Kullanıcı verisini koruyamayan kurumları hangi cezalar bekliyor?
Kişisel verileri koruma yasaları ağırlaşıyor
Üç yılı aşkın süredir yürürlükte olan Kişisel Verileri Koruma Kanunu (KVKK), yapılan son güncellemelerle çok daha caydırıcı hale geliyor. Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, yöneticileri genişleyen yasalar karşısında her zamankinden daha dikkatli olmaları konusunda uyarıyor.
Ülkemizde üç yıldan fazla süredir yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), gelişen teknolojiye paralel olarak etki alanını genişletiyor. Avrupa’da kullanımı 1995’li yıllara dayanan ‘Veri Koruma Direktifi’ yaklaşımı baz alınan KVKK, çağın ihtiyaçlarına uygun hale gelebilmek adına rotasını Avrupa Birliği’nde 2018 yılında hayata geçen Veri Koruma Tüzüğü’ne (GDPR) doğru yaklaştırıyor. KVKK uyumluluğunun uzun bir maraton olduğunu vurgulayan Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, şirketlerin kullanıcı kişisel verilerini işleme konusunda çok daha titiz davranması gerektiğini hatırlatıyor.
Yasaları takipsizliğin cezası milyonlarla ölçülüyor
Türkiye’nin kullanıcı verilerini koruma konusunda diğer Avrupa ülkeleriyle uyumlu hale gelebilmesi, gerekli durumlarda ülkeler arasında yapılacak veri alışverişi süreçlerinin sekteye uğramaması ve tüketicilerin dijital varlıklarını güvence altında kullanabilmesi için düzenleyici kurul, yasa ihlallerini ağır şekilde cezalandırıyor. Ercüment Arı, bu cezalardan teknoloji devlerinin bile kurtulamadığını belirtirken, geçtiğimiz aylarda kullanıcı fotoğraflarına izinsiz erişime olanak sağlayan bir açıklığı engelleyemeyen Facebook’un, KVKK tarafından 1 milyon 650 bin TL’lik cezaya çarptırıldığı örneğini veriyor.
Tüketicilerin kendi verilerini kontrol edebilme ve şeffaflık beklentisi yasalaştı
İnternet sitelerine, oyunlara ve mobil uygulamalara telefon numaralarını, konum bilgilerini, isim ve soy isimlerini, alışkanlıklarını kısacası sayısız kişisel bilgilerini veren kullanıcılar, artık verilerinin ne amaçla kullanıldığını, nasıl saklandığını, başkalarıyla paylaşılıp paylaşılmadığını, hangi tedbirlerle korunduğunu ve olası bir ihlalden nasıl etkileneceklerini bilmek istiyor. Bu bağlamda kişisel verileri koruma kanunları, dünyanın neresinde olursa olsun, bireylerin temel hak ve özgürlüklerini, mahremiyeti ve kendi verilerini kontrol edebilme kabiliyetlerini gözeten kaldıraçlar olarak yer alıyor.
Ercüment Arı, Kişisel Verileri Koruma Kurumu’nun, belirli kriterlerde kayıt zorunluluğu getirdiği VERBIS (Veri Sorumluları Sicil Bilgi Sistemi) ile organizasyonları adeta kamuya açık bir vitrine çıkarttığını belirtiyor. Arı’nın verdiği bilgiye göre, kanun koyucu otoriteye ait halka açık bu vitrinde, organizasyonların emanet aldıkları birey verilerinin, ne türde olduklarını, ne kadar zaman muhafaza ettiklerini, kimler ile paylaşıldığını, işleme amaçlarını ve ne gibi güvenlik tedbirleri korunduğunu gibi bilgilerde şeffaflık sağlatarak, bireylere ve ilgili taraflara, kendi verilerini kontrol etme kabiliyeti sağlanıyor. VERBIS sistemine kayıt zorunluluğu bulunurken, bu şarta uyulmaması durumunda 1.000.000 TL’ye varan para cezası gündeme gelebiliyor.
Veri ihlaline uğrayan şirketin bildirimi için yalnızca 72 saati var
Sebebi ne olursa olsun, kullanıcı verileri bir şekilde ihlale uğrayan veri sorumlusu şirketin, durumu en geç 72 saat içerisinde KVKK’yı, akabinde etkisinin yüksek olduğu durumlarda veri ihlalinden etkilenen veri sahiplerini de bilgilendirmesi gerekiyor. Cezası 1.000.000 TL’ye varan bu düzenleme, güvenliğin firmalar için ne kadar önemli olduğunu gözler önüne seriyor. Özellikle son zamanlarda yoğun şekilde, KVKK’nın resmi sayfasında ihlal bildirimleri ve Kurulun aldığı yaptırım kararlarının halka açık şekilde duyurulması, kamuoyuve basının dikkatini çekiyor. Buradan hareketle şirketlerin veri ihlallerine karşı her zamankinden daha dikkatli olması, eğitimler düzenlemesi, standartlar çerçevesinde çalışması ve güvenlikte tecrübeli profesyonellerle birlikte yol alması gerekiyor.
Çağrı merkezleri de risk altında!
Çağrı merkezlerinin verilerle en çok işlem yapan sektörlerden birisi olduğunu, bu sebeple tüm iletişim süreçlerinde verinin en iyi şekilde korunması gerektiğini dile getiren Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, “Teleperformance olarak Global Veri Koruma Ofisi ile birlikte GDPR ve KVKK süreçlerini günlük hayatımızda çok yoğun olarak deneyimliyoruz. GPDR standartlarında ve BCR onayı almış ender veri koruması standartları, denetimleri ve süreçleri olan firmalardan birisiyiz” dedi.
Teleperformance, Türkiye’de 2016 yılında ilk ‘Veri Koruma Sorumlusu’ pozisyonu ve ‘Veri Koruma Ofisi’ni açan kurumlardan biri olmasıyla dikkat çekiyor. Yerelde KVKK’nin, globalde ise GPDR’ın iyi pratiklerini baz alan şirket, personellerini işe başlatmadan önce zorunlu eğitimlerden geçiriyor. İstanbul, Uşak, Balıkesir, Antalya, Trabzon’da yapılan sınıf eğitimleri, online eğitimlerle destekleniyor. Teleperformance’da müşteri verileri; kanuna uyum çerçevesinde karşılıklı mutabakata varılan sözleşmeler, ek protokoller, çalışma talimatları gibi idari ve global standartlar ve güvenlik araçlarını barındıran teknik tedbirler, esas alınarak korunmaya dikkat ediliyor. Ayrıca müşteriler, talepleri doğrultusunda ve gerektiğinde konusunda uluslararası sertifikaları bulunan profesyonel çalışanlar tarafındanen güncel KVKK gereksinimleri hakkında kapsamlı olarak bilgilendiriliyor.