Son zamanlarda özellikle büyük kuruluşların maruz kaldığı veri ihlalleri göz önüne alındığında yetkisiz kişiler tarafından kişisel verilerimize erişim sağlandığını ve bu suretle kötü niyetli kişilerin eline geçtiğini gözlemliyoruz. Zira neredeyse her gün Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sayfasında bir veri ihlaline ilişkin kamuoyu duyurusu yayınlanıyor. Bir gün 30.000 kişinin kişisel verilerine yetkisiz erişim sağlanıyor, diğer gün 20.000.000 kişinin verileri hukuka aykırı şekilde elde ediliyor.
Kurum, yakın zamanlarda meydana gelen bu veri ihlal bildirimlerini göz önüne alarak yapmış olduğu değerlendirmede finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığını, söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığını ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiğini tespit etmiştir. Ayrıca veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulduğu görülmüş, bununla birlikte bu verilerin elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabildiği tespit edilmiştir.
Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesi çerçevesinde veri sorumluları tarafından alınması gereken teknik ve idari tedbirlere ilişkin hazırlamış olduğu Rehber ile gerçekleşebilecek veri ihlallerinin önüne geçmeyi amaçlamaktadır. Bu tedbirlerin tam anlamıyla uygulanmaması veya hatalı ve eksik uygulanmasından kaynaklı ciddi veri kayıplarının meydana geldiğinin altını çizmekte ve olayların gerçekleşme şekillerine bağlı olarak yayınlamış olduğu duyurusunda özellikle “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi hatalı uygulamaların bu tür ihlallere sebebiyet verdiğini ifade etmektedir. Bu tespitlerden hareketle Kurum, veri sorumluları tarafından aşağıdaki teknik ve idari önlemlerin alınması gerektiğini ilgili veri sorumlularına bir kez daha hatırlatma amacıyla 15.02.2022 tarihinde Kamuoyu Duyurusu yayınlamıştır.
davranışlarını ayırt edici güvenlik kodu gibi teknolojiler (CAPTCHA, dört işlem vb.) kullanılmalı, erişime izin verilen IP adresleri sınırlandırılmalıdır.
Sosyal Güvenlik Kurumu (SGK) İşveren Sistemi’ne eklenen APHB Listeleme menüsüyle işverenlerin daha önce yüklemiş olduğu…
Avrupa’da hızla yayılan haftada 35 saatlik çalışma süreleri, Türkiye’de de dile getirilen talepler arasında yer…
16 Şubat 2024 tarihinde 8. Yargı Paketi olarak da anılan Ceza Muhakemesi Kanunu ile Bazı…
Kişisel Verileri Koruma Kurumu resmi internet sitesinde, Deepfake'in tanımı, amaçları, kişisel verilere yönelik riskleri, tespit…
23.01.2024 tarih ve 32438 sayılı Resmî Gazetede yayımlanan İşkolları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik ile…
KİŞİSEL VERİLERİN KORUNMASI KURUL KARAR ÖZETLERİ A. KİŞİSEL VERİLERİN KORUNMASI KURULU TARİHLİ KARAR ÖZETLERİ 1.…