Bilişim Dünyası

KVKK Cezası Alan Şirketler: Veri İhlali Sonrasında Yaşananlar

· 8 dakika okuma · 0
KVKK Cezası Alan Şirketler: Veri İhlali Sonrasında Yaşananlar

Merhaba,

Fark ettim ki Türkiye'de biz IT'cilerin bilişim hukuku alanındaki gelişmeleri takip edebileceği güzel bir platform bulmak güç. Ben de bu kategoride dilim döndüğünce sizlere bildiklerimi aktarmak istiyorum. Bu yazımda 2023 yılında Kişisel Verileri Koruma Kurulu'nun (KVKK) verdiği cezaları ve şirketlerin yaptığı tekrarlayan hataları ele alacağım.

KVKK Nedir, Kısaca Hatırlayalım

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016'dan beri yürürlükte. Avrupa'nın GDPR'ına benzer şekilde kişisel verilerin işlenmesini, saklanmasını ve aktarımını düzenliyor. Kurulun idari para cezası verme yetkisi var ve bu yetki giderek daha aktif kullanılıyor.

2023'te Öne Çıkan Karar Tipleri

Kurulun 2023 yılı kararlarına baktığımızda tekrarlayan temalar göze çarpıyor:

  • Veri ihlali bildirimi gecikmesi: Kanun, veri ihlalini öğrenen veri sorumlusunun 72 saat içinde Kurul'a bildirmesini zorunlu kılıyor. Pek çok şirket bu süreyi aşmış.
  • Yetersiz teknik tedbirler: Şifrelenmemiş veri tabanları, zayıf erişim kontrolleri, güncel olmayan sistemler. Temel siber güvenlik önlemleri alınmadan veri işlemek ağır cezalara yol açıyor.
  • Aydınlatma yükümlülüğünün ihlali: Kişilere verilerinin nasıl kullanıldığının açıkça bildirilmemesi.
  • Üçüncü taraflarla hukuka aykırı veri paylaşımı: Müşteri verilerini tedarikçilerle veya iş ortaklarıyla sözleşme olmadan paylaşmak.

IT Departmanını En Çok İlgilendiren Konular

Biz IT'ciler olarak şu konulara özellikle dikkat etmemiz gerekiyor:

  • Veri envanteri: Kurumunuzda hangi kişisel verilerin tutulduğunu, nerede saklandığını ve kim erişebildiğini bilmiyorsanız uyum sağlamanız mümkün değil. VERBİS kaydı bu envanteri gerektiriyor.
  • Erişim logları: Kim hangi kişisel veriye ne zaman erişti? Bu logları tutmak hem ihlali tespit etmek hem de Kurul denetimine hazır olmak için şart.
  • Veri silme prosedürleri: Saklama süresi dolan kişisel veriler imha edilmeli. Sonsuz saklama hem hukuki hem teknik risk.
  • Şifreleme: Kişisel veri içeren veritabanları ve dosya sistemleri şifrelenmeli. Laptop kaybolduğunda veya sunucu ele geçirildiğinde şifreleme hayat kurtarıyor.

Veri İhlali Yaşandığında Ne Yapmalı ?

Bak bu kısım önemli arkadaşlar: 72 saat çok kısa. Olay gerçekleştiğinde panikle vakit kaybetmemek için önceden hazırlık şart.

  • Olay müdahale planınızda KVKK bildirimi adımı olmalı
  • Hukuk departmanı veya danışmanınızla koordinasyon prosedürü hazır olmalı
  • İhlal bildirimi yapılacak KVKK portalı ve gerekli bilgiler önceden bilinmeli
  • Etkilenen kişilere bildirim metni taslağı hazır tutulmalı

Cezalar Ne Kadar ?

2023 itibarıyla Kurul'un uygulayabileceği idari para cezaları 15.000 TL ile 1.000.000 TL arasında değişiyor (güncel alt/üst limitler için Kurul kararlarını takip edin). Tekrarlayan ihlallerde ceza ikiye katlanıyor. Finansal yaptırımın yanında itibar kaybı da hesaba katılmalı.

Bu konuyla ilgili ilerleyen yazılarımda teknik uyum adımlarını daha detaylı ele alacağım.

İyi Günler Dilerim,

Bu yazıyı paylaş:

X'te Paylaş LinkedIn