Etiket arşivi: kvkk

Türkiye

KVKK hakkında kulaktan kulağa yayılan 5 şehir efsanesi

Yorum yapın

Kişisel Verileri Koruma Kanunu kurumların ve bireylerin hayatında her geçen gün daha geniş bir yer kaplarken, kanun, uygulamalar ve cezalar hakkında doğru bilinen yanlışlar da ortaya çıkmaya başladı.

Kişisel verilerin korunması için ciddi önlemlerin alınması ve gerekli sorumlulukların yerine getirilmesi gerekiyor. Şirketler, almadıkları önlemler ve yerine getirmedikleri sorumluluklar neticesinde veri ihlalleri yaşarken, KVKK tarafından da ciddi cezalarla karşılaşıyor. Bunun en temel nedenlerinden birinin KVKK uyumluluk sürecine dair doğru bilinen yanlışlardan kaynaklanıyor.

İşte şirketlerin KVKK konusunda düştüğü 5 doğru bilinen yanlış:

1. VERBİS’e kayıt süreci yine ertelenir.

 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına yönelik VERBİS’e kayıt sürecinin Haziran 2020’ye kadar ertelenmiş olması, şirketlerde yine ertelenebilir algısını oluşturdu. Aslında KVKK’nın şirketlere bu konuda tanımış olduğu toleransın bir kez daha sağlanacak olması inancı, şirketlerin büyük bir kumar oynamasına neden oluyorken, gerçekleştirilmeyen sürecin zararlarının da yansımalarıyla karşılaşabileceklerini gösteriyor.

Veri güvenliği yasasının hayal kırıklığı: GDPR cezaları ne kadar işe yarıyor?

2. KVKK KOBİ’leri kapsamıyor, büyük şirketleri kapsıyor

Doğru bilinen yanlışlar arasında en çok dile getirilenlerden biri de KVKK’nın sadece büyük şirketleri kapsıyor olduğu efsanesi. Kanunun özel ya da kamu, büyük ya da küçük şirket ayrımı yapmadığını, esas olarak tüm tüzel kişileri kapsadığının altını çizmek gerekiyor.

3. KVKK sürecinde danışmanlık almaya ihtiyaç yok

 KVKK uyumluluk sürecinde şirketlerin 3 temel noktayı göz ardı etmemeleri gerekiyor. Hukuk, teknoloji ve danışmanlık adımları, şirketlerin tam kapsamlı KVKK uyumlulukları için önem arz ediyor. Eğer şirketler sadece hukuk boyutlarını kendi hukuki birimleri ile çözmeye kalkışırsa, teknolojik altyapı gereksinimlerini göz ardı edebilirler. Hem hukuki hem de teknik bilgilerin yönlendirmeler ve alınacak danışmanlıklar doğru bir şekilde uygulanması gerekiyor.

SGK’nın halkın kişisel verilerini sattığı resmen tescillendi

4. Teknoloji tarafında herhangi bir yazılıma gerek yok

 Kanun gereği hiçbir maddede teknolojik alt yapı için bir yazılım ya da donanım özellikle belirtilmiyor olsa da bazı maddelerin işlenmesi için gerekli yazılımlara sahip olunması gerektiği görülüyor. Özellikle verilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması adına teknik donanımlara sahip olunması gerekiyor. Bu teknik donanımların hukuki açıdan da desteklenmesi gerektiğini unutmamak lazım.

5. KVKK uyumluluğum tamam, GDPR’ye ihtiyacım yok

Özellikle AB üyesi ülke vatandaşlarını istihdam eden ya da üye ülkelerle ticari ilişkileri bulunan şirketlerin sadece KVKK uyumlulukları yeterli olmuyor. GDPR’de bulunan ve karşılığı KVKK’da olmayan maddelere dikkat edilmesi gerekiyor. Şartları taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR çalışmalarını da gerçekleştirmeleri ve bu konuda danışmanlık almaları gerekiyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Rekabet Kurumunun Google’a kestiği rekor ceza KVKK cezasının 100 katı

Yorum yapın

Rekabet Kurumu ile Google arasında uzun süredir devam eden görüşmeler sonucunda, Kurum Google’a online yapılacak alışverişlerde piyasadaki hâkimiyetini kullanarak diğer firmaların ‘faaliyetlerini zorlaştırmak ve pazardaki rekabeti bozmak’ suçlamalarıyla 98 milyon 354 bin lira para cezası verdi.

Bu rakam bu zamana kadar Türkiye’nin vermiş olduğu en yüksek ceza olarak değerlendiriliyor. Kişisel Verileri Koruma Kurumunun kestiği cezalar ile karşılaştırıldığında, Rekabet Kurumunun Google’a kestiği ceza kişisel veriler için verilebilecek para cezasının neredeyse 100 katına denk geliyor. KVKK kanununa göre Kurum yasaya uygun davranmayanlara en fazla 1 milyon TL’lik ceza kesebiliyor.

Teknoloji devinin 4054 sayılı Kanun’un 6. maddesini ihlal ettiğine, genel arama pazarındaki hâkim durumunu kötüye kullanarak rakiplerinin faaliyetlerini zorlaştırdığına kanaat getirildi.
Yetkililere göre Google’ın arama sonuçlarını pazarda dengeyi sağlayacak şekilde yeniden dizayn etmesi gerekiyor.

KVKK’dan, Facebook’a 4 ayda ikinci ceza

AB DE ANDROİD İÇİN BENZER BİR CEZA KESMİŞTİ

Şirketin 60 gün boyunca verilen kararı temyize götürme hakkı var. Google’dan henüz net bir açıklama yapılmasa da şirketin kararı temyize götürmesine keisn gözüyle bakılıyor.

2018 yılında da Avrupa Birliği, işletim sistemi pazarındaki hakimiyetini kötüye kullandığı için şirkete 4.3 milyar avro para cezası vermişti.

Ankara’dan veri yerelleştirmede önemli adım: Google sunucularını Türkiye’ye taşıyor
Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

KVKK, 30 ayda 14 milyondan fazla ceza kesti

Yorum yapın

Kişisel Verilerin Korunması Kanunu ile ocak 2017’de kurulan ve aynı yılın haziran ayında karar verme sürecine geçen Kişisel Verileri Koruma Kurumu geçtiğimiz aylar boyunca kanuna aykırılık nedeniyle birçok şirkete ceza kesti.

KVKK’nın karar vermeye başlayıp 2019 yılının sonuna kadar geçen süre boyunca 14 milyon 100 bin lira para cezası kestiği belirlendi.

Kurul, veri sorumlularının kanuna uygun şekilde faaliyet göstermelerini sağlamak amacıyla kişisel verileri işlenen şahısların şikayetleri üzerine inceleme başlatırken gerekli hallerde resen inceleme yaptı.

SGK’nın halkın kişisel verilerini sattığı resmen tescillendi

Kişisel Verileri Koruma Kurulu, 2019 sonu itibarıyla “veri güvenliğine ilişkin yükümlülükleri yerine getirmemek”, “ihlalleri belirlenen 72 saat içinde bildirmemek” gibi nedenlerden dolayı toplam 14 milyon 100 bin lira idari para cezası uyguladı.

Bu süre boyunca Microsoft ve Facebook gibi uluslararası teknoloji şirketlerine de para cezaları kesildi. Facebook geride kalan 30 ay boyunca iki kez ‘çarpıldı’.

KVKK’dan, Facebook’a 4 ayda ikinci ceza

KVKK, yasa gereği en fazla 1 milyon lira ceza kesebiliyor. Yasanın AB’deki muadili GDPR’da verilen cezalar çok daha ağır. Fakat cezaların şirketleri kişisel veri mahremiyeti konusunda ne kadar caydırıcı olduğu ise tartışmalı

Veri güvenliği yasasının hayal kırıklığı: GDPR cezaları ne kadar işe yarıyor?
Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Kişisel verileri korumada 17 teknik önlem

Yorum yapın

Kişisel veri toplayan kurum ve kuruluşların bu verileri Kişisel Verileri Koruma Kanunu kanuna uygun şekilde koruma zorunluluğu bulunuyor. Hem hukuk hem de teknik birçok adımı içeren bir süreç sonucunda kişisel verilerin kanuna uygun şekilde saklanması hedefleniyor. Şayet bu şekilde verilern koruma altına alınmaması durumunda Kişisel Verileri Koruma Kanunu şirketlere 1 milyon TL’ye kadar ceza kesebiliyor. Kişisel verileri korumanın yolları nelerdir? Hangi teknik önlemler alınmalıdır? gibi sorulara cevap veren uzmanlar kapsamlı bir KVKK uyumluluğu için 17 maddeden oluşan teknik tedbirlerin yerine getirilmesini öneriyor.

6 Ana Başlıkta Analiz ve 17 Gerekli Teknik Tedbir

Bir verinin korunmasına ilişkin şirketin nerede ve nasıl durması gerektiğini KVKK’nın yol haritasıyla şirketlere aktardıklarını belirten Siberasist Genel Müdürü Serap Günal Günal, KVKK uyumluluğuna geçiş için öncelikle şirketin teknik altyapı durumunun analiz edilerek ve hukuki tedbirlere de uyumluluğu dengelenerek ihtiyacı olan teknik tedbirlerin önerildiğini belirtiyor.

Şirketlerde yapılan analizler sonucunda, KVKK’nın talep ettiği teknik tedbirleri hem hukuki hem de teknik boyutları ile harmanlayarak şirketlere sunduklarını aktaran Günal, bir şirketin tam kapsamlı güvenliği için 17 teknik tedbirden sorumlu tutulduğunu ifade ediyor.

KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şu şekilde;

1. Yetkilendirme matrisinin oluşturulmuş olması

2. Erişim loglarının tutulması

3. Yetki kontrolünün yapılması

4. Kullanıcı hesaplarının yönetilmesi

5. Ağ güvenliğinin sağlanması

6. Uygulamaların güvenliğinin sağlanması

7. Verilerin şifreleme yöntemleri ile şifrelenmesi

8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi

9. Saldırı tespit ve önleme sistemlerinin oluşturulması

10. Log kayıtlarının incelenip yedeklenmesi

11. Veri maskelemelerinin yapılması

12. Veri kaybı önleme yazılımlarının kullanılması

13. Yedekleme sistemlerinin kullanılması

14. Güncel antivirüs sistemlerinin kullanılması

15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması

16. Güvenlik duvarlarına sahip olunması

17. Anahtar yönetiminin olması.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Otellerde kimlik fotokopisini vermek zorunda değilsiniz

Yorum yapın

Türkiye’de bir otele giriş yaptığınızda kimse size sormadan cebinizden kimliğinizi çıkartıp resepsiyondaki görevliye veriyorsanız mutlaka bu haberi okuyun. Çünkü aslında böyle bir şey yapmak zorunda değilsiniz.

Oteller yasa gereği tüm misafirlerinin kimlik bilgilerini alıp bulunduğu bölgeye göre jandarmaya ya da polise bildirmek zorunda.  Böylece otelde konaklayan misafirler kolluk kuvvetleri tarafından da görülebiliyor ve kayıt altına alınıyor. Otele gelen misafirin kimliğinin fotokopisinin çekilmesi ise  zorunlu değil. Kimliğinizin fotokopisi çekildiğinde bu belgenin güvenli bir şekilde saklanıp saklanmadığı konusu soru işareti olarak kalıyor.

İşletme, kişilerin paylaştığı bu bilgilerin üçüncü kişilerin eline geçmesinden sorumlu ve bu bilgileri güvenli şekilde saklamak zorunda.
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre otellerin kimlik fotokopisi, kasiyerlerin cep telefonu numarası, spor salonlarının parmak izi, iş verenlerin ise din ve ırk gibi bilgileri isteme yetkisi bulunmuyor. Kişi isterse bu bilgileri paylaşabilir.

SGK’nın halkın kişisel verilerini sattığı resmen tescillendi

Türkiye’de kişisel verilerin güvenliğiyle ilgili yükselişe geçen farkındalık kendisini uygulamalarda gösteriyor. 2018’de işlevsel olarak Kişisel Verileri Koruma Kanununun yürürlüğe girmesinin ardından kişisel verileri işleyen kurumlar kanunun gerektirdiği adımları atarken, vatandaşların da öteden beri sahip oldukları bazı alışkanlıkların da değiştirmesi gerekiyor. Böyle bir tutum değişikliği için KVKK kapsamında hakların bilinmesi büyük önem taşıyor.

Bir çok otel respesiyonda bekleme yaşanmaması için misafirlerin kimlik ya da pasaport fotokopilerini çekip daha sonra sisteme işliyor. Fakat kimlik fotokopinizin otelde bulunmasını istemiyorsanız kimliğinizin fotokopisinin çekilmesi için vermek zorunda değilsiniz. Yasaya göre işletmelerin ihtiyacı olan şey kimlik bilgileri, kimliğin fotokopisi değil.

KİMLİK FOTOKOPİSİ BAŞKASININ ELİNE GEÇERSE BAŞIMA NE GELEBİLİR?

Kimliğinizdeki verilerin kötü niyetli kişilerin eline geçmesi durumunda kredi kartı dolandırıcılığından maddi zarar görebileceğiniz gibi isminiz bazı adli vakalara da karışabilir. Ama en kötü senaryo ne derseniz, İsrail’in 2010 yılında Dubai’de Hamas askeri kanadının önemli isimlerinden Mahmut el Mabhuh’a yönelik suikast girişimini hatırlamanızı öneririz. Burada İsrail’i çeşitli zamanlarda ziyaret etmiş ve pasaport fotokopilerini İsrail’e girerken vermiş kişilerin sahte kimlikleri kullanılmıştı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz