Veriye gözünüz gibi bakın, yoksa…

Türkiye’de yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), gelişen teknolojiye paralel olarak etki alanını da genişletiyor. Avrupa’da kullanımı 1995’li yıllara dayanan Veri Koruma Direktifi yaklaşımı baz alınan KVKK, rotasını Avrupa Birliği’nde (AB) 2018’de hayata geçen Veri Koruma Tüzüğü’ne (GDPR) yaklaştırıyor. İnternet sitelerine, oyunlara ve mobil uygulamalara telefon numaralarını, konum bilgilerini, isim ve soy isimlerini, alışkanlıklarını, yani kişisel bilgilerini veren kullanıcılar, artık verilerinin ne amaçla kullanıldığını, nasıl saklandığını, başkalarıyla paylaşılıp paylaşılmadığını, hangi tedbirlerle korunduğunu ve olası bir ihlalden nasıl etkileneceklerini de bilmek istiyor. Bu noktada kişisel verileri koruma kanunları, dünyanın neresinde olursa olsun, bireylerin temel hak ve özgürlüklerini, mahremiyeti ve kendi verilerini kontrol edebilme kabiliyetlerini gözeten kaldıraçlar olarak yer alıyor.

KVKK uyumluluğunun uzun bir maraton olduğunu vurgulayan Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, şirketlerin kullanıcı kişisel verilerini işleme konusunda artık çok daha titiz davranması gerektiğini vurguladı. Türkiye’nin kullanıcı verilerini koruma konusunda diğer Avrupa ülkeleriyle uyumlu hale gelebilmesi, gerekli durumlarda ülkeler arasında yapılacak veri alışverişi süreçlerinin sekteye uğramaması ve tüketicilerin dijital varlıklarını güvence altında kullanabilmesi için düzenleyici kurul da ihlalleri ağır şekilde cezalandırıyor. Ercüment Arı, Kişisel Verileri Koruma Kurumu’nun, belirli kriterlerde kayıt zorunluluğu getirdiği VERBIS (Veri Sorumluları Sicil Bilgi Sistemi) ile organizasyonları kamuya açık bir vitrine dönüştürdüğüne dikkat çekti. Buna göre, kanun koyucu otoriteye ait halka açık bu yapıda, organizasyonların emanet aldıkları birey verilerinin ne türde olduklarını, bunları ne kadar süre muhafaza ettiklerini, kimler ile paylaşıldığını, işleme amaçlarını ve ne gibi güvenlik tedbirleri ile korunduğu gibi bilgilerde şeffaflık sağlatarak, bireylere ve ilgili taraflara, kendi verilerini kontrol etme yetkinliği sunuyor. VERBIS sistemine kayıt zorunluluğu bulunurken, bu şarta uyulmaması durumunda 1 milyon TL’ye varan para cezası da gündeme gelebiliyor. Hangi sebeple olursa olsun, kullanıcı verileri bir şekilde ihlale uğrayan veri sorumlusu şirketin, durumu en geç 72 saat içerisinde KVKK’ya aktarması, etkisinin yüksek olduğu durumlarda da veri ihlalinden etkilenen veri sahiplerini bilgilendirmesi gerekiyor. Özellikle son zamanlarda yoğun şekilde, KVKK’nın resmi sayfasında ihlal bildirimleri ve Kurul’un aldığı yaptırım kararlarının halka açık şekilde duyurulması da kamuoyunun ve basının dikkatini çekiyor. Buradan hareketle şirketlerin veri ihlallerine karşı her zamankinden daha dikkatli olması, ilgili eğitimleri düzenlemesi, standartlar çerçevesinde çalışması ve güvenlikte tecrübeli profesyonellerle birlikte yol alması gerekiyor. Verilerle en çok işlem yapan sektörlerden biri olan çağrı merkezlerinin tüm iletişim süreçlerinde verinin en iyi şekilde korunması gerektiğini hatırlatan Ercüment Arı, “Global Veri Koruma Ofisi ile birlikte GDPR ve KVKK süreçlerini günlük hayatımızda çok yoğun olarak deneyimliyoruz. GPDR standartlarında ve BCR onayı almış ender veri koruması standartları, denetimleri ve süreçleri olan firmalardan birisiyiz” dedi.