Geçtiğimiz hafta Kişisel Verileri Koruma Kurumu’nun internet sitesinde yedi tane veri ihlal bildirimi yayınlandı. Veri ihlal bildiriminde bulunanların arasında Vodafone ve Toyota gibi tanınmış şirketler de yer alıyordu.
Veri ihlal bildirimi 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) gereğince, veriler yetkisiz kişiler tarafından ele geçirildiğinde 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve ilgililere yapılması gereken bir bildirim. Yani bir nevi “biz verileri kaptırdık” şeklinde kendini ihbar etme zorunluluğu.
Kurumun internet sitesinde yayınlanan bu veri ihlal bildirimlerindeki dikkat çekici konu, ihlal bildirimi yapan şirketlerin kendi sistemlerinden değil, hizmet aldıkları veri işleyenlerinden kaynaklı bir veri ihlali olması. Veri ihlal bildirimlerinde açıklanan hususlara göre, “İhlal, veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya siber saldırı olması” şeklinde gerçekleşiyor ve Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi bu durumu hizmet verdiği yerlere 12.07.2023 tarihinde bildiriyor.
KVKK’ya göre “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” Burdan hareketle, veri işleyenin başına bir şey gelirse, veri sorumlusu da idari para cezaları ve tazminat talepleri dahil tüm sonuçlar katlanacak demek.
Bu yaşanan veri işleyen kaynaklı veri ihlal bildirimlerinin ilki değil. KVKK’nın internet sitesinde benzer çok sayıda ihlale rastlanabilir.
Veri işleyenden kaynaklı veri ihlallerini engellemek için ne yapmalı?
Öncelikli olarak, veri işleyenin verdiği hizmetin kapsamı kadar, aldığı güvenlik tedbirleri de hizmet alınmadan önce değerlendirmeli. Hatta bu, hizmeti alıp almama konusunda bir karar kriteri olmalı.
Hizmet alınma aşamasında ise, mutlaka yazılı bir sözleşme yazılmalı ve veri işleyenin alacağı veri güvenliği tedbirleri ile veri sorumlusunun veri işleyeni denetim yükümlülüğü bu sözleşmede yazılmalı.
Kurum tarafından yayınlanan Veri Güvenliği Rehberinde Veri İşleyen-Veri Sorumlusu arasında yapılması gereken kişisel veri sözleşmesinin asgari unsurlarına yer veriliyor:
● Veri işleyen ile imzalanan sözleşme yazılı olmalı
● Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermeli
● Veri işleme faaliyeti, Veri sorumlusunun Kişisel Veri Saklama ve İmha Politikasına uygun olmalı
● Veri işleyenin süresiz sır saklama yükümlülüğü olmalı
● Herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun ve veri sorumlusunun bu ihlali derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğünü yerine getirilmesi sözleşmede yazılmalı.
Tabiki, sadece sözleşmeye hüküm koymakla yetmiyor. Aksi halde, her şeyin kağıt üzerinde kalma riski burada da var. Veri işleyenin aldığı teknik ve idari tedbirlerin (kullandığı güvenlik yazılımlarının, çalışanlarına eğitim aldırdığına dair belgelerin vs) takibinin yapılması, belirli aralıklarla veri işleyenin denetlenmesi de gerekir.
Tabiki, bazı durumlarda veri ihlallerini engellemek mümkün olmuyor, ama istenmeyen sonuçlarla karşılaşmamak için kısacası, veri işleyenleri iyi seçmek ve denetimi ve tedbiri asla elden bırakmamak gerek.
(Yazıyla ilgili görüş ve düşüncelerinizi [email protected] adresine göndererek yazarımızla paylaşabilirsiniz.)