Siber saldırılar, alınmayan önlemler, yerine getirilmeyen sorumluluklar ve doğru güvenlik altyapılarının oluşturulmaması, şirketlerde veri ihlallerine neden oluyor
Kişisel verilerin korunması için ciddi önlemlerin alınması ve gerekli sorumlulukların yerine getirilmesi gerekiyor. Şirketler, almadıkları önlemler ve yerine getirmedikleri sorumluluklar neticesinde veri ihlalleri yaşarken, KVKK tarafından da ciddi cezalarla karşılaşıyor. Bunun en temel nedenlerinden birinin KVKK uyumluluk sürecine dair doğru bilinen yanlışlardan kaynaklandığını belirten Siberasist Genel Müdürü Serap Günal, şirketlerin KVKK konusunda düştüğü 5 yanlışa dikkat çekiyor.
1. VERBİS’e kayıt süreci yine ertelenir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına yönelik VERBİS’e kayıt sürecinin Haziran 2020’ye kadar ertelenmiş olması, şirketlerde yine ertelenebilir algısını oluşturdu. Aslında KVKK’nın şirketlere bu konuda tanımış olduğu toleransın bir kez daha sağlanacak olması inancı, şirketlerin büyük bir kumar oynamasına neden oluyorken, gerçekleştirilmeyen sürecin zararlarının da yansımalarıyla karşılaşabileceklerini gösteriyor. Gerekli şartları taşıyan veri sorumlularının mutlaka kayıt süreçlerini tamamlamaları öneriliyor.
2. KVKK KOBİ’leri kapsamıyor, büyük şirketleri kapsıyor. Doğru bilinen yanlışlar arasında en çok dile getirilenlerden biri de KVKK’nın sadece büyük şirketleri kapsıyor olduğudur. Kanunun özel ya da kamu, büyük ya da küçük şirket ayrımı yapmadığını, esas olarak tüm tüzel kişileri kapsadığının altını çizmek gerekiyor.
3. KVKK sürecinde danışmanlık almaya ihtiyaç yok. KVKK uyumluluk sürecinde şirketlerin 3 temel noktayı göz ardı etmemeleri gerekiyor. Hukuk, teknoloji ve danışmanlık adımları, şirketlerin tam kapsamlı KVKK uyumlulukları için önem arz ediyor. Eğer şirketler sadece hukuk boyutlarını kendi hukuki birimleri ile çözmeye kalkışırsa, teknolojik altyapı gereksinimlerini göz ardı edebilirler. Hem hukuki hem de teknik bilgilerin yönlendirmeler ve alınacak danışmanlıklar doğru bir şekilde uygulanması gerekiyor.
4. Teknoloji tarafında herhangi bir yazılıma gerek yok. Kanun gereği hiçbir maddede teknolojik alt yapı için bir yazılım ya da donanım özellikle belirtilmiyor olsa da bazı maddelerin işlenmesi için gerekli yazılımlara sahip olunması gerektiği görülüyor. Özellikle verilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması adına teknik donanımlara sahip olunması gerekiyor. Bu teknik donanımların hukuki açıdan da desteklenmesi gerektiğini unutmamak lazım.
5. KVKK uyumluluğum tamam, GDPR’ye ihtiyacım yok. Özellikle AB üyesi ülke vatandaşlarını istihdam eden ya da üye ülkelerle ticari ilişkileri bulunan şirketlerin sadece KVKK uyumlulukları yeterli olmuyor. GDPR’de bulunan ve karşılığı KVKK’da olmayan maddelere dikkat edilmesi gerekiyor. Şartları taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR çalışmalarını da gerçekleştirmeleri ve bu konuda danışmanlık almaları gerekiyor.