Türkiye’de 5 Yılda 806 Veri İhlali Bildirimi Gerçekleşti

Şahsî Bilgileri Müdafaa Kurumu’na (KVKK) 2021 yılında bildirilen ve 25 milyondan fazla kişiyi etkileyen 48 bilgi ihlali, ferdî bilgilerin korunması için önemli tedbirler alınması gerektiğini ortaya koyuyor. Sorumluluklarını yerine getirmeyen şirketlerin hem bilgi ihlali yaşadıklarını hem de büyük cezalarla karşı karşıya kaldıklarını aktaran Siberasist Genel Müdürü Serap Günal, KVKK ile ilgili gerçek bilinen 4 yanlış konusunda şirketleri uyarıyor.

KVKK, 2017’den beri toplam 806 bilgi ihlali bildirimi aldı. Bu bildirimler sonucu bilgi ihlaline sebebiyet verdiği görülen tüm şirketlere KVKK tarafından farklı yaptırımlar uygulanıyor ve bu yaptırımlar şirketlerde hem maddi hem de manevi ziyanlara sebep oluyor. 2021 yılı boyunca 25 milyondan fazla kişiyi etkileyen 48 bilgi ihlalinin de şirketlere büyük olumsuz sonuçlar doğurduğu görülüyor. Alınmayan tedbirler ve yerine getirilmeyen güvenlik sorumluluklarının şirketlere bilgi kayıpları ve cezalar olarak geri döndüğünü aktaran Siberasist Genel Müdürü Serap Günal, şirketlerin yaşadığı ihlallerdeki sorunların KVKK uyumluluk sürecine dair yanlışsız bildikleri yanlışlardan kaynaklandığına dikkat çekiyor.

1. “KVKK sürecinde danışmanlığa gereksinimim yok.” KVKK uyumluluk sürecinde hukuk, teknoloji ve danışmanlık adımlarının göz gerisi edilmemesi gerekiyor. Şirketlerin tam kapsamlı KVKK uyumlulukları için hem hukuksal hem de teknik yönlendirmeler için alınacak danışmanlık önemli ehemmiyet arz ediyor.

2. “KVKK sadece büyük şirketleri kapsıyor.” En yaygın yanlışsız bilinen yanlışlardan olan küçük işletmelerin KVKK kapsamına girmedikleri bilgisine karşılık KVKK’nın özel ya da kamu, büyük ya da küçük şirket ayrımı yapmaksızın, tüm hükmî şahısları kapsadığının altını çizmek gerekiyor.

3. “Teknoloji yazılımına gerek yok.” Kanun gereği hiçbir unsurda teknolojik altyapı için bir yazılım ya da donanım gereksinimi belirtilmiyor olsa da kimi hususların işlenmesi için sahip olunması gereken yazılımların var olduğu görülüyor. Bilhassa bilgilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması ismine şirketlerin teknik donanımlara sahip olması gerekiyor.

4. “KVKK uyumluluğum tamam, GDPR’ye gereksinimim yok.” Bilhassa AB üyesi ülkelerin vatandaşlarını istihdam eden ya da AB üyesi ülkelerle ticari münasebetleri bulunan şirketlerin yalnızca KVKK uyumlulukları kâfi değil. GDPR’de bulunan ve karşılığı KVKK’da olmayan unsurlara bilhassa dikkat edilmesi gerekiyor. Kuralları taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR gerekliliklerini de yerine getirmeleri ve bu bahiste danışmanlık almaları gerekiyor.