye’de bulundurmak için “gerekli tedbirleri alacağı” hükmediliyor.  

Deniz Mina Küpana, yasadaki bu hükmü Ankara’nın ‘Türkiye’nin verisi Türkiye’de kalacak’ stratejisi çerçevesinde atılmış bir adım olarak değerlendiriyor. Geçtiğimiz senelerde Kişisel Verileri Koruma Kurumu’nun kurumsal e-posta hizmetinin yabancı bir ülkede bulunan bir sunucu üzerinden verilmesini ‘verilerin yurtdışına aktarılması’ olarak gören kararını hatırlatan Küpana, 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesinin de bu kararla aynı çerçevede olduğunu belirtti.  

Cumhurbaşkanlığı genelgesinde güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin, yurt içinde güvenli bir şekilde depolanması şartı getirilmişti. 

UNUTULMA HAKKI TALEBİ ARTIK YASAL 

Kamuoyu tarafından her ne kadar ‘Sosyal Medya Yasası’ olarak anılsa da yeni yasanın arama motorlarını ilgilendiren tarafları da bulunuyor. Bunların başında unutulma hakkı geliyor.  

Unutulma hakkı kişi ve kurumların internette kendi adlarıyla arama yapıldığında derlenen sonuçlar arasında kendileriyle ilgili bilgi, fotoğraf, belge gibi verilere yer verilmemesini isteme hakkı olarak biliniyor.  

Avrupa Birliği (AB) Adalet Divanı’nın verdiği ve ‘Gonzalez kararı’ olarak bilinen karara göre özel hayatın gizliliğini korumak amacıyla Google arama motorunun kişisel arama sonuçlarını silmesi gerekiyor. Dava, evinin açık artırmaya çıkarıldığına dair bir ilanın Google arama sonuçlarında çıkmasıyla gizliliğin ihlal edildiğini savunan İspanyol kullanıcı Mario Costeja Gonzalez tarafından açılmıştı. Google uzun bir hukuki sürecin sonunda kararı kabul etmiş ve unutulma hakkını AB ülkelerinde tanımıştı.  

Deniz Mina Küpana, yasadaki değişiklikle birlikte unutulma hakkının sulh ceza hakimliği nezdinde talep edilebilecek bir hak haline geleceğini belirtti.  5651 no’lu yasanın mevcut halinde içeriklerin erişime engellenmesi hakkının bulunduğunu belirten Küpana, değişiklik ile birlikte erişim engellenmesinin uygulamada yarattığı sorunların da önüne geçilebileceğini ekledi. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

  

KVKK

Son kayıt tarihi yaklaşan VERBİS neyi değiştirecek?

Yorum yapın

Türkiye’de kişisel verileri işleyen tüm şirketleri ilgilendiren VERBİS nedir? VERBİS’e nasıl kayıt yapılır? Son kayıt tarihi ne zaman? VERBİS’e kayıt tarihleri neden sürekli erteleniyor? 

Kişisel Verileri Koruma Kurulu (Kurul) tarafından 2018 yılından bu yana zorunlu hale getirilen VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce kaydolmaları gereken bir sicil kayıt sistemi olarak tanımlanabilir. Türkiye’de veri güvenliği açısından önemli bir eşik olarak görülen VERBİS sayesinde, kişisel veri toplayan ve işleyen tüm şirketler, bundan böyle verileri işlemeden önce herkesin erişimine açık bir sisteme yani VERBİS’e envanter girişi yapmak zorunda.  

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketler, 30 Eylül 2020 tarihine kadar VERBİS’e kayıt yaptırmak zorundalar. VERBİS’in veri güvenliği açısından sağlayacağı faydaları ve veri işleyen şirketlerin sorumluluklarını Kavlak Avukatlık  Bürosu’ndan Av. Deniz Mina Küpana ile konuştuk. 

“HERKESİN ERİŞİMİNE VE KAMUOYU DENETİMİNE AÇIK” 

VERBİS’in tüm yurttaşların erişimine açık olduğunu söyleyen Küpana, “Gündelik yaşamda karşımıza çıkan pek çok şirket, dijital alanda kişisel verileri kullanarak işlem yapıyor. VERBİS, bu verilerin ne amaçla kullanıldığını ne düzeyde kullanıldığını ve ne tür bir kategorizasyon ile depolandığını alenen denetlememizi sağlıyor. Yani bugün herhangi bir yurttaş VERBİS’in sistemine girerek alışveriş yaptığı bir şirketin, ne tür kişisel bilgileri kayıt altına aldığını görebilir” dedi.  

KÜÇÜK ŞİRKETLERİ DE KAPSIYOR 

Sistemin sadece büyük şirketleri kapsamadığını belirten Küpana, “Bazı şirketler, çalışan kişi sayısı ve yıllık cirosu bakımından küçük olsa da faaliyet gösterdiği alan dolayısıyla kişisel verileri kullanıyor. Örneğin sağlık sektöründe faaliyet gösteren küçük çaplı şirketler, pek çok kişinin sağlık bilgilerini, özel bir takım kişisel bilgilerini depoluyor. KVKK, bu tarz şirketlerin de büyüklüklerine bakmadan kişisel verileri depoladıkları için sisteme kayıt olmaları zorunlu tutuyor” şeklinde konuştu. 

YURTTAŞLAR AÇISINDAN ÖNEMİ 

Sistemin yurttaşlar açısından en önemli avantajının aleniyet olduğunu söyleyen Küpana, “Geçmişte kendi kişisel verilerimizin şirketler tarafından ne düzeyde depolandığını ve kullanıldığını bilmiyorduk. Örneğin siz bir uçak bileti alırken, şirkete verdiğiniz kişisel verilerin kaç yıl depolandığını, siz verdikten sonra aracı firmalara verilip verilmediğini ve bu bilgilerin ne amaçla kullanıldığını bilemezdiniz. Bu sistemle birlikte şirketlerin kişisel verileri ne sürede ve ne için depoladığını görebiliyorsunuz. Bunu görebildiğiniz için de bir başvuru hakkınız doğabiliyor. Geçmişte bu veri elimde olmadığı için böyle bir başvuru hakkım da yoktu” ifadelerini kullandı. 

ŞİRKETLER AÇISINDAN ÖNEMİ 

VERBİS’in şirketler açısından da önemli değişikliklere yol açacağını belirten Küpana, “VERBİS, şirketlerin sahip oldukları bilgileri düzenleme, kontrol etme ve hangi bilginin neden o şirkette yer aldığını bir kurala bağlaması açısından önemli. Bu yolla bir şirket, aslında kendisine bir nevi ‘anayasa’ oluşturmuş oluyor. Yani ‘Ben şu bilgileri şu kadar yıl şu amaçlarla tutarım’ diyebileceği bir kurallar bütününe sahip oluyor. Şu an şirketlerin büyük bölümünde pek çok bilginin ne işe yaradığı, neden orada olduğu ve ne kadar daha orada kalacağına dair bir sistem oturmuş değil. VERBİS sayesinde bu anlamda bir sadeleşme ve kurala bağlanma söz konusu” dedi. 

VERBİS’TE SON KAYIT TARİHİ NEDEN SÜREKLİ ERTELENİYOR? 

Şirketlere son kayıt için verilen sürenin tam üç kez ertelendiğini hatırlatan Küpana, “VERBİS’e kayıt için belirlenen ilk son tarih olarak 2019’un Eylül ayı belirtilmişti. Daha sonra süre Aralık 2019 tarihine ertelendi. Bunu takiben Kurul’un yapmış olduğu bir açıklama ile VERBİS kayıt sürecinin şirketler tarafından doğru anlaşılamaması sebebi ile sürenin 2020’nin 6. ayına ertelendiği duyuruldu. Sonrasında ise pandemi nedeniyle Eylül ayı sonuna ertelendi. Bu ayın sonuna kadar kişisel verileri depolayan ve işleyen tüm kuruluşlar sicil kaydını yapıp envanter girişini tamamlamak zorunda. Fakat ertelemenin kaynağındaki sorun da tam olarak bu. Yani şirketler buna bir türlü hazır olamadı. Kurul tarafından yapılan incelemelerde şirketlerin sisteme henüz hazır olmadığı ve usulüne uygun envanter giremediği belirtilmişti. Bu nedenle Kurul da artık VERBİS’in anlaşılmasını ve gerekli şekillerde envanter girişi yapılmasını bekliyor” ifadelerini kullandı.  

VERBİS’TE SİCİL KAYDI NASIL YAPILIR? 

Yurt içi ve yurt dışında yerleşik veri sorumluları için son kayıt tarihi 30 Eylül olan VERBİS sistemine kayıt olmak için öncelikle Kişisel Verileri Koruma Kurulu’nun internet sitesine girmeniz gerekiyor. Ardından ana sayfada bulunan VERBİS başlığına tıklamanız ve çıkan formda ilgili alanları doldurarak kaydınız tamamlamanız gerekiyor. Kaydolan şirketin belirlediği irtibat kişisine sistem tarafından gönderilen kullanıcı adı ve şifresiyle sisteme giriş yapılabilecek. Sisteme girilen veriler istenildiği zaman düzeltilebilecek. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

  

KVKK

Üçüncü taraf kaynaklı veri sızıntıları büyük şirketleri zor durumda bırakıyor

Yorum yapın
Deniz Mina Küpana

Dünyada ve Türkiye’de gittikçe artan üçüncü taraftan kaynaklı siber güvenlik olayları kurumlara ciddi maliyetlere sebep olmaya devam ediyor. Ponemon Enstitüsü’nün konuyla ilgili yaptığı araştırmaya göre, kurumların yüzde 53’ü bir veya birden çok kez üçüncü taraf kaynaklı veri sızıntısı yaşamış durumda. Üstelik bu sızıntıların maliyetinin 7.5 milyon doların üzerinde olduğu tahmin ediliyor.

Amazon, e-Bay, T-Mobile, British Airways, Ticketmaster ve  General Electric gibi dünya devi şirketler dahi üçüncü taraf kaynaklı sızıntıları engellemekte tıpkı Türkiye’de bazı örneklerde olduğu gibi güçlük yaşıyor.

Üçüncü taraftan kaynaklanan veri ihlallerini önlemek için hangi adımların atılabileceğini, Kişisel Verileri Koruma Kanununun ilgili olaylarda kimi muhatap kabul ettiğini ve böyle bir olay yaşandığından izlenen hukuki süreci Kavlak Avukatlık Bürosu’ndan Mina Küpana ile konuştuk.

ŞİRKETLER ÜÇÜNCÜ TARAFI SÜREKLİ DENETLEMELİ

Dünyadaki tüm büyük şirketler, belirli hizmetleri kullanıcılarına sunmak, site güvenliğini sağlamak veya çeşitli hedeflerle kurdukları stratejiler doğrultusunda işbirlikleri geliştirmek amacıyla üçüncü taraflarla çalışıyor. Fakat son zamanlarda üçüncü taraflarla kurulan ilişki bu şirketlerin başını ağrıtmaya başladı. Dünyadaki ve ülkemizdeki veri ihlallerinin ciddi bir bölümü göz önünde bulundurulduğunda, sızıntılar genellikle üçüncü taraf kurumlar veya kişilerden kaynaklı oluyor.

Şirketlerin üçüncü taraflarla işbirliği yapmadan önce kılı kırk yaran bir süreçten geçirmesi gerektiğini söyleyen Küpana, “Bu durum artık alt işverenin denetimi düzeyinde yaygınlık kazanmalı ve üzerinde titizlikle durulmalı. Bir şirket, bu tip veri ihlallerini önlemek adına işin başında ve devamında sürekli ve düzenli bir denetim mekanizması kurmalı. Üçüncü tarafın çalışanlarının gerekli eğitimlerden geçip geçmediği, idari ve teknik tedbirlerin alınıp alınmadığı, kurumun güvenlik stratejisinin ne kadar etkili olup olmadığı, doğabilecek riskler ve bunların nasıl önlenebileceği üzerine hazırlıklı olunduğunu kontrol etmeli. Nasıl ki çalıştığımız şirkete, ‘Çalıştırdığın işçilerin sigortasını yapıyor musun?’ sorusunu sormak ne kadar elzemse, güvenlik konusundaki önlemleri alıp almadığını sormak da bir o kadar önemli” dedi.

SEKTÖRDE BAŞARI KADAR GÜVENLİK DE KISTAS OLMALI

Şirketlerin üçüncü taraf hizmet sağlayıcılarla iş yaparken kârlılık hesabı yaparak güvenlik konusunu geri planda bıraktığını vurgulayan Küpana, “Çalışılması düşünülen üçüncü taraf hizmet sağlayıcının sektörde ne düzeyde iyi olduğu doğal olarak belirleyici oluyor. Fakat bu şirketin güvenlik konusunda ne düzeyde hassas olduğu, gerekli önlemleri alıp almadığı çok araştırılmıyor. En baştan bir eleme sürecine tabi tutulmalılar. Sektöründe iyi olabilir. Ama daha önce yapılan işlerde bir güvenlik açığı yaşanmış mı? Şirket güvenlik açıklarını engellemek adına ne gibi bir sisteme sahip? Bu sorular işin başında sorulduğunda ve gerekli denetimlerden ve eleme süreçlerinden geçirildiğinde yapılan işbirliği iki taraf için de sağlıklı olur. Öteki türlü, anlaşmayı imzaladıktan sonra yaşanan bir güvenlik açığı ile görülecek zarar düşünüldüğünde üçüncü taraf ile imzaladığınız sözleşmenin çok da bir getirisi olmuyor. Hukuki sürecin uzun dehlizlerinde kaybolup gidiyorsunuz. Kaldı ki bu ihlalleri önlemek adına yapılacak her titiz çalışma sadece maddi olarak şirketinizi kurtarmıyor. Siber güvenliğin itibar açısından ne kadar önemli olduğu su götürmez bir gerçek. Fakat güvenlik ihlâllleri ve veri sızıntılarının maddi boyutu da oldukça önemli. Gerçekleşen veri ihlalleri her yıl şirketlere büyük kayıplara mal oluyor.” ifadelerini kullandı.

TÜRKİYE’DEKİ ŞİRKETLERE MALİYETİ 12 MİLYONUN ÜZERİNDE

IBM Güvenlik İş Birimi ve Ponemon Institute tarafından geçtiğimiz yıl veri ihlali yaşamış kuruluşlarda çalışan 3200’den fazla güvenlik uzmanıyla yapılan kapsamlı mülakatlara dayanan 2020 Veri İhlali Maliyeti Raporuna göre, Türkiye’de yaşanan her bir veri ihlalinin maliyeti 12,7 milyon TL’ye mal oluyor. Türkiye’deki veri ihlalleri bir önceki yıla göre yüzde 10,3 düzeyinde artış göstererek bu seviyeye geldi. Rapora göre Türkiye’de meydana gelen veri ihlallerinin yüzde 50’sinin temel nedeninin kötü amaçlı saldırılar olduğu ortaya çıktı. Kötücül saldırıların insan hatası ve sistemsel hatalardan kaynaklandığı belirtilen raporda, firmalar için ortalama toplam maliyeti 12,98 milyon TL olan kötücül saldırılardan kaynaklanan veri ihlallerinin yalnızca en yaygın değil, aynı zamanda da en maliyetli sorun olduğu söylendi.

ASIL SORUMLU HER ZAMAN VERİ SORUMLUSU ŞİRKET

Yaşanan veri ihlallerinde Kanunun üçüncü tarafı değil veri sorumlusu firmayı işaret ettiğini belirten Küpana, “Veri sorumlusu şirket istediği kadar üzerine düşeni yapsın, ihlal üçüncü taraftan da kaynaklansa kanun asli sorumlu olarak veri sorumlusu firmayı muhatap alıyor. Sorumluluk çalışılan üçüncü şirkette değil veri kayıt sisteminin kurulduğu ana şirkette. Veri sorumlusu şirket ancak ilerleyen süreçte üçüncü tarafın hata ve eksiklerinden ötürü yasal yollara başvurabiliyor.” dedi.

SÜREÇ NASIL İŞLİYOR?

Kişisel Verileri Koruma Kurumu tarafından yürütülecek soruşturmaya ve verilebilecek cezaya dair de konuşan Küpana, “Sızıntının büyüklüğüne, görülen zararın derecesine göre soruşturmanın boyutu ve verilecek cezanın miktarı değişiyor.

Avrupa ve dünyada pek çok veri koruma otoritesi para cezalarına ilişkin politikalar belirlerken ülkemizde henüz böyle bir standart mevcut değil. KVKK uyarınca yaşanan veri ihlallerini öğrendiğimiz andan itibaren belirli sürelerde Kişisel Verileri Koruma Kurumuna bildirmek durumundayız, Kurum da kamuoyunun menfaati olan hallerde bu ihlalleri kamu ile paylaşıyor.

Bir veri sızıntısı yaşandığında sonraki süreçte yapılacak denetimin sonuçlarına göre verilecek ceza belli olacaktır. Süreçlerde hukuki metinler hazırlanmış mı? Teknik önlemler alınmış mı? Periyodik olarak eğitimler yapılmış mı? Güvenlik açısından gerekli önlemler alınmış mı? Bunlar üzerinden veri sorumlusunun yapması gerekenleri yapıp yapmadığı saptanacak” ifadelerini kullandı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

KVKK

Avukatların KVKK sınavı devam ediyor: KVKK yükümlülükleri göz ardı edilemez

Yorum yapın

Kişisel verilerin güvenliği ile yasal düzenlemelerin etkilediği kesimlerin başında işi itibariyle kişisel verileri toplayan, saklayan ve işleyen meslek grupları geliyor. Avukatlar da meslekleri gereği farklı şekillerde kişisel veriler ile temas içinde bulunan gruplar arasında yer alıyor. Hatta kişisel verilerin avukatlık mesleğinin bir parçası haline geldiğini söylemek abartılı olmaz. Dolayısıyla, kişisel verilerin saklanması ve işlenmesine ilişkin düzenlemelerin kapsamında avukatlar da yer alıyor.

Durum böyle olmasına rağmen hem dünya da hem de Türkiye’de avukatlar veri ihlalleri ile sık sık gündeme geliyor. Yürürlüğe girdiği günden bu yana Facebook ve Microsoft gibi dünya devlerinde yaşanan veri ihlallerine ceza kesen Kişisel Verileri Koruma Kurumu’nda kişisel veriler ile ilgili düzenlemelere riayet etmeyen avukatlar da nasibini aldı.

BİR SMS’E 50 BİN TL CEZA

Geçtiğimiz sene bir avukata KVKK tarafından kesilen ceza uzun süre gündemdeki yerini korudu. Bir şirketler grubunun avukatlığını yapan kişi, gruba borçlu olan bir şahsın yeğenine borç meselesi ile ilgili SMS atınca konu KVKK’ya taşındı. Avukat işlemin bir personel hatası olduğunu savunsa da kurum bunu inandırıcı bulmadı ve avukata 50 bin TL ceza kesti. Kararın gerekçeleri arasında veri sorumlusu olan avukatın işleme düzenlemelerinden herhangi birine bağlı olmadan veriyi işlemesi yer aldı.

VERİ GÜVENLİĞİ İLKELERİ İÇSELLEŞTİRİLMELİ

Konuyla ilgili görüşlerine başvurduğumuz Kavlak Avukatlık Bürosu, yaptığı açıklamada avukatların kanuna göre ‘veri sorumlusu’ sıfatının bulunduğuna dikkat çekerek, avukatların kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülükleri olduğu vurgulandı.

KVKK, web sitesinde yayınladığı “Veri Sorumlusu ve Veri İşleyen” başlıklı dokümanda da veri sorumlusunu net bir şekilde tanımlıyor:

“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”

Aynı dokümanda veri sorumlusunun aynı zamanda veri işleyen de olabileceğinin altı çizilerek, veri sorumlusunun tespiti için ‘toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı ve verilerin ne kadar süreyle saklanacağı’ gibi konularda karar verici olduğuna işaret ediliyor.

KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİNE 125 BİN TL CEZA

Avukatın veri sorumlusu olarak değerlendirildiği ve kanuna aykırı hareket ettiği için ceza aldığı bir başka olayda bu senenin başında yaşandı. KVKK’nın yayınladığı karar özetine göre, şikayetçi icra takibi yapan bir avukatlık bürosunun kendisine icra takibi ile ilgili attığı SMS’leri kardeşine de attığını belirterek durumu KVKK’ya taşıdı.

KVKK’nın savunmasını istediği avukat ise, KVKK’nın kamuoyu tarafından bilinmediği, içselleştirilmediği ve Kurul’un karar sayısının az olduğunu iddialarına savunmasında yer verdi. Savunma sonrasında KVKK avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerini yerine getirmediği ve genel ilkelere aykırı hareket ettiği sonucuna varılarak 125.000 TL idari para cezası uygulanmasına karar verdi.

Kararı değerlendiren Kavlak Avukatlık Bürosu uzmanları, KVKK’nın kararının başta ICO ve Avrupa’daki veri koruma otoritelerinin de konuya yaklaşımı ile benzeştiğini belirterek Kurul’un söz konusu kararındaki yaklaşım ve değerlendirmeleri de ilerleyen süreçler için emsal niteliğinde olabileceğine dikkat çekildi.