KİŞİSEL VERİ İHLALLERİ NEDEN GERÇEKLEŞİYOR?
Kişisel verileri Koruma Kurumunun 2023 yılındaki faaliyetlerini kapsayan 2023 yılı faaliyet planını incelediğimizde Kuruma 307 adet veri ihlal dosyasının geldiğini, 121 adet dosyanın sonuçlandığını, 186 dosyanın incelenmesinin devam ettiğini ve 64 adet dosyanın da ilan edildiğini görüyoruz. 6698 Sayılı Kişisel Verileri Koruma Kanunundaki Kurumun veri ihlallerini ilan etme yükümlülüğünün “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” ibaresiyle belirlendiğini göz önüne aldığımızda Kurumun internet sitesinde ilan edilmeyen veri ihlallerinin de olabileceği sonucuna ulaşabiliriz.
İstatistiki sonuçlardan veri ihlali olaylarında her geçen gün artış olduğunu görmekteyiz. Veri ihlali olayları incelendiğinde çoğunlukla teknik tedbirler konusundaki eksiklikler nedeniyle gerçekleştiği sonucuna ulaşıyoruz. KVKK kapsamında gerçekleşen uyum çalışmalarında öne çıkarılan 2024 yılı için 50’den fazla çalışanı veya 25 milyon TL’den fazla cirosu olan tüm gerçek ve tüzel kişilerin Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt zorunluluğu ve sanki bu kaydın yapılması ile tüm uyumun sağlanacağı gibi bir düşüncenin hasıl olmasından kaynaklı bir eksikliğin olduğu da yaşanan veri ihlallerinden anlaşılmaktadır. VERBİS’ e kayıt ile başlayan sürecin idari ve teknik tedbirler ile tamamlanması gerekmektedir.
Özellikle KVKK uyum çalışmalarındaki danışman kişilerin teknik konulardaki eksikliği nedeniyle sadece idari tedbirlere yoğunlaşması sonucunda verilerin ihlale uğraması kaçınılmaz olmaktadır. Tüm idari tedbirler alınarak veri sahiplerinden alınan kişisel verilerin güvenli bilişim sistemlerinde işlenmesi ve muhafaza edilmesi sağlanmadığı taktirde kişisel veriler kolayca ihlale uğramaktadır. Özellikle veri işleyen şirketlerin Bilgi Sistemleri Güvenliği konusunda risk analizi yapmamaları veya yapılan analizler sonucundaki riskleri göze almaları sonucunda teknolojik altyapılar yetersiz kalmaktadır. Teknik tedbirler alınmaması sonucunda yaşanan kişisel veri ihlalleri ise gelecekte yaşanacak bilişim suçlarına, sanal dolandırıcılıklara ve benzeri birçok siber saldırıya ortam sağlamaktadır. İhlale uğrayan kişisel veriler Siber saldırganlar tarafından sosyal mühendislik saldırılarında güven sağlayıcı bilgiler kapsamında kullanılmaktadır.
Yetersiz bilişim sistemleri güvenliği sonrasında verileri ihlale uğrayan şirketlerin veri ihlalini yasal olmayan internet olarak adlandırılan Deep web, dark web gibi ortamlarda verilerinin satışa sunulmasından sonra öğrenmesi de bu konudaki durumun vahametini göstermektedir. Bu durumda en büyük zararı ise verileri ihlale uğrayan ve gelecekte daha büyük zararlarla karşı karşıya kalma ihtimaliyle yüzleşen veri sahipleri yani bizler görmekteyiz.