Kişisel Verileri Koruma Kurumu’na (KVKK) 2021 yılında bildirilen ve 25 milyondan fazla kişiyi etkileyen 48 veri ihlali, kişisel verilerin korunması için ciddi önlemler alınması gerektiğini ortaya koyuyor.
KVKK, 2017’den beri toplam 806 veri ihlali bildirimi aldı. Bu bildirimler sonucu veri ihlaline sebebiyet verdiği görülen tüm şirketlere KVKK tarafından farklı yaptırımlar uygulanıyor ve bu yaptırımlar şirketlerde hem maddi hem de manevi zararlara sebep oluyor. 2021 yılı boyunca 25 milyondan fazla kişiyi etkileyen 48 veri ihlalinin de şirketlere büyük olumsuz sonuçlar doğurduğu görülüyor. Alınmayan önlemler ve yerine getirilmeyen güvenlik sorumluluklarının şirketlere veri kayıpları ve cezalar olarak geri döndüğünü aktaran Siberasist Genel Müdürü Serap Günal, şirketlerin yaşadığı ihlallerdeki problemlerin KVKK uyumluluk sürecine dair doğru bildikleri yanlışlardan kaynaklandığına dikkat çekiyor.
1. “KVKK sürecinde danışmanlığa ihtiyacım yok.” KVKK uyumluluk sürecinde hukuk, teknoloji ve danışmanlık adımlarının göz ardı edilmemesi gerekiyor. Şirketlerin tam kapsamlı KVKK uyumlulukları için hem hukuki hem de teknik yönlendirmeler için alınacak danışmanlık ciddi önem arz ediyor.
2. “KVKK yalnızca büyük şirketleri kapsıyor.” En yaygın doğru bilinen yanlışlardan olan küçük işletmelerin KVKK kapsamına girmedikleri bilgisine karşılık KVKK’nın özel ya da kamu, büyük ya da küçük şirket ayrımı yapmaksızın, tüm tüzel kişileri kapsadığının altını çizmek gerekiyor.
3. “Teknoloji yazılımına gerek yok.” Kanun gereği hiçbir maddede teknolojik altyapı için bir yazılım ya da donanım ihtiyacı belirtilmiyor olsa da bazı maddelerin işlenmesi için sahip olunması gereken yazılımların var olduğu görülüyor. Özellikle verilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması adına şirketlerin teknik donanımlara sahip olması gerekiyor.
4. “KVKK uyumluluğum tamam, GDPR’ye ihtiyacım yok.” Özellikle AB üyesi ülkelerin vatandaşlarını istihdam eden ya da AB üyesi ülkelerle ticari ilişkileri bulunan şirketlerin sadece KVKK uyumlulukları yeterli değil. GDPR’de bulunan ve karşılığı KVKK’da olmayan maddelere özellikle dikkat edilmesi gerekiyor. Şartları taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR gerekliliklerini de yerine getirmeleri ve bu konuda danışmanlık almaları gerekiyor.