ICT Media
1. Kişisel veri nedir? Kişisel veriler neden korunması gerekir? Veri güvenliği ile siber güvenlik arasında fark var mıdır, varsa nelerdir?
Veri, ‘kişisel veri’ ve ‘özel nitelikli kişisel veri’ olarak ikiye ayrılıyor. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örneğin, Ad/Soyad, mesleki deneyime ilişkin bilgiler, IP adresi, konum bilgisi, adres, iletişim bilgileri, doğum yeri, anne-baba adı, medeni durumu gibi. Özel nitelikli kişisel veri ise öğrenilmeleri halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan verilerdir. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik veriler özel nitelikli kişisel verilerdir.
Veri güvenliği aslında verinin olduğu her alanın güvenliğini kapsamaktadır. Veri güvenliğinin temin edilmesi fiziksel veya elektronik olarak alınan verinin muhafazasını sağlamak, hukuka aykırı olarak işlenilmesini ve erişilmesini önlemek amacıyla teknik ve idari tedbirlerin alınmasını gerekli kılan bir süreçtir.
Siber güvenlik ise her ne kadar dijital verinin korunmasını sağlasa da bununla birlikte bütün dijital kanalların, üzerinde çalıştığı altyapı kanallarının güvenliğini de kapsamaktadır. Siber güvenlik, bilginin taşınmasını sağlayan sistemi kapsadığı gibi bilginin üretilmesini (işlenmesi) sağlayan sistemi de kapsamaktadır. Bu sebeple siber güvenliğini bilgi ile sınırlamanın mümkün olduğunu söyleyemeyiz.
2. Kullandığımız her cihaz, girdiğimiz her internet sitesi bizden bazı bilgiler istiyor. Dijital ortamda kişisel veriler nasıl toplanmakta ve hangi amaçlarla kullanılmaktadır? Kişisel veri güvenliği konusunda en çok yapılan ihlaller nelerdir?
Öncelikle günümüz dünyasında aktif kullandığımız esnada çok da dikkat etmediğimiz, hatta hayatımızı kolaylaştırdığı için çok fazla sorgulamadığımız internet çerezleri var. İnternet çerezi, herhangi bir internet sitesi tarafından bilgisayara bırakılan bir tür tanımlama dosyasıdır. Bu sayede ziyaret ettiğimiz sitelerde izinlerimiz dahilinde bazı verilerimizi paylaşmış oluyoruz ve bir sonraki kullanımımızda bilgilerin otomatik doldurulmasından tutun, ziyaret ettiğimiz sitedeki hareketlerimize kadar bizi izlemelerine izin veriyoruz. Bu konuda çerez yönetimi yapabilmemiz ve site sahiplerinin izinlerimiz dahilinde veri depolamaları gerekiyor. Sitede gezinebilmemiz için gerekli çerezler dışında işlevsel, performans/analiz, hedefleme/reklam çerezleri de mevcut. Bunlara ne amaçla gerek duyuluyor ve buna izin veriyor muyuz gibi hususlarda aydınlatılmamız gerekiyor. Bu doğrultuda kısmi izin seçenekleri de sunulmalı.
Aynı şekilde, gerçekleştirdiğimiz üyeliklerde ve alışverişlerde bazı verilerimizi paylaşıyoruz ve tarafımıza sunulan aydınlatma metinlerinin içeriklerine bakmıyoruz. Verdiğimiz bu izinler sadece bir üyeliğin veya alışverişin tamamlanması ile sınırlı olmayabilir. Bu metinlerin içeriğinde işleme amaçları, verinin kiminle paylaşıldığı ve paylaşım amaçları da yer alıyor. Bu sebeple açık rıza gösterdiğimizde farkında olmadan verinin farklı amaçlar doğrultusunda işlenmesine izin vermiş oluyoruz.
Burada en önemli konu aslında açık rızanın süreli verilmesi. Ancak hiçbir kurum bu seçeneği sağlamıyor. Yani verimizin işlenmesi için 1 saatlik de açık rıza verebiliriz. Bu durumda 1 saatin sonunda verinin, artık izin olmaması sebebiyle, silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.
3. Teknolojinin gelişmesiyle birlikte veriler belirli mekanlarda kurulu fiziki veri merkezlerinden daha çok anonim hale gelen bulut servislerinde saklanmaya başladı. Bulutta saklanan verilerin güvenliğine yönelik riskler var mıdır? GDPR ve KVKK kişisel verilerin bulut bilişimde saklanmasına nasıl yaklaşmaktadır? Verilerin bulutta saklanmasından kaynaklanan riskleri ortadan kaldırmak için atılması gereken adımlar, yapılması gereken yasal düzenlemeler nelerdir?
Ülkemizde standartları sağlayabilmek adına ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uyum sağlamak önemli. Kişisel veri ile birlikte hayatımıza ISO 27701 Kişisel Veri Yönetim Sistemi de girdi. Standart alınması gereken önlemler konusunda rehberlik ediyor bize.
Tabii bulutta yedekleme konusu biraz daha farklı bir konu. Kullanılan bulut uygulamasının hangi ülkeye ait olduğu ve bu konuda o ülkenin izlediği yol ve yönetmelikler neler? Bu konuda da detaylı bir inceleme yapılmalı ve gerek KVKK gerekse GDPR kapsamında ele alınan önlemler ne derece sağlanıyor bakılmalı. İstenilen standartlar sağlanıyor ve taahhütler veriliyorsa verilerin bulutta yedeklenmemesi gerekli diyemeyiz.
4. Kişisel Verilerin Korunması Kanunu ile korunan verilerinin kamu ve özel sektör tarafından amacı dışında ve izinsiz kullanıldığını düşünen bireyler haklarını nerede ve nasıl aramalıdır?
Kişisel veri sahibinin verilerini işlemeden önce muhakkak aydınlatılması gerekmektedir. Bu aydınlatma içinde işlenen veriler neler, verinin işleme amaçları, toplanması, hukuki sebepleri, saklanması, aktarılması ve kişisel veri sahibinin hakları neler sorularının cevapları yer almalıdır. Ayrıca veri sorumlusuna ait, bilgiler ve iletişim kanallarının da yer alması gerekiyor.
Ayrıca kişisel veri sahibinin ulaşabileceği bir alanda (web sitesi gibi) veri sorumlusuna ait politika, başvuru formu gibi dokümanların da bulundurulması önemli. Böylece veri sahibi verisinin farklı bir amaçla işlenip işlenmediğini ve bu verinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenebilir. Ayrıca verisinin hatalı olduğunu, güncellenmesi veya silinmesini istediğini bildirebilir. Kişisel verisi işlenen gerçek kişi, veri sorumlusuna yaptığı başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya yasal süre içinde yanıt alamaması durumunda KVKK’da öngörülen süreler dahilinde Kişisel Verileri Koruma Kurulu’na şikayette bulunabilir.
5. Kişi, kurum ve şirketlerde veri güvenliğine yönelik duyarlılık ve farkındalığı artırmak için neler yapılmalıdır? Bu konuda kamu ve özel sektöre düşen görevler nelerdir?
Kişisel verilerin korunması, yaşayan bir kavram olduğu ve günümüzde birçok noktada sürekli gelişmeler yaşandığı için periyodik olarak eğitimler yapılmalı. Bence eğitimlerin içeriği özenle hazırlanmalı ve ana temada sadece KVKK’nın bir yasa olarak içeriği değil, kişisel verilerin gizliliğinin önemi ve başkasına ait herhangi bir bilginin hukuka aykırı olarak işlenmesinin veya paylaşılmasının yaratacağı zararlar üzerine olmalı. Aynı zamanda eğitimler kurum ve şirket içinde yapılan eğlenceli workshoplar, ofis içindeki panolarda ve çalışanların sıklıkla kullandığı dijital ortamlarda neşeli grafikler, illüstrasyonlar gibi akılda kalıcı uyarıcılarla desteklenmelidir. Bilgi güvenliğinin aslında sadece bir başkasının kişisel verisinin korunmasının yanı sıra çalışanların kendi bilgilerinin de korunması amacıyla önemli olduğu bilinci de pekiştirilmeli. Bizim gibi yazılım geliştiren veya ileri teknoloji çözümlerini müşterileri için işleten şirketlerde mutlaka bilgi güvenliği politikaları tüm çalışanlar tarafından içselleştirilmeli. Bu sayede çalışanlar öncelikle kendi bilgilerini koruma içgüdüsüne sahip olduklarından, işledikleri verilerin korunmasının da ne kadar önemli olduğunun farkına varacaklardır. Örneğin kurumumuzda çalışanlar öncelikle kendi kişisel verilerinin gizliliği ve korunması için şifre politikalarının uygulandığını biliyorlar. Bunun aynı zamanda müşterilerimizin kişisel verilerini de korumak için bir numaralı adım olduğunun farkındalar. Yine benzer şekilde herhangi bir izinsiz ya da kaçak yazılım kullanımının öncelikle kendi bilgilerinin güvenliği, bunu takiben başkalarının bilgilerinin güvenliği için sakıncalarını biliyorlar. Tabii bu tip farkındalık ne kadar eğitim düzenlerseniz düzenleyin kısa sürede yaygınlaşmayabiliyor. Biz, şirketimizde bilgi güvenliği konusunda ofis içinde gönüllü temsilciler belirledik. Bu temsilciler ofis ortamındaki sohbetlerde, toplantılarda zaafiyet yaratacak durumları sezdiklerinde diğer herkesten daha fazla hassas davranıp kimseyi kırmadan hatırlatmalar yapıyorlar.
Ayrıca kişisel verilerin ve kişisel veri kapsamına dahil edilebilecek her türlü bilginin korunmasının ne kadar önemli olduğunu daha geniş kitlelere duyurmak adına kamu spotları hazırlanabilir. Kamu spotları konvensiyonel ve sosyal medya aracılığıyla yayınlanabilir. Özellikle veri güvenliği konularında uzman kurumlar ve akademisyenlerin yapacağı ücretsiz seminerler de yetkili kamu kurumları tarafından organize edilebilir. Kişisel Verileri Koruma Kurulu kararları örnek olarak seminerlerde veya spotlarda oyunlaştırma metodlarıyla ilgi uyandırıcı şekilde paylaşılabilir.
