DOLAR 7,465
EURO 9,021
PARİTE 1,208
ALTIN 441,226
FAİZ 14,760
BİST 1.524,4
BİST30 1.653,8
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul 3°C
Kar Yağışlı

Veri Güvenliği

14.08.2020

Veri güvenliği, günümüzde bilişim sistemlerinin gelişimi düşünüldüğünde oldukça geniş bir alanı kapsamaktadır. Bilgisayar haberleşme teknolojileri konusunda bilgi sahibi olan, bilgisayar programlama alanında standardın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren kişi[1] olarak tanımlanan hacker saldırıları sonucu veriler hukuka aykırı olarak ele geçirilmektedir. Kişisel Verileri Koruma Kurumu, bu saldırılara karşı veri sorumlularının alması gerekli önlemleri tahdidi olarak saymamıştır. Ancak Kişisel Veri Güvenliği Rehberi’nde teknik tedbirlere ilişkin özet tablo yayınlanmıştır. Burada ; yetki matrisi yetki kontrol erişim logları kullanıcı hesap yönetimi ağ güvenliği uygulama güvenliği şifreleme sızma testi saldırı tespit ve önleme sistemleri log kayıtları veri maskeleme veri kaybı önleme yazılımları yedekleme güvenlik duvarları güncel anti-virüs sistemleri silme, yok etme veya anonim hale getirme, anahtar yönetimi başlıklarının sağlanması gerektiği vurgulanmıştır. İşveren kullanmış olduğu yazılımlarda bu şartların sağlandığını kontrol etmelidir. Aksi takdirde işçilerin ve müşterilerinin verilerine ilişkin ihlal gerçekleşmesi ihtimali yüksek olacaktır. Herhangi bir siber saldırı sonucunda işveren, kuruma bu ihlali derhal bildirmekle yükümlüdür. Kurum, en yüksek miktardaki idari para cezalarını veri güvenliği ihlali halinde vermektedir. Kurumun veri güvenliği ihlali halinde 2020 yeniden değerleme oranı sonucu 27.040,00-TL ile 1.802.641,00-TL arasında idari para cezası verme yetkisi bulunmaktadır.

Facebook Hakkında Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Kararında ‘…1) Yukarıda gerekçeleriyle ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL oy birliğiyle,

2) Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13.09.2018 – 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL oy birliğiyle idari para cezası uygulanmasına, karar verilmiştir.’

Karar, Kişisel Verileri Koruma Kurumu’nun en yüksek miktarlı idari para cezası kararlarından birisi olup, bu da Kurum’un veri güvenliğine verdiği önemi göstermektedir.

Marriott International Inc. hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Karar Özeti

‘- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

– Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, 

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.’

Kurum’un vermiş olduğu Marriot International’a yönelik kararda veri güvenliği ihlalinin yanı sıra bu ihlali bildirme yükümlülüğünden bahsetmektedir. Dolayısıyla veri güvenliğini ihlal edecek bir eylem gerçekleştirildiği takdirde şirket, en kısa sürede Kişisel Verileri Koruma Kurumu’na bildirim yaparak bu ihlalden kimlerin etkilendiğini/etkilenmiş olabileceğini beyan etmelidir.

[1] Ufuk ERİŞ, Gümüşhane üniversitesi Elektronik İletişim Dergisi, Eylül 2011 sayı 2, sf.2

*
YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.