Kişisel verilerin korunması, özellikle son bir yıldır gündemden düşmeyen bir konu. 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu ("Kanun") ile, kişisel verileri kontrol eden tüm gerçek ve tüzel kişilere, bu verilerin güvenliğini sağlanma yükümlülüğü getirilmiş durumda. Kanun'da, AB mevzuatındaki düzenlemelerden farklı olarak, veri sorumluları ve veri işleyenlere müşterek mesuliyet getiriliyor ve ayrıca, kişisel verilerin güvenliğinin sağlanmaması durumunda çeşitli idari para cezalarının uygulanması öngörülüyor. Kanun uyarınca, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde veri sorumluları 15.000 TL ila 1.000.000 TL arasında değişen idari para cezalarına tabi tutulmuş.

Küçük ve orta ölçekli şirketler, faaliyetlerinin gerektirdiği güvenlik, gizlilik ve mevzuata uyum konularının yönetilmesi için gereken tecrübe ve kaynaklara her zaman sahip olamayabiliyor. Ancak, gizlilik ve veri güvenliği konularının iyi yönetilmemesi sonucunda doğabilecek hukuki ve ticari riskler, göz ardı edilemeyecek kadar büyük. Aşağıda, bu konuda şirketlerce sıkça yapılan 10 hatalı uygulamaya yer veriyoruz:

1. Gizlilik ve güvenliğe ilişkin yasaların kendilerine uygulanmayacağının varsayılması

Şirket yöneticilerinin, yeterli seviyede veri güvenliği sağlanmaması veya gizlilik kurallarına uyulmamasından doğabilecek sonuçlara gereken dikkat ve özeni göstermediği durumlara sıklıkla rastlanılıyor.

Kanun'un getirdiği ağır düzenlemeler göz önüne alındığında, şirketlerin bu konularda davalarla karşılaşmaları artık çok daha ciddi bir olasılık.

Veri gizliliği ve güvenliğine ilişkin mevzuata uyulmaması veya bu hususlarda basiretli şekilde davranılmaması nedeniyle şirketlerin zarara uğraması halinde, yönetim kurulu üyeleri, şirket müdürleri ve duruma göre yöneticilere karşı, sorumluluk davalarının açılması da mümkün olabilir diye düşünüyoruz.

2. İlgili mevzuatın göz ardı edilmesi

Bazı şirketler, faaliyetlerinin geniş bir yelpazedeki kanuni düzenlemelere tabi olduğu ve genel kabul görmüş bazı uygulamalara uygun şekilde yürütülmesi gerektiği konusunda gerekli özeni gösteremeyebiliyor. Kişisel verilerin toplanması, kullanılması, saklanması, transferi; yani kısaca işlenmesinin, artık kanuni düzenlemelere tabi olduğu göz ardı edilemez. Ve unutulmamalı ki, bu düzenlemelere uyulmamasının çok ağır sonuçları var.

Veri gizliliği ve güvenliği yükümlülüklerine uyulmaması, hukuki yaptırımlarla karşı karşıya kalınması riskinin yanı sıra, uluslararası şirketler, büyük şirketler grubu veya kurumsal müşterilerle anlaşma yaparken, ihalelerde veya iş ortağı kurulurken de şirketlere beklenmedik şekilde ek külfetler getirebilir, hatta beklenmedik şekilde dert açabilir. Büyük bir şirketten alınacak iyi bir iş teklifi, şirket tarafından kişisel verilerin korunması mevzuatına tam olarak uyulduğu, verileri işlenen kişilerin onaylarının alınmış olduğu gibi hususlarda sözleşmede garanti ve taahhüt verilmesine ya da duruma göre şirketin ISO 27001 belgesine sahip olması şartına tabi tutulabilir. Ülkemizdeki yeni veri gizliliği ve güvenliği rejimi ile, veri işleyen bir start-up'ın bile, daha büyük ölçekteki şirketler gibi endüstri standardında bir güvenlik ve takip sistemine sahip olması gerekiyor. Bir şirket, faaliyetlerinin mevzuata uygun şekilde yürütülmesini sağlayacak sağlam bir yapıya sahip değilse, potansiyel müşteri veya iş ortaklarının beklentilerini karşılamakta zorlanacak ve ihale/sözleşme ön şartlarını sağlayabilmek için, belki de üç yıllık bir sürede oturtulabilecek bir yapıyı, üç aylık bir sürede kurmak zorunda kalacaktır. Müşterinin öngördüğü şartların yerine getirilememesi halinde ise, ihale dışı kalacak ve/veya sözleşmeyi imzalayamayabilecektir.

3. "Nasılsa biz radar altında kalırız" diye varsaymak

Çok sayıda şirket de, küçük oldukları için denetime tabi olmayacaklarını düşünerek zaman zaman yasal yükümlülüklerini görmezden gelebiliyor. Bu belki bir süre gerçekten mümkün olabilse de, bu durumun uzun sürmesini beklemek gerçekçi olmaz. Zira, Kanun'un uygulanmasında bir şirketin büyük veya küçük ölçekli olmasından çok, gerçekleşen güvenlik saldırısının veya kanuna aykırı uygulamanın ilgili kişiler üzerinde yarattığı etki değerlendirilecektir. Ciddi bir etkinin varlığı halinde, bunun sadece beş kişilik bir şirketçe yapılmış olmasının da hiçbir önemi olmayacaktır.

4. Şirket içi süreç ve politikalara olan ihtiyacın önemsenmemesi

Bazı şirket yöneticileri ise, başarının sırrının her zaman atak davranmakta gizli olduğu inancı ile, belirli konularda şirket içi süreç ve politikalar oluşturulmasının onları yavaşlatacağını düşünebiliyor.

Veri sorumlusu şirket tarafından, hangi bilgilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kuralların var olmaması halinde, çalışanların, taşeronların ve hatta ziyaretçilerin bile yanlışlıkla gizli ve hassas bilgilere erişmesi ve bunları uygunsuz şekilde kullanması söz konusu olabilir. Şirket içi süreç ve politikalar, işin nasıl yürütüleceği konusunda bir kılavuz niteliğinde olacağından, kararların da daha hızlı şekilde alınmasını sağlar. Doğru şekilde uygulandığında, etkin bir işleyişe kavuşulur ve şirketin hedefleri doğrultusunda hata riski en aza indirilir.

5. Sorumluluğun kendilerinde olmadığı inancı

Birçok şirkette, gerekli ekipmanın veya personel yükünün şirket bünyesinde taşınması için yeterli kaynak bulunmaması gibi sebeplerle, bazı hizmetler üçüncü kişilerden alınıyor, belli fonksiyonlar taşeronlara devrediliyor veya operasyonlar bulut üzerinden gerçekleştiriliyor. Ancak unutulmamalı ki Kanun'a göre, bu durumlarda da veriyi toplayan şirketin sorumluluğu devam ediyor. Verinin Kanun'a aykırı şekilde işlenmesi veya yeterince korunmaması durumunda, üçüncü kişi servis sağlayıcı değil, esas müşterilerin muhatabı olan şirket dava riskiyle karşı karşıya kalabilecek, ayrıca ciddi itibar kaybına uğrama riski olacaktır.

6. Yeterli seviyede güvenliğin sağlanmaması

Kanun'la getirilen yeni düzenlemelere göre, veri sorumlularının, verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunluluğu bulunmaktadır. Şirketin büyük olmaması, depolanan veya işlenen verinin güvenliğinin sağlanması için gereken kaynak, teknoloji ve uzmanların kullanılmaması için mazeret sayılamaz.

Güvenlik ihlallerinin önlenmesinin önemi aşikardır; zira ciddi bir ihlal halinde şirket faaliyetleri kesintiye uğrayabilir. Şirkette kapsamlı bir güvenlik programı bulunması, potansiyel güvenlik saldırıları ve bunların yıkıcı sonuçlarıyla karşılaşma riskini azaltır.

Veri sorumlusu bir şirket, güvenlik ihlaline uğraması halinde en kısa sürede verinin sahibine ve Kişisel Verileri Koruma Kurulu'na ("Kurul") bilgi vermekle yükümlüdür. Kurul bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir. Kurul'un ihlalden haberdar olmasını takiben, şirket faaliyetleri hakkında soruşturma başlatılabilir ve bu da ciddi masraflara yol açabileceği gibi faaliyetlerin kesintiye uğramasına da sebep olabilir.

7. "Ne kadar çok o kadar iyi" yaklaşımı

Bazı şirketlerin, verilerin daha sonra gerekebileceği veya depolanmasının ucuz olması gibi gerekçelerle, gereğinden fazla veri toplama eğiliminde olduğu da görülüyor. Bu pratik bir uygulama gibi görünse de, şirketin nezdinde ne kadar çok veri varsa, kanuna aykırılık riskinin artacağı ve veri güvenliği ihlallerine de daha açık olacağı unutulmamalı.

Çok fazla ya da gereğinden fazla veri işlenmesi yasalara uygunluk konusunda da sorunlara yol açabilir; zira bazı kanunlara göre kurumların, amacının gerektirdiği minimum verilerden fazlasını toplaması yasaklanmaktadır. Çok fazla veri tutulması şirkete ek yük de getirebilecektir. Örneğin, Kanun'a göre kişisel verileri tutulan gerçek kişilerin ilgili şirketten bu verilere erişim talep etme hakkı vardır. Böyle bir talepte bulunması halinde, şirket farklı yerlerde, farklı mecralar üzerinde veya farklı formatlarda bulunan tüm verilere dair ilgiliye bilgi vermekle yükümlü olur. Şirkette ne kadar çok veri varsa, bunların toplanması da o kadar çok zaman alacak ve o derecede iş yükü gerektirecektir. Diğer yandan, çok fazla verinin gereksiz yere işlenmesi, Kanun ve ikincil mevzuat çerçevesinde hazırlanması gereken veri envanterlerinin tutulması, takibi, güncelliğinin sağlanması ve saklama ve imha politikalarının uygulanması açısından da şirkete çok ciddi ve gereksiz ek maliyet ve külfet doğuracaktır. Büyük miktarlarda veri toplanması güvenlik riskini de arttırır. Veri ne kadar çoksa, çalınma olasılığı da o kadar artar.

8. Komşunun güvenlik politikalarını taklit

Bazı şirketler, doğrudan başka bir şirketin internet sitesinde yer alan gizlilik politikası metnini kopyalayarak hukuki danışmanlık masraflardan kurtulmayı da umabiliyorlar. Böyle bir durumda ne metnin ne anlama geldiği tam olarak anlaşılıyor, ne de söz konusu politikaların o şirket özelinde süreç ve uygulamalara uygun olup olmadığı inceleniyor. Bu şekilde 'ödünç alınan' bir metin, başka bir şirketin ihtiyaçlarına göre hazırlanmış olacağından ve 'komşunuzun' uygulamaları sizinkinden farklı olabileceğinden (ve daha kötüsü, kanuna da aykırı olabileceğinden) ilk başta kolay bir çözüm gibi görünen bu yol, aslında sorunu halletmek çok uzak olacaktır. Hatta hukuki açıdan bakıldığında, gerçek dışı beyan ve taahhüt verilmesi ve haksız rekabet olarak dahi nitelendirilebilecektir.

Ödünç alınmış bir gizlilik beyanı, müşterilere ulaşma yarışında size ciddi zararlar verebilir. Şirketinize özel değerleri, uygulamaları ve amaçlarınızı yansıtmaz ve vermek istediğinizin dışında taahhütler içerebilir.

9. Verilen taahhütlerin tam olarak anlaşılmaması

Hukuki dokümanların fazlaca uzun ve anlaşılmaz olabildiği bir gerçek. Ancak bu durum maalesef bu belgelerin eleştirel bir bakış açısıyla incelenmesi gereğini ortadan kaldırmıyor. Bazı şirketlerin gizlilik beyanlarında "kişisel verilerinizi hiçbir zaman satmayacağız" ifadesi yer alır. Bu ifade ilk beyan edildiği zamanda şirketin gerçek niyetini yansıtıyor olsa bile, şirket hisselerinin veya varlıklarının bir kısmının satılması olasılığını dikkate almaz. Şirketin en önemli varlığı sahip olduğu veri tabanı olduğundan, böyle bir beyan, şirket varlıklarının satışına engel teşkil edebilir, zira veriler satılamayacaktır.

10. Anonim hale getirmenin etkilerinin yanlış anlaşılması

Veri güvenliği konusu tartışıldığında, "elimizde hiçbir kişisel veri yok, tüm veriler anonim hale gelmiş durumda, hiçbir kişi ile ilişkilendirilemeyecek durumda" dendiği de sıkça duyduğumuz bir ifade. Belki bu uzun zaman önce doğru olabilirdi ama, anonim hale gelmenin belli bir veri ile belli bir kişinin ilişkilendirilmesine engel teşkil ettiği gibi bir bakış, bugün itibariyle doğru ya da gerçekçi olmayabilir. Veri analizi (data analytics), büyük veri (big data), semantik (semantics) ve diğer araçların bulunduğu bir dünyada bugün anonimlikten söz etmek de nerdeyse imkansızlaşıyor. Yetkin bir veri uzmanının anonimlik kabuğunu kısa sürede kırması olasılığı oldukça yüksek.

Proaktif Yaklaşım

Günümüzde tüm şirketlerin gizlilik ve veri güvenliği konusunda proaktif davranması gerektiği çok açık. Küçük ölçekli veya kısıtlı kaynakları olan bir şirket olmak bu ihtiyacı ortadan kaldırmıyor.

O nedenle:

  • Kişisel veriler ile hassasiyet taşıyan ticari verilerin kullanılmasına ilişkin uygulama ve süreçlerinize dikkat gösterin.
  • Verilerin ne zaman ve kimlerden toplanacağını, verinin ne şekilde kullanılacağını, depolanacağını, devredileceğini ve imha edileceğini gösteren bir veri akış tablosu ve envanteri oluşturulması ve bunun güncel tutulması için zaman ayırın.
  • Şirketiniz için mevzuatın gereklerini karşılayan bir veri gizliliği ve güvenliği politikası ve uyum programlarını tasarlayın.
  • Bu politikaları, şirketinizin uygulamalarını, şeffaf şekilde gösteren bir beyan haline getirip paylaşın.
  • Şirketiniz ve faaliyetlerinizle ilgili gelişmeleri göz önüne alarak politikalarınızı periyodik olarak güncelleyin.
  • Yönetici, çalışan, hizmet sağlayıcı ve taşeronlarınızı yükümlülüklerinin farkında olmaları için eğitin.
  • Etkin bir veri yönetim sistemi kurmayı ertelemeyin. Unutmayın, sonra aniden bir veri işleme faaliyetlerinize dair inceleme ya da teftişle karşı karşıya kaldığınızda çok daha ağır faturalar ödemek zorunda kalabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.