Etiket arşivi: Kavlak Avukatlık Bürosu

KVKK

Üçüncü taraf kaynaklı veri sızıntıları büyük şirketleri zor durumda bırakıyor

Yorum yapın
Deniz Mina Küpana

Dünyada ve Türkiye’de gittikçe artan üçüncü taraftan kaynaklı siber güvenlik olayları kurumlara ciddi maliyetlere sebep olmaya devam ediyor. Ponemon Enstitüsü’nün konuyla ilgili yaptığı araştırmaya göre, kurumların yüzde 53’ü bir veya birden çok kez üçüncü taraf kaynaklı veri sızıntısı yaşamış durumda. Üstelik bu sızıntıların maliyetinin 7.5 milyon doların üzerinde olduğu tahmin ediliyor.

Amazon, e-Bay, T-Mobile, British Airways, Ticketmaster ve  General Electric gibi dünya devi şirketler dahi üçüncü taraf kaynaklı sızıntıları engellemekte tıpkı Türkiye’de bazı örneklerde olduğu gibi güçlük yaşıyor.

Üçüncü taraftan kaynaklanan veri ihlallerini önlemek için hangi adımların atılabileceğini, Kişisel Verileri Koruma Kanununun ilgili olaylarda kimi muhatap kabul ettiğini ve böyle bir olay yaşandığından izlenen hukuki süreci Kavlak Avukatlık Bürosu’ndan Mina Küpana ile konuştuk.

ŞİRKETLER ÜÇÜNCÜ TARAFI SÜREKLİ DENETLEMELİ

Dünyadaki tüm büyük şirketler, belirli hizmetleri kullanıcılarına sunmak, site güvenliğini sağlamak veya çeşitli hedeflerle kurdukları stratejiler doğrultusunda işbirlikleri geliştirmek amacıyla üçüncü taraflarla çalışıyor. Fakat son zamanlarda üçüncü taraflarla kurulan ilişki bu şirketlerin başını ağrıtmaya başladı. Dünyadaki ve ülkemizdeki veri ihlallerinin ciddi bir bölümü göz önünde bulundurulduğunda, sızıntılar genellikle üçüncü taraf kurumlar veya kişilerden kaynaklı oluyor.

Şirketlerin üçüncü taraflarla işbirliği yapmadan önce kılı kırk yaran bir süreçten geçirmesi gerektiğini söyleyen Küpana, “Bu durum artık alt işverenin denetimi düzeyinde yaygınlık kazanmalı ve üzerinde titizlikle durulmalı. Bir şirket, bu tip veri ihlallerini önlemek adına işin başında ve devamında sürekli ve düzenli bir denetim mekanizması kurmalı. Üçüncü tarafın çalışanlarının gerekli eğitimlerden geçip geçmediği, idari ve teknik tedbirlerin alınıp alınmadığı, kurumun güvenlik stratejisinin ne kadar etkili olup olmadığı, doğabilecek riskler ve bunların nasıl önlenebileceği üzerine hazırlıklı olunduğunu kontrol etmeli. Nasıl ki çalıştığımız şirkete, ‘Çalıştırdığın işçilerin sigortasını yapıyor musun?’ sorusunu sormak ne kadar elzemse, güvenlik konusundaki önlemleri alıp almadığını sormak da bir o kadar önemli” dedi.

SEKTÖRDE BAŞARI KADAR GÜVENLİK DE KISTAS OLMALI

Şirketlerin üçüncü taraf hizmet sağlayıcılarla iş yaparken kârlılık hesabı yaparak güvenlik konusunu geri planda bıraktığını vurgulayan Küpana, “Çalışılması düşünülen üçüncü taraf hizmet sağlayıcının sektörde ne düzeyde iyi olduğu doğal olarak belirleyici oluyor. Fakat bu şirketin güvenlik konusunda ne düzeyde hassas olduğu, gerekli önlemleri alıp almadığı çok araştırılmıyor. En baştan bir eleme sürecine tabi tutulmalılar. Sektöründe iyi olabilir. Ama daha önce yapılan işlerde bir güvenlik açığı yaşanmış mı? Şirket güvenlik açıklarını engellemek adına ne gibi bir sisteme sahip? Bu sorular işin başında sorulduğunda ve gerekli denetimlerden ve eleme süreçlerinden geçirildiğinde yapılan işbirliği iki taraf için de sağlıklı olur. Öteki türlü, anlaşmayı imzaladıktan sonra yaşanan bir güvenlik açığı ile görülecek zarar düşünüldüğünde üçüncü taraf ile imzaladığınız sözleşmenin çok da bir getirisi olmuyor. Hukuki sürecin uzun dehlizlerinde kaybolup gidiyorsunuz. Kaldı ki bu ihlalleri önlemek adına yapılacak her titiz çalışma sadece maddi olarak şirketinizi kurtarmıyor. Siber güvenliğin itibar açısından ne kadar önemli olduğu su götürmez bir gerçek. Fakat güvenlik ihlâllleri ve veri sızıntılarının maddi boyutu da oldukça önemli. Gerçekleşen veri ihlalleri her yıl şirketlere büyük kayıplara mal oluyor.” ifadelerini kullandı.

TÜRKİYE’DEKİ ŞİRKETLERE MALİYETİ 12 MİLYONUN ÜZERİNDE

IBM Güvenlik İş Birimi ve Ponemon Institute tarafından geçtiğimiz yıl veri ihlali yaşamış kuruluşlarda çalışan 3200’den fazla güvenlik uzmanıyla yapılan kapsamlı mülakatlara dayanan 2020 Veri İhlali Maliyeti Raporuna göre, Türkiye’de yaşanan her bir veri ihlalinin maliyeti 12,7 milyon TL’ye mal oluyor. Türkiye’deki veri ihlalleri bir önceki yıla göre yüzde 10,3 düzeyinde artış göstererek bu seviyeye geldi. Rapora göre Türkiye’de meydana gelen veri ihlallerinin yüzde 50’sinin temel nedeninin kötü amaçlı saldırılar olduğu ortaya çıktı. Kötücül saldırıların insan hatası ve sistemsel hatalardan kaynaklandığı belirtilen raporda, firmalar için ortalama toplam maliyeti 12,98 milyon TL olan kötücül saldırılardan kaynaklanan veri ihlallerinin yalnızca en yaygın değil, aynı zamanda da en maliyetli sorun olduğu söylendi.

ASIL SORUMLU HER ZAMAN VERİ SORUMLUSU ŞİRKET

Yaşanan veri ihlallerinde Kanunun üçüncü tarafı değil veri sorumlusu firmayı işaret ettiğini belirten Küpana, “Veri sorumlusu şirket istediği kadar üzerine düşeni yapsın, ihlal üçüncü taraftan da kaynaklansa kanun asli sorumlu olarak veri sorumlusu firmayı muhatap alıyor. Sorumluluk çalışılan üçüncü şirkette değil veri kayıt sisteminin kurulduğu ana şirkette. Veri sorumlusu şirket ancak ilerleyen süreçte üçüncü tarafın hata ve eksiklerinden ötürü yasal yollara başvurabiliyor.” dedi.

SÜREÇ NASIL İŞLİYOR?

Kişisel Verileri Koruma Kurumu tarafından yürütülecek soruşturmaya ve verilebilecek cezaya dair de konuşan Küpana, “Sızıntının büyüklüğüne, görülen zararın derecesine göre soruşturmanın boyutu ve verilecek cezanın miktarı değişiyor.

Avrupa ve dünyada pek çok veri koruma otoritesi para cezalarına ilişkin politikalar belirlerken ülkemizde henüz böyle bir standart mevcut değil. KVKK uyarınca yaşanan veri ihlallerini öğrendiğimiz andan itibaren belirli sürelerde Kişisel Verileri Koruma Kurumuna bildirmek durumundayız, Kurum da kamuoyunun menfaati olan hallerde bu ihlalleri kamu ile paylaşıyor.

Bir veri sızıntısı yaşandığında sonraki süreçte yapılacak denetimin sonuçlarına göre verilecek ceza belli olacaktır. Süreçlerde hukuki metinler hazırlanmış mı? Teknik önlemler alınmış mı? Periyodik olarak eğitimler yapılmış mı? Güvenlik açısından gerekli önlemler alınmış mı? Bunlar üzerinden veri sorumlusunun yapması gerekenleri yapıp yapmadığı saptanacak” ifadelerini kullandı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

KVKK

Avukatların KVKK sınavı devam ediyor: KVKK yükümlülükleri göz ardı edilemez

Yorum yapın

Kişisel verilerin güvenliği ile yasal düzenlemelerin etkilediği kesimlerin başında işi itibariyle kişisel verileri toplayan, saklayan ve işleyen meslek grupları geliyor. Avukatlar da meslekleri gereği farklı şekillerde kişisel veriler ile temas içinde bulunan gruplar arasında yer alıyor. Hatta kişisel verilerin avukatlık mesleğinin bir parçası haline geldiğini söylemek abartılı olmaz. Dolayısıyla, kişisel verilerin saklanması ve işlenmesine ilişkin düzenlemelerin kapsamında avukatlar da yer alıyor.

Durum böyle olmasına rağmen hem dünya da hem de Türkiye’de avukatlar veri ihlalleri ile sık sık gündeme geliyor. Yürürlüğe girdiği günden bu yana Facebook ve Microsoft gibi dünya devlerinde yaşanan veri ihlallerine ceza kesen Kişisel Verileri Koruma Kurumu’nda kişisel veriler ile ilgili düzenlemelere riayet etmeyen avukatlar da nasibini aldı.

BİR SMS’E 50 BİN TL CEZA

Geçtiğimiz sene bir avukata KVKK tarafından kesilen ceza uzun süre gündemdeki yerini korudu. Bir şirketler grubunun avukatlığını yapan kişi, gruba borçlu olan bir şahsın yeğenine borç meselesi ile ilgili SMS atınca konu KVKK’ya taşındı. Avukat işlemin bir personel hatası olduğunu savunsa da kurum bunu inandırıcı bulmadı ve avukata 50 bin TL ceza kesti. Kararın gerekçeleri arasında veri sorumlusu olan avukatın işleme düzenlemelerinden herhangi birine bağlı olmadan veriyi işlemesi yer aldı.

VERİ GÜVENLİĞİ İLKELERİ İÇSELLEŞTİRİLMELİ

Konuyla ilgili görüşlerine başvurduğumuz Kavlak Avukatlık Bürosu, yaptığı açıklamada avukatların kanuna göre ‘veri sorumlusu’ sıfatının bulunduğuna dikkat çekerek, avukatların kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülükleri olduğu vurgulandı.

KVKK, web sitesinde yayınladığı “Veri Sorumlusu ve Veri İşleyen” başlıklı dokümanda da veri sorumlusunu net bir şekilde tanımlıyor:

“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”

Aynı dokümanda veri sorumlusunun aynı zamanda veri işleyen de olabileceğinin altı çizilerek, veri sorumlusunun tespiti için ‘toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı ve verilerin ne kadar süreyle saklanacağı’ gibi konularda karar verici olduğuna işaret ediliyor.

KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİNE 125 BİN TL CEZA

Avukatın veri sorumlusu olarak değerlendirildiği ve kanuna aykırı hareket ettiği için ceza aldığı bir başka olayda bu senenin başında yaşandı. KVKK’nın yayınladığı karar özetine göre, şikayetçi icra takibi yapan bir avukatlık bürosunun kendisine icra takibi ile ilgili attığı SMS’leri kardeşine de attığını belirterek durumu KVKK’ya taşıdı.

KVKK’nın savunmasını istediği avukat ise, KVKK’nın kamuoyu tarafından bilinmediği, içselleştirilmediği ve Kurul’un karar sayısının az olduğunu iddialarına savunmasında yer verdi. Savunma sonrasında KVKK avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerini yerine getirmediği ve genel ilkelere aykırı hareket ettiği sonucuna varılarak 125.000 TL idari para cezası uygulanmasına karar verdi.

Kararı değerlendiren Kavlak Avukatlık Bürosu uzmanları, KVKK’nın kararının başta ICO ve Avrupa’daki veri koruma otoritelerinin de konuya yaklaşımı ile benzeştiğini belirterek Kurul’un söz konusu kararındaki yaklaşım ve değerlendirmeleri de ilerleyen süreçler için emsal niteliğinde olabileceğine dikkat çekildi.