Türkiye’de 5 Yılda 806 Veri İhlali Bildirimi Gerçekleşti

Şahsî Dataları Muhafaza Kurumu’na (KVKK) 2021 yılında bildirilen ve 25 milyondan fazla kişiyi etkileyen 48 bilgi ihlali, şahsî dataların korunması için önemli tedbirler alınması gerektiğini ortaya koyuyor. Sorumluluklarını yerine getirmeyen şirketlerin hem data ihlali yaşadıklarını hem de büyük cezalarla karşı karşıya kaldıklarını aktaran Siberasist Genel Müdürü Serap Günal, KVKK ile ilgili hakikat bilinen 4 yanlış konusunda şirketleri uyarıyor.

KVKK, 2017’den beri toplam 806 data ihlali bildirimi aldı. Bu bildirimler sonucu data ihlaline sebebiyet verdiği görülen tüm şirketlere KVKK tarafından farklı yaptırımlar uygulanıyor ve bu yaptırımlar şirketlerde hem maddi hem de manevi ziyanlara sebep oluyor. 2021 yılı boyunca 25 milyondan fazla kişiyi etkileyen 48 data ihlalinin de şirketlere büyük olumsuz sonuçlar doğurduğu görülüyor. Alınmayan tedbirler ve yerine getirilmeyen güvenlik sorumluluklarının şirketlere data kayıpları ve cezalar olarak geri döndüğünü aktaran Siberasist Genel Müdürü Serap Günal, şirketlerin yaşadığı ihlallerdeki sorunların KVKK uyumluluk sürecine dair gerçek bildikleri yanlışlardan kaynaklandığına dikkat çekiyor.

1. “KVKK sürecinde danışmanlığa gereksinimim yok.” KVKK uyumluluk sürecinde hukuk, teknoloji ve danışmanlık adımlarının göz arkası edilmemesi gerekiyor. Şirketlerin tam kapsamlı KVKK uyumlulukları için hem tüzel hem de teknik yönlendirmeler için alınacak danışmanlık önemli değer arz ediyor.

2. “KVKK sırf büyük şirketleri kapsıyor.” En yaygın gerçek bilinen yanlışlardan olan küçük işletmelerin KVKK kapsamına girmedikleri bilgisine karşılık KVKK’nın özel ya da kamu, büyük ya da küçük şirket ayrımı yapmaksızın, tüm hukuksal şahısları kapsadığının altını çizmek gerekiyor.

3. “Teknoloji yazılımına gerek yok.” Kanun gereği hiçbir unsurda teknolojik altyapı için bir yazılım ya da donanım muhtaçlığı belirtilmiyor olsa da kimi hususların işlenmesi için sahip olunması gereken yazılımların var olduğu görülüyor. Bilhassa bilgilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması ismine şirketlerin teknik donanımlara sahip olması gerekiyor.

4. “KVKK uyumluluğum tamam, GDPR’ye gereksinimim yok.” Bilhassa AB üyesi ülkelerin vatandaşlarını istihdam eden ya da AB üyesi ülkelerle ticari bağlantıları bulunan şirketlerin yalnızca KVKK uyumlulukları kâfi değil. GDPR’de bulunan ve karşılığı KVKK’da olmayan unsurlara bilhassa dikkat edilmesi gerekiyor. Kaideleri taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR gerekliliklerini de yerine getirmeleri ve bu hususta danışmanlık almaları gerekiyor.