20 Kas

İki yıl süren uyum süreci sonrası Avrupa Veri Koruma Tüzüğü (‘GDPR’), 25 Mayıs 2018 itibari ile yürürlüğe girdi. Bu süreçte Avrupa Birliği’nin ve kanunun uluslararası uygulama alanı ve etkisi nedeni ile tüm dünyanın odak noktası haline geldi.

GDPR veri koruma ile ilgili uygulama alanı konusunda birçok soruyu da beraberinde getirdi, özellikle; kanunun koyduğu yükümlülükler ve kuralların nasıl uygulanacağı, veri ihlalleri karşısında nasıl yaptırımlar olacağı, kanunun kimleri nasıl etkileyeceği ve bunun gibi daha birçoğu. Kanunun yürütülmesinde aktif bir şekilde rol oynayan veri koruma otoriteleri gün geçtikçe birçok konunun uygulamalar ile birlikte daha net hale geleceğini söylemektedir.

Her ne kadar GDPR veri ihlallerine ağır sonuçlar bağlamış olsa da, yürürlük tarihi ile birlikte geçen bu süreçte veri ihlalleri durmamış, birçok büyük teknoloji şirketinin de adının karıştığı adeta magazinsel ihlaller gerçekleşmiştir. Bu şirketler genellikle veri ihlali sonucu, yapılması gereken bildirim yükümlülüklerine tam anlamıyla uymamış ve bundan doğan sonuçlar ise hala devam etmekte olan bir süreç haline gelmiştir. GDPR getirdiği sistem ile bir veri ihlali oluşması durumunda bu ihlalin “veri koruma otoritelerine” bildirilmesi gerektiğini söylemektedir, aynı zamanda veri kişilerinin talepleri de bu mercilere bildirilmektedir.

CNIL, GDPR’ın yürürlüğe girmesi ile birlikte son 4 ayda gerçekleşen kişisel veri ihlallerine ve taleplere yönelik istatiksel bir çalıştırma oluşturmuştur. Gerçekleşen ihlallerin sayısı, türleri ve bildirimler ile ilgili bu çalışmaya göre rakamlar şu şekildedir:

25 Mayıs ve 1 Ekim arasında CNIL toplamda 33.727.384 kişiyi etkilediği düşünülen 742 adet kişisel veri ihlal bildirimi almıştır, bu kişiler Fransa ve başka ülkelerde bulunmaktadır. Bu bildirimlerden 695 tanesi gizlilik ihlalinden kaynaklı bildirimlerdir. CNIL’e göre bu kadar büyük bir gizlilik ihlali olmasının sebepleri ise şu şekilde ifade edilmiştir:

Kişisel veri ihlallerinin büyük çoğunluğu, veri gizliliğinin sağlanmasındaki eksiklikten ve verilerin doğruluğunun ve mevcudiyetinin sağlanamamasından kaynaklanmaktadır. Ayrıca birçok şirketin, verinin doğruluğu veya mevcudiyetinin ihlal edilmesi durumunda 72 saat içinde (bu GDPR ile getirilen bildirim yükümlülüğünün süresi içerisindeki zaman dilimidir, veri ihlali gerçekleştiğinde öncelikle veri koruma otoritesine gerekli bildirim yapılmalı, sonra veri otoritesi ile çizilecek yola göre hareket edilmelidir) veriyi geri almaya yönelik sistemleri hemen kullanmalarıdır.

Veri ihlallerinden etkilenen çalışma alanları:

Bildirimi yapılan veri ihlallerinden 185 tanesi konaklama ve yeme-içme alanlarından gelmektedir. Bunun sebebi; yakın zamanda bir rezervasyon şirketinin uğramış olduğu veri ihlalinden kaynaklanmaktadır. Bu ihlalden etkilenen servis sağlayıcı hemen müşterilerine gerekli bildirimi yapmış ve sonrasında yükümlülüklerini yerine getirmek için; müşterilerine oluşan ihlalden bahsedip haklarını hatırlatmış ve ülkelerine göre iletişime geçebilecekleri denetleme kurumlarının listesini vermiştir, son olarak ise sadece bu konu ile ilgili ulaşabilecekleri bir yardım hattı oluşturmuştur. CNIL’e göre bu şekilde bir yaklaşım ve uygulama veri ihlalleri sonucunda olması gereken tutumu göstermektedir.

İhlal nedenleri:

İhlal bildirimlerinin 421 tanesi, yani neredeyse yarısı, kötü niyetli yazılımlar veya oltalama/şifre avcılığı olarak adlandırılan ve hackerların zararlı siteleri güvenli site kılığına sokup, bireylerin gizli bilgilerini çalma işlemi sonucu hacklenmeleri, nedeni ile gerçekleşmiştir. Bildirimlere göre ihlallerden 62 tanesi yanlış alıcıya gönderilen veri sonucu, 47 tanesi çalınan veya kaybolan cihazlar nedeni ile ve son olarak 41 tanesi ise verilerin istenmeden yayımlanması sonucu oluşmuştur. Dolayısı ile ihlallerin çoğu hackerlar gibi kötü niyetli bireylerin verileri çalmaları ve çalışanların istenmeyen dikkatsizlikleri nedeni ile oluşmuştur. Geri kalanların ise nedeni, bildirimi yapan veri sorumlusu tarafından belirlenememiştir veya veri ihlali, şirketin kendi içerisinde kötü niyetli olarak gerçekleşmiştir.

CNIL şirketlere düzenli olarak güvenlik bakımları, veri tabanı incelemeleri, uygulama sistemleri incelemeleri, kontrolleri ve güncellemeleri yapmalarını, çalışanlarını yine düzenli olarak riskler ve çıkabilecek problemlere karşı bilgilendirmeleri gerektiğini, bu şekilde ihlallerin çoğunun engellenebileceğini söylemiştir.

CNIL’in Konuya Yaklaşımı:

Veri sorumlularının ihlali öğrenmelerinden itibaren 72 saat içinde bildirim yapma yükümlülüklerine aykırı davranmaları sonucu, daha katı bir yaklaşım tutunacağını söyleyen CNIL, 10 milyon avro veya şirketlerin yıllık karının %2’sinden hangisi daha yüksekse bunun, GDPR uyarınca para cezası olarak uygulanacağını da hatırlattı. Bu 72 saatlik bildirim süresine önem veren CNIL, süreye uyulduğu ve gerekli bildirimler yapıldığı takdirde şirketlere sorun çözümlerinde ve ihlali azaltma yönünde yardımda bulunacağını da dile getirdi.

Gerekli olduğu durumlarda CNIL, şirketlerle şu amaçlar için iletişime geçmeyi planlamaktadır:

CNIL, ihlal öncesi ve sonrası gerekli önlem ve sonrasındaki uygulamaların alınmış olup olmadığı hakkında inceleme ve bilgilendirme yapma, gerekli görülen yerlerde veri sorumlusunu geliştirmesi gereken konular ile ilgili bilgilendirme ve görüş belirtme gibi şekillerde şirketler ve veri sorumluları ile iletişime geçebilecektir. Aynı zamanda CNIL bir ihlal sonrasında doldurulması gereken internet formlarını ve sorumlu polis servislerini gösterebilecek ve bu kurumlara gerekli yönlendirmeleri yapacaktır.

Veri kişilerine(süjelerine) her halükarda bildirim yapılması zorunluluğu yoktur, veri kişilerine bildirimin yapılması için bu kişilerin hakları veya özgürlükleri üzerinde ciddi bir risk tehlikesi oluşmuş olması gerekmektedir. Dolayısı ile CNIL bu süreçte veri kişisine bildirim yapılıp yapılmamasına yönelik de şirketlere gerekli yardımlarda bulunacağını söylemiştir. Veri kişilerine yapılacak bu istisnai bildirim ise 25 Mayıstan beri CNIL tarafından sadece bir kez kullanılmıştır.

Veri ihlallerinin gerçekleşmesinin önlenmesi büyük önem taşımakla birlikte, günümüzde bu ihlallerin gerçekleşmesinin muhtemel bir senaryo olduğu açıktır, bu durumlarda şirketlerin risk yönetimleri ve sonrasında veri otoriteleri ile birlikte çalışıp, GDPR ile gelen yükümlülüklerine uymaları, bu risklerin, ihlallerin ve oluşabilecek zararların en aza indirilmesinde büyük bir fayda sağlayacaktır.

Bu makale CNIL ‘in 16 Ekim 2018 tarihli “Violations de données personnelles: 1er bilan après l’entrée en application du RGPD” alıntılanarak yazılmıştır.

Yazar: Begüm Aksoy

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone