18 Haziran 2020’de gerçekleştirdiğimiz Webinarımızda COVİD-19 sürecinde ve sonrasında yaşanan değişimlerin KVKK açısından hangi riskleri barındırdığı ve bu riskleri ne şekilde yönetebileceğimizi ele aldık. VERBİS’e kayıt için son tarih olan 30 Eylül 2020 yaklaşırken aşağıdaki soruları yeni normal çerçevesinden ele alarak konunun uzmanlarına yönelttiğimiz  ve aşağıdaki soruların cevaplarını verdiğimiz webinarımızı izleyebilirsiniz.

• KVKK Uyumluluk Süreci VERBİS kaydı ile tamamlanır mı yoksa asıl VERBİS kaydı ile mi başlar?
• Veri ihlali konusunda örnek vakalardan hangi dersleri almalıyız?
• Sadece idari ve hukuki tedbirlerin tamamlanması ile KVKK uyumlu hale gelinebilir mi?
• KVKK Teknik Tedbirler yeni normalde nasıl ele alınmalı?
• Hukuk, yönetişim ve siber güvenlik bir arada nasıl ilerler?
• Diğer regülasyonlar ile KVKK ilişkisi nasıl kurulmalı?
• Veri envanterinde belirtilen saklama süreleri neye göre belirlenmeli?
• Mevcut şirket sözleşmeleri KVKK uyumluluk sürecinde hani koşullarda güncellenmeli?
• Aydınlatma ve Açık Rıza metinleri hangi açılardan ayrışıyor?
• VPN kullanımı KVKK açısından hangi riskleri barındırıyor?
• Mevcut veri güvenliği çözümlerimiz yeterli mi? Eksikleri nasıl belirleriz?
• Veri ihlali yaşadığımızda, öncesinde ve sonrasında neler yapmalıyız?
• Şirket büyüklüklerine göre veri güvenliği tedbirleri ne şekilde konumlandırılır?
• Veri envanterinde gözden kaçan başlıklar nelerdir?
• İş süreçleri bağlamında veri envanteri nasıl oluşturulmalı?
• VERBİS’e kayıt yaparken dikkat edilmesi gereken hususlar nelerdir?

 

SORU-CEVAP

Çalışanlarımız evden çalışıyor. Kendi bilgisayarlarını kullanıyor. Biz bazı önlemleri almamıza rağmen bu bilgisayarları tam olarak kontrol edemiyoruz ve VPN ile bağlantı sağlanıyor? Bu konuda ne yapabiliriz? Bu bilgisayarlarda sadece antivirüs programları var.

Öncelikle kullanılan VPN’in kendisinde zafiyet olup olmadığından emin olunmalı. Sonrasında ise çalışanlar mutlaka şirket verilerine uzaktan erişirken çok faktörlü doğrulama ile kimlik doğrulaması yapılmalı aksi takdirde saldırganlar tek şifre ile girilebilen açık RDP uygulamaları üzerinden sisteme sızabiliyorlar. Ayrıca çalışanların kullandığı antivirüs/end point protection çözümlerinin güncel olup olmadığı kontrol edilmeli. Çalışanların ortak ağ üzerinden internete bağlanmadığından da emin olunmalı, çalışanlara yalnızca kendilerinin bağlanacağı bir internet hizmeti şirket tarafından sunulmalı uzaktan çalışma döneminde.


BYOD konusunda kurumlar politika geliştirmesi ve iş sözleşmesine ekletmesi, kurumun sorumluluğu yerine getirmesi için yeterli olur mu?

Şirket bilgilerinin kişisel bilgisayarlardan erişimi temelde sorunlu bir yaklaşım. Erişim ve kontrol imkanının azalması sebebiyle kişisel verilere gelene kadar zaten pek çok sorunla karşı karşıya kalınması ihtimali mevcuttur. Kişisel veriler açısından değerlendirme yaptığımızda ise, çalışanın kendi bilgisayarı ile çalışması halinde; çalışırken uyması gereken kuralların bir talimatname şeklinde hazırlanarak kendisine iletilmesi, bu talimatnameye uygun davranılıp davranılmadığının denetlenmesi kanaatimce yeterli olacaktır. Tabi ki, çalışanın kötü niyetli olduğu durumlarda şirket bilgisayarı / çalışan bilgisayarı arasında pek fark olmayacak, yeterli tedbirler alınmadıysa iki durumda da veri sorumlusu olarak şirketin sorumluluğuna gidilecektir. Böyle bir durumda da disiplin cezası / uğranılan zararın rücu edilmesi v.s. hükümleri belirttiğiniz gibi iş sözleşmesinde bulundurmak faydalı olacaktır.

Örneğin İdari tebdirlerde erişim yönetimi politika ve prosedürleri ve saklama imha gibi politikası gibi alanlar var. Teknik tedbirlerle bunun gibi idari tedbirleri nasıl bir arada değerlendireceğiz? idari ve teknik kısımları birbirinden bağımsız olarak gerçekleştiremez miyiz?

KVKK bütüncül yapıda ilerlemesi gereken bir süreçtir. Kullanılan belgelerde hangi tür verilerin bulunduğunu idari tedbirler alınırken tespit ediliyor çoğu zaman bunun akabinde ise kişisel verilerin tutulduğu alanlar belirlenip buralara uygun çözümleri konumlandırmak teknik tedbirler aşamasında gerçekleşiyor. Aslında bu iki süreç birbirinde bağımsız değil hatta birbirini takip eden bir sarmal gibi ilerlemeli. Örneğin saklama imha politikası tek başına bir idari tedbir olarak değerlendirilemez çünkü saklanacak ve imha edilecek verilerin tespiti idari ve teknik sürete birlikte ilerliyor. Hard copy belgeler idari süreçte incelenirken veritabanlarında yer alan kişisel verilein tespiti için teknik bir inceleme yapılması gerekmektedir.

Umut Bey ve Neslihan Hanım'a bir sorum var. çalıştığımız bir çok 3. taraf firma var. Bu firmalarla kişisel veri aktarıyoruz ama bu firmaların hangi güvenlik önlemlerini aldıklarını bilmiyoruz. Sözleşmemizde tüm ihlallerin bu firmalar sorumluluğunda olduğunu yazdık. Bir veri ihlali olursa tüm cezayı bu firmalar mı karşılar? Sözleşmeye yazdık ama veri sorumlusu biziz sonuçta?

İmzalanacak olan veri işleme sözleşmesinde hangi güvenlik önlemlerinin alınması gerektiğinin bildirilmesi faydalı olacaktır. Veri işleyenin inisiyatifine bırakılması halinde, yeterli güvenlik önleminin alınması ihtimali kanaatimce azalacaktır. Malum olduğu üzere, herhangi bir cezai yaptırım halinde, sözleşmesel ilişki ile bu cezanın sözleşmenin diğer tarafına yansıtılması mümkündür. Ancak Borçlar Hukuku’nun temel ilkeleri olarak; bu sözleşmenin de emredici hukuk kurallarıyla bağlı olduğunu, kimsenin kendi kusuruna dayanan bir zarar sebebiyle üçüncü şahıslardan tazminat isteyemeyeceğini hatırlatmak isterim. Burada sözleşmenin teminatlandırılması, iyi niyetli çözümler v.s. ayrıntılara girmiyorum ancak veri işleyene rücu edecekseniz dahi, veri işleyenin kusuru oranında rücu edebileceğinizi, eğer tüm kusur sizdeyse, rücu etmenizin imkanı olmayacağını belirtmek isterim.

Verilerin yurt dışına gönderilmesine ilişkin olarak, örneğin zoom üzerinden yapılan etkinliklerde kayıtların zoom tarafından yurt dışı serverlarda tutulması bu kapsamda değerlendirilebilir mi?

Evet, değerlendirilebilir.

Merhaba, özellikle pandemi sürecinde online geçiş ile ilgili olarak Verilerin Verilmesi zorunluluğu oluşturan uygulamalar var. Örneğin bir öğrenci olarak sınavlarımız online gerçekleştirilirken bazı üniversiteler kamera ve mikrofon açılmasını zorunlu kılıyor burada sınava girebilmek için kişisel verileri vermek zorunluluğu doğuyor. Yanlış söylüyorsam affedin ama Kişisel Verilerin Verilmesi hizmet alınmasının bir ön şartı olamaz diye biliyorum, bu kapsamda anayasal bir hak olan eğitim hakkının kişisel veri koşuluna bağlanması hakkında ne düşünüyorsunuz?

Kanun uyarınca kişisel verilerin işlenmesi için belirli şartlar öngörülmüştür, bunlar özetle; 1) diğer, 2) diğer başlığı altına girmeyen konularda “açık rıza” alınmasıdır. “Diğer” başlığı altındaki en önemli ve güçlü madde “kanunlarda açıkça öngörülmesi”dir.  Sınava girişte, sınava girenin kimliğinin tespiti, sınava girmesi gereken kişi ile sınava girenin aynı kişi olduğunun tespiti kanundan kaynaklanan yükümlülüklerdir. Sınav mahaline girerken kimliğinizi göstermeniz, masanın üzerine, gözetmenin incelemesine izin vermeniz gibi. Yani aslında bu manada verilerinizin işlenmesi, daha büyük bir amaca hizmet ediyor. Tersinden baktığımızda, sizin yerinize başka birisinin sınava girip kasten size düşük not aldırmasını da istemezsiniz. Yani kanundaki söz konusu düzenleme aslında sizin verilerinizi de koruma amacı taşıyor. Hizmet sunumu açık rıza şartına bağlanamasa da, kanunun 5. Maddesindeki işleme şartlarından biri mevcutsa, veriler açık rıza olmaksızın işlenebilmekte, kişisel verilerin iletilmemesi halinde ise hizmet verilmesinden kaçınılabilmektedir. Örneğin, kimliğinizi göstermeden sınav alanına girmeniz mümkün olmaz.

VERBİS Kaydını detaylı olarak çalışmadığımızda ya da eksik/yanlış bilgi verdiğimizde bunun kontrolü nasıl yapılacak? KVK Kurumu'nun bununla ilgili denetim çalışmaları ne zaman başlar sizce?

Kurul bünyesine yoğun bir şekilde denetçi ve danışman alımına başladı son 6 ay içerisinde bu da gsteriyor ki yakın zamanda finansal denetimler gibi düzenli bir şekilde kurul da şirketleri kişisel verileri koruma kapsamında denetlemeye başlayacak. Benim öngörüm Verbis’e kayıt tarihlerinin sonlanmasıyla birlikte başlayacağı yönünde.

Neslihan Hanım'a bir soru sormak istiyorum. 3. taraflarla KVKK kapsamında sözleşmelerimizi aylar önce yeniledik. Veri işleyenlerle birlikte veri sorumluluları müştereken sorumlu olduğu belirtiliyor Kanunda. Fakat 3. taraflar da evden çalışmaya geçtiler ve teknik tedbirler konusunda bu veri işleyenlerin sözleşmede yer alan süreçleri değişti. Bu veri işleyenlerle yeniden mi sözleşme yapmamız gerekiyor? Şu an alınan teknik tedbirleri denetlemekte zorlanıyoruz çünkü?

Veri sorumlusu-veri işleyen sözleşmesinde eğer yer alan veri işleme kapsamında, amaçlarında veya işlenen kişisel veriler kapsamında bir değişiklik varsa sözleşme yenilenmeli elbette ama aksi takdirde yenilenmesine gerek yoktur. Fakat şunu unutmamalıyız ki veri sorumlusu veri işleyenin aldığı idari ve teknik tedbirleri kontrol ve takip etmekle yükümlüdür. O yüzden şu anda uzaktan çalışma dönemine geçilmesiyle veri işleyen önlemlerini almış mı almamış mı, VPN güvenliğini sağlamış mı bunları kontrol etmek de Veri Sorumlusunun yükümlülüğündedir. Herhangi bir veri sızıntısı durumunda Veri sorumlusu da bu ihlalden sorumludur bunu unutmamak gerekiyor.

Kurulun Bulut kullanımında, yine 9. maddeye atıfta bulunup, Açık rıza alınmasını adreslemesi, senelerdir taleplere rağmen güvenlik ülkeler ve bulut sağlayıcılar kısmını sürümcemede bırakması konusunda görüşünüz nedir?

Öncelikle, yayınlanan asgari özelliklerin bulunduğu ülkeleri listelemek çok zor ve tutarsız sonuçlar doğurur. Aslında kanundaki bu yöndeki hükmün sorunlu olduğunu düşünüyorum. Ülkenin güvenli olup olmadığına bir kurulun karar vermesini beklemek çok doğru değil. Birbirine entegre ekonomilerde verilerin yurtdışına çıkartılmasının yasaklanması pek makul bir çözüm değil. Burada münferit olarak alınacak tedbirlere odaklanılmalı diye düşünüyorum.

Çalışanlara ne kadar farkındalık eğitimi verirsek verelim yine de şirkette her gün veri ihlali oluyor KVKK'ya göre. En basitinden; çalışanlar kendi alanları dışında yer alan departmanların veritabanına giriş yapabiliyor ya da e mail ile birbiriyle paylaşıyor. Bunları nasıl engelleriz teknik tedbirler kapsamında?

Elbette tek başına farkındalık yeterli olmayacaktır bu durumda. Çalışanların kendi iş süreçlerinde kullanması gereken belgeler ve alanlar dışında herhangi bir yere erişememeli. Bunun için en basit yöntem olarak active directoy kullanılmasını önerebilirim. E-mail ile paylaşılması konusunda da hem e-mail güvenliği sağlanmalı hem de daha güçlü bir önlem alınmak istenirse de DLP ile belirli kurallar yazıp çalışanların kişisel verileri belirli kişiler dışında paylaşılması önlenebilir veya paylaşıldığında admin’e bir uyarı mesajı gönderilir bu sayede kimin paylaştığı tespit edilir ve uyarıda bulunulabilir.

 

KONUŞMACILAR

Moderatör
Erdem Eriş
CyberArts
Kurucu & Genel Müdür

Neslihan Kocacık
CyberArts
KVKK Danışmanı

Güniz Çiçek
Elmadağ Avukatlık & Danışmanlık
Avukat

Umut Şensu
Avukat

< Önceki Sonraki >