Teleperformance, Genel Veri Koruma Tüzüğü (GDPR) ve KVKK için hazırlık yapmayan kurumları bekleyen büyük ticari riskler konusunda uyardı.
Verinin ekonomi için en değerli yakıtlardan biri haline geldiğinin altını çizen Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, günümüzde karşı karşıya kalınan siber güvenlik tehditlerini şöyle özetliyor:
“Eskiden ‘siber tehdit’ derken sadece zararlı yazılımlardan bahsederdik. Bugün ise otomatize ve sofistike hedefli saldırılar, kimlik avı, fidye yazılımlar, DDoS saldırıları, mobil bankacılık güvenlik açıkları, organize sosyal mühendislik, kişisel verilerden yapılan profilleme ile davranışsal yönlendirme gibi güvenlik tehlikeleriyle karşı karşıyayız.”
Kişisel verilerin kontrolü kullanıcıya geçiyor
Kurumlara emanet edilen kişisel verilerin kontrolü, GDPR ve KVKK ile kullanıcılara geçiyor. Yeni düzenlemeler ile kişiler, verilerinin hangi amaçlarla ve nerelerde kullanılacağı gibi detayları öğrenme fırsatı yakalıyor. Yeni kanunun, kişiye artık kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme imkanı sağladığını belirten Arı, “Kullanıcılar artık yurt içi ve dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi veya yok edilmesini ve bağlayıcı taraflara isteğin bildirilmesini isteme, kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahipler.” diyor.
GDPR ve KVKK, şirketlere kritik sorumluluklar yüklüyor
Yeni düzenlemeler kurumlara pek çok sorumluluğu da beraberinde getiriyor. Şirketler artık, verilerini tuttukları kullanıcıları detaylı şekilde bilgilendirmek zorunda. “Kanun şirketlere, işlenen gerçek kişilerin verilerine dair hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyma şartları getiriyor.” açıklamasını yapan Ercüment Arı, veri sahiplerine yönelik sorumlulukları şöyle özetliyor: “Veri sorumlularına veri sahiplerini aydınlatma, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbir alma, veri sahiplerinin kendilerine yönelttiği başvuruları cevaplama ve kurulun açacağı VERBİS sistemindeki veri sorumluları siciline kayıt yükümlülüklerini getiriyor.”
Türkiye’deki şirketler GDPR’dan nasıl etkilenecek?
Avrupa Birliği (AB) tarafından yürürlüğe sokulan GDPR, sadece AB üyesi ülkeleri değil, bu ülkelerdeki kişi ve kurumlarla iş yapan her kuruluşu doğrudan etkiliyor. Dolayısıyla Türkiye merkezli şirketler, AB vatandaşlarına mal veya hizmet sunuyor ya da davranışlarını takip ediyorlarsa, bir ödeme yapılmasına bakılmaksızın GDPR düzenlemelerinden sorumlu tutuluyor. Dolayısıyla şirketler, GDPR’ın yükümlülüklerini bilmek ve bu yükümlülüklere göre de faaliyet göstermek zorundalar.
GDPR uyumluluğu noktasında şirketlerin en sık gözden kaçırdığı detayı şöyle anlatıyor Arı: “İnsan faktörü hafife alınıyor. Ne kadar gelişmiş, mükemmel ve yenilikçi sistemler kullanılsa da insana ait bir hata veya kasıt, sistemin çarklarına ve işleyişine çok büyük zarar verebiliyor. Bu yüzden bir güvenlik gurusunun altını çizdiği gibi gelecekteki güvenlik sistemleri teknolojik gelişmelere göre değil insan hatası ve kasıtlarının önlenmesine göre dizayn edilecektir. Bu bağlamda sistem ve süreçleri bu yaklaşıma göre dizayn edip, insanları etkin ve efektif eğitmeye de bütçe ayırmak gerekir.” diyor ve ekliyor: “Müşteri deneyimi yönetimi söz konusu olduğunda bu hatalar şirketlere; müşteri, itibar, finansal kayıplar, personel kayıpları, regülasyon ve kanun koyuculara uyumsuzluk maliyetleri, içsel süreç iyileştirme maliyetleri, sigorta maliyetleri gibi maliyetler yüklüyor.”