Son zamanlarda ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında ele alınan birçok noktada veri ihlalleri ve ciddi veri kayıpları yaşanmaya başladı. Bununla ilgili her ne kadar KVKK Kurumu aracılığı ile içlerinde dünya devlerinin de bulunduğu Microsoft, Facebook, Bankalar, Oteller ve Özel şirketlere cezai yaptırımlar uygulansa da konunun aslına daha detaylı değinmek istedik. 

KVKK ile ilgili kanun, mevzuat ve genelgeleri dikkatli okuduğunuzda aslında hard copy dökümanlar ve   tüm dijital ortamlarda tuttuğunuz kişisel veri  ve özel nitelikli kişisel verilerin toplanması, işlenmesi, saklanması, aktarımı ve paylaşılan tüm paydaşlar ile ilgili her noktada güvenliğin nasıl sağlanması gerektiği ile ilgili kurumlardan detaylı bilgi talep ediliyor. Peki,  veri kayıpları neden yaşanıyor?  Güvenlik seviyeleri mi yetersiz? Altyapıda mı sorun var? IT personeli mi yetersiz?

Konuyu özetlemek gerekirse;

1 – Her ne kadar GDPR ve KVKK kişisel veriyi her noktada korumamız gerektiğini söylese de aslında bu bir takım oyunu. Altyapı ve diğer güvenlik önlemlerinin sağlanması, sistem içerisindeki çalışanların ve 3. Taraf kişilerin de konu hakkında farkındalığının üst düzeye çıkarılması gerekiyor. Çünkü verisi çalınan da veriyi çalan ve kötü amaçla kullanan da İNSAN faktörüdür. O zaman işe önce  insanları eğiterek başlamak en doğrusu demektir.  Çünkü kişisel verisini veren kişi de , işlemek yâda saklamak amacı ile alan kişi de konunun farkına varırsa o zaman veri güvenliği ortamı oluşmaya başlar.

2 – Dünya devi sanallaştırma platformu oyuncuları sistemlerinin güvenli olduğunu aynı zamanda KVKK ve GDPR uyumlu olduklarını dile getirseler de son zamanlarda kesilen cezalarla çok da güvenli sistemlere ve teknik altyapıya sahip olmadıklarını gözlemliyoruz. Çünkü Yurt dışında bulunan sunucudan kişisel verilerin çalınması halinde dünya genelindeki hangi servis sağlayıcısının  bu durumun sorumlululuğunu üstlenmesi gerektiği gri alan olarak kabul edilmekte ve hiçbir kurum bununla ilgili gerekli ve detaylı önlemleri almamaktadır. Bu önlemler açık rıza alınması, KVKK Kurul izni alınması olarak başlıca sıralanabilir. KVKK içerisinde; verinin yurt dışına çıkarılma kuralları belirlenmişken; dünyanın neresinde olduğunu bilmediğiniz sunucularda veri barındırmak açık rıza  ve KVKK Kurulu izni almadan veri aktarımı yapmak kanuna aykırı hareket etmenin en önemli göstergesidir. 

3 – Bir Diğer husus ise;  Türkiye Cumhuriyeti devleti olarak ;Avrupa Birliğine resmen müracaat edip onun tüm regülasyonlarına uymak için taahhüt verilmişken ; Bizim ülkemizde konaklayan bir Avrupa Birliği  vatandaşının verisi çalındığında cezai yaptırımı ne olucak konusudur... ? Avrupa Birliğinde GDPR (GENERAL DATA PROTECTİON REGULATİON)  ülkemizde  ise;  uygulamaya  6698 Sayılı Kişisel Verilerin Korunması olarak giren kanun gereği farklı şatlarda cezalar uygulanması söz konusu olacaktır. KVKK (Kişisel Verilerin Korunması) Kurulu gerekli cezai yaptırımları mutlaka uygulayacaktır ama bizim taahhüt ettiğimiz ve imzaladığımız sözleşme ve tüzük gereği GDPR kapsamı ve aracılığı ile de Avrupa Birliği  ihlale neden  olan kuruma  ceza kesebilmektedir.

Peki  Kurumunuzda  KVKK mı GDPR mı yoksa her ikisinide mi  uygulamak gerekmektedir?

Bizim önerimiz  ISO27001 Şartları ile KVKK ve GDPR şartlarının tamamını uygulamak ki zaten ISO27001 ile KVKK usul ve esasları tam kapsamlı  uygulandığında GDPR uygunluğu da  %80 oranında sağlanmış olucaktır. 

Son olarak ; Yurt dışı Cloud sunucularda risk yükseldiği için  ve maalesef taahhüt alma imkânı zorlaştığı için  mümkün olduğunca kişisel verilerin yurt içi bir Datacenterda  tutulması  ve erişimlerinin  ciddi anlamda kısıtlanması veya sınırlandırılması daha doğru olmaktadır. Şirket içinde dahi olsa anonimleştirme yöntemleri uygulanabiliyorsa ciddi anlamda güvenlik sağlayacaktır. Ayrıca KVKK kurulundan izin alınması ve Müşteriden yurt dışına çıkarmak için ayrıca açık rıza alınması gerekmektedir. 

Dünya çapında  datacenter hizmeti veren kurumlar kesinlikle güvensiz algısı yaratmak niyetinde değiliz fakat KVKK Kurulu'nun Microsoft ve Facebook konusunda yapmış olduğu uyarılar ve kesilen cezalar bize Türkiye içerisinde olmayan hiçbir Datacenter hizmetine mutlak güvence gözüyle bakılmaması gerektiğini bir kez daha hatırlamış oluyoruz...