Dünyada Facebook ile LinkedIn; Türkiye’de Yemeksepeti ile Yapı Kredi’nin açıkları sonucu ortaya çıkan ve yüz milyonlarca kişiyi ilgilendiren veri ihlallerine artık şirket varlığı olarak önemi aşikar kişisel verilerin KVKK’nun 2022 Mart ayında GDPR uyumlu olarak değişmesiyle artık Türkiye’de de uygulanacak Privacy by Design (Tasarımda Mahremiyet) esaslarına uygun olarak işlenmesinin bir zorunluluk olduğunu ortaya koydu.
Privacy by Design (PbD)
Müşterilerini kampanyalardan faydalandırmak isteyen veya memnuniyet ölçmek için iletişim bilgilerine ihtiyacı olan şirketin bununla beraber doğum tarihi ile kimlik numarası bilgilerini de istemesi veri mimarisi; kullandığı bir İnsan Kaynakları yazılımı içerisinde işe almada görevli bir personelin tüm çalışan ücretlerine erişimi olması veya bir ortak klasörde yer alan sözleşmeler üzerinde veya CRM içerisinde müşteri ad, soyad vs. kişisel verilerinin yetkisiz kimselerce görüntülenebilmesi/değiştirilebilmesi süreç mimarisi; sistemlerdeki zayıf noktaların tespit ederek aksiyon planları ve uygulamalarının hayata geçirmekten sorumlu bir birimin olmaması da doğrudan kurumsal mimari problemleri olarak karşımıza çıkmaktadır. Bu üç mimariyi güvenli şekilde oluşturamayan şirketler, günümüzde en önemli varlıkları arasında giren kişisel verilerine erişimlerinin saldırganlar tarafından engellenmesi/değiştirilmesi; şirketin itibarı bakımından en büyük risklerden biri olarak deep web’de satışa çıkarılması gibi kişisel veriler üzerinde yetkisiz kişilerin etki ettiği durumlarla kaçınılmaz olarak karşı karşıya kalmaktadır.
Firmamızı Nasıl Koruyacağız? Hackerın Hiç Mi Suçu Yok?
Şirket içerisinde kişisel veri barındıran ortamların tamamının yapılandırılarak rol bazlı erişim sağlanmalıdır. Şirket ve veri ilgilileri için kritik öneme sahip kişisel verilere erişen kullanıcıların hareketleri izlenmeli ve bilgi güvenliği ve olay yönetimi belirli korelasyon kuralları çerçevesinde sağlanarak kullanıcıların sistemler üzerindeki sorgu miktarlarının sınırlandırılması; gmail.com/hotmail.com uzantılı kurumsal olmayan e-postalara dosya gönderilmesine dair raporlamalar oluşturulması gibi içeriden gerçekleşebilecek kötü niyetli hareketlerin önlenmesi adına idari ve teknik tedbirler alınmış olmalıdır.
Şirketiniz dışında ancak veri sorumlusu olarak yükümlülüklerinizin devam ettiği kişisel veri işlendiği durumlar olabilir. Buna dair, Air India’nın Kişisel Verileri Koruma Kurumu’na yapmış olduğu veri ihlali bildiriminde üçüncü taraf hizmet sağlayıcısı üzerinden kişisel verilerin sızması söz konusu olmuştur. Burada veri ihlallerine doğrudan veri sorumlusu olarak şirketinizden kaynaklanmasa da Kişisel Verilerin Korunması Kanunu m. 12/2’de yer alan üçüncü tarafla birlikte müştereken sorumluluk gereği teknik ve idari tedbirlerin veri işleyen tarafından alınıp alınmadığının da gözetilmemesi yine şirketinizin sorumluluğuna sebep olabilecektir:
“Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”
Kişisel Verileri Koruma Kurulu veri ihlali sebebiyle idari para cezası verdiği kararlara bakıldığında özellikle yüksek para cezalarının pek çok idari ve teknik tedbir eksikliğinin bir arada bulunduğu durumlarda karşımıza çıktığını kolayca tespit edebiliriz. Bu sebeple çalışanlar, müşteriler ve tedarikçilerin kişisel veriler ile temas ettiği tüm durumları gözeterek iş süreçlerini tasarlamak; şirketin iş süreçleri bakımından değeri olmadığı halde tutulan kişisel verilerin şirketin sırtından atılarak veri minimizasyonu ve risk minimizasyonu; süreçlerde doğrudan yer alan ilgili personelin yıllık eğitimlerle bilgili ve farkında tutulması; ve diğer idari tedbirlerin yanında bilinen ve şirketinizi büyüklüğüne göre maliyet bakımından da erişilebilir olan tüm teknik tedbirlerin de alınması, ihlalin ortaya çıkması durumunda şirketin uğrayacağı zararın önüne geçmenizi sağlar.
Ayrıca bakınız, Dünü ve Bugünüyle Açık Bankacılık Modeli