Kanun’un 12’nci maddesinde düzenlenen veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri; kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek ile muhafazasın sağlamaktır. Bunların sağlanabilmesi için alınması gereken uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.
Her türlü teknik ve idari tedbir nitelemesi çok geniş bir alan çizmektedir. Sonuçta alınan her tedbirin bir maliyeti var. Gerekli olduğuna karar verdiğimiz tüm tedbirleri aldık ama yine de bir veri ihlali yaşanırsa ne olur? Gerekli olmayan bir tedbir nasıl belirlenebilir ve sonrasında gerekli olduğu ortaya çıkarsa ne tür sorunlara yol açar?
Bu soruların cevaplarını bulmada ilgili Kişisel Verileri Koruma Kurulu’nun verdiği ve yayınladığı kurul kararları yol gösterici olabilir. Ancak bu yazının konusu veri sorumlusunun elinde bulunan kişisel verilerle ilgili olan olaylarla ve buna ilişkin alınan teknik tedbirlerle sınırlı kalacak. Çünkü idari para cezası verilen Kurul kararlarının büyük bir kısmı veri sorumlusunun bilerek yaptığı uygulamalardan kaynaklanmaktadır. Örneğin gereğinden fazla kişisel veri toplamak veya amaç dışı kullanmak. Bunlardan kaçınmanın yolu kişisel verilerin koruması konusunda yeterli seviyede bilgi ve tecrübe sahibi olarak hukuka uygun olmadığı tespit edilen veri işlemelerden kaçınmaktır. Bir kısım hata ise teknik olmayan ve iş süreçlerinin yanlış planlaması veya uyulmaması sebebiyledir. Bu kararlar da yazı kapsamının dışındadır.
Kurul’un bir kararında
“Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu” (Cathay Pasific Airway, 16.05.2019, 2019/144)
denilerek gerekli güvenlik tedbirlerinin alınmaması sebebiyle 450.000 TL idari para cezası verildi.
“Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu” (Marriott International, 16.05.2019, 2019/143
İfadelerine yer verilen kararında da yine güvenlik tedbirlerinin alınmaması sebebiyle 1.100.000 TL ceza vermişti.
Bu iki örnekte de güvenlik tedbirlerinin alınmaması ya da gereği gibi uygulanamaması sebebiyle ceza verildi. Ancak Kurul’un güvenlik tedbirlerinin tam olduğu durumlarda da ceza verdiği kararları var.
Olaylı Fenerbahçe-Beşiktaş Türkiye Kupası maçında başından yaralanan Şenol Güneş’in sağlık raporu sosyal medyada yayılmıştı. Kurul resen inceleme başlatmış ve hastaneye ceza vermişti. Rapor dışarıya ağ üzerinden değil görüntü olarak aktarılmıştı. Bir cep telefonu ile diğer cihazın ekranının fotoğrafı çekilmiş ve sonrasında paylaşılmıştı. Bildiğim kadarıyla cep telefonunun ekran görüntüsünün fotoğrafının çekilmesini önleyebilecek bir teknik tedbir yok. Yüksek güvenlik bulunan askeri tesislerde kullanılan monitörlerde cep telefonu ile fotoğraf çekilemediğini duydum ancak o monitörler sonuçta özel ve de bu çözüm çok pahalı bir çözüm olacaktır.
Bir diğer örnek ise bir bankayla ilgili. Bilindiği üzere bankaların güvenlik düzeyleri çok yüksektir ve bilgi güvenliği için de her türlü teknik ve idari tedbirin almaya çalışırlar. Kurul’un 26.11.2019 ve 2019/352 sayılı kararında
“Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısının olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği”
Belirtilerek bankaya veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almaması sebebiyle 70.000 TL idari para cezası verildi. Bu olayda da veri sorumlusu olan banka gerekli yazılımlara sahiptir ancak kurgulamasından kaynaklandığı söylenen eksiklik sebebiyle ceza verilmiştir.
Acaba gerçekten eksiklik var mıdır?
Güvenlik tedbirleri ister veri ile ilgili isterse hayat ile ilgili olsun hayatı zorlaştırmak gibi sonuçlar doğurur. Kısa sürede yapılabilecek işler için ekstra adımlar eklenir. Bu adımlar çok fazla arttırılırsa bu sefer de hayat çekilmez hale gelir.
Kişisel veriler elde edilir, saklanır, aktarılır ve yok edilir. Güvenlik tedbirleri ise bunu zorlaştırır. Öyle bir seviye bulunmalı ki ne güvenlikten vaz geçilsin ne de işlemek zorlaşmasın. Maalesef öyle bir dünya yok. Karar vericiler güvenlik tedbirlerinin sayısı ve yoğunluğu ile birlikte iş yapmanın ne kadar zorlaştırılacağı ile ilgili bir karar vermek zorunda kalırlar. Bir de elbette maliyet ve risk analizi var. Ne kadar para harcanabilir veya bütçesi ne olacak?
Bir başka soru da henüz varlığından habersiz olunan risklere karşı nasıl tedbir alınabilir? Örneğin ortaya çıkartıldığında yama yüklemek dışında alınabilecek tedbir bulunmayan zero-day açıklarına karşı ne yapılabilir?
Öncelikle şunun bilinmesi lazım. Hangi teknik ya da idari tedbir alınırsa alınsın bir veri ihlali gerçekleştiğinde Kurul’un idari para cezası vermemesi bir seçenek değil. Çünkü ihlalin gerçekleşmesi gerekli her türlü teknik ve idari tedbirin alınmadığını gösteren bir sonuçtur. Gerekli her türlü teknik tedbirin tespit edildiğini kabul edersek gerçekleştirmenin maliyeti de çok yüksek olacaktır. Bu durumda riskin gerçekleşmesi tercih edilebilir hale gelecektir.
Tedbirlerin alınmasının veri ihlali durumunda faydası Kurul tarafından verilecek cezanın belirlenmesinde etkin olacaktır. Ne kadar çok tedbir alınırsa verilecek ceza o kadar düşecektir. Ama elbette alt seviyenin altına inemeyecektir.
Bir başka seçenek ise tespit edilen veri ihlallerinin Kurul’a ve ilgili kişilere haber verilmemesi. Avrupa Birliği’nde GDPR’da öngörülen cezaların global cironun %4’üne kadar olması sebebiyle veri ihlalinin bildirilmemesi bir seçenek haline geldi. Benzer durum ülkemiz için de geçerli olabilir ama unutulmaması gereken veri ihlalinin ilgili kişilerce tespit edilip Kurul’a bildirilmesi durumunda gelebilecek ceza kurtulmak istenilen cezadan çok daha fazla olacağı kesin.