KVKK’da Hızlı Kazanım Diye Bir Şey Yok

19 Eylül 2018, Çarşamba

Dijital dünyada veri koruma konusu hiçbir zaman bitmiyor.

Geçtiğimiz aylarda İngiliz veri pazarlama şirketi Cambridge Analytics’in ABD’deki milyonlarca Facebook kullanıcısının verisini sosyal ağ sitesindeki bir üçüncü parti uygulaması yoluyla elde ettiği ve bunu da mikro hedefli içerik yaratmakta ve hedef kitlenin davranışlarını etkilemekte kullandığı ortaya çıktı. Ardından da hızla büyük bir veri skandalı ve bir numaralı hikâye haline geldi. 

Şirketin veri madenciliği yaparak kullanıcı davranışlarını etkilemesi ve müşterileri için sonuçlar toparladığı biliniyordu. Ama asıl skandala neden olan casuslukta kullanılan tuzaklar ve yalan haberler. Tabii ki Facebook’tan verileri elde edip onları kullanan şirketin izlediği yol, veri güvenliğindeki bir sızıntıyı açıkça gözler önüne seriyor. Hatta öyle ki Facebook CEO’su Mark Zuckerberg, “güven sızıntısı” olarak adlandırdığı bu olaydan ötürü özür diledi ve korumakla sorumlu oldukları veriyi gözlerinden kaçırdıklarını kabul etti. 

Veriden para kazanmakla verinin korunmasının birbirleriyle çeliştiği günümüzde büyük ihtimalle bu olanlar son derece acımasız bir hatırlatma oldu. Bu yüzden de AB ülkelerinde tüketiciler için GDPR’ın zamanlaması daha iyi olamazdı. Kişisel verilerin nasıl kullanılacağına dair tüm hakları kullanıcıya verirken işletmelerin de kişisel bilgileri toplama, saklama ve kullanma yolları üzerinde bir daha düşünmelerini sağlayacak. Önemli bir şekilde AB’deki müşteriler katılmamanın sıkıntısını çekmektense katılmanın özgürlüğüne sahip olacaklar. 7 Nisan 2016’da yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) da GDPR’ın getirdiği bu temel değişiklikler temel alınarak hazırlandı. Ürün ve hizmet işlemlerinin bir parçası olarak kişisel veriyi işleyen Türkiye’deki şirketlerin hem KVKK hem de GDPR ile uyumlu olması gerekiyor.

Örnek vermek gerekirse GDPR ya da KVKK’nın düzenlediği kurallara uymayan şirketler ciddi maddi yaptırımlarla karşı karşıya kalacak. GDPR’da sızıntılar ya da uyumsuzluklar karşısında cezaların 20 milyon euro ya da yıllık cironun yüzde 4’ü oranında, hangisi daha yüksekse, olabileceği bekleniyor. Bu cezaların da diğer şirketlere örnek olması amacıyla uygulanacağı düşünülüyor. Kişisel Verileri Koruma Kanunu’nda da gerçek kişilerin kişisel verilerini hukuka aykırı işleyenlere 1 milyon TL'ye varan cezalar verilmesi öngörülüyor.

Öyleyse işletmeler hazır mı? 

Türkiye’de de şirketler KVKK’ya uymadıkları takdirde ne tür cezalarla karşı karşıya kalabileceklerini biliyorlar. Kişisel Verileri Koruma Kurumu Başkanı’nın 2017’de 19 şirkete kesilen toplam 125.000 TL’lik ceza ve bu yıl bir bankaya bir davada istenen harcama bilgisi yerine kredi kartı ekstrelerini göndermesi üzerine kesilen 30 bin TL’lik ceza hakkında yaptığı açıklamalar da bunu göz önüne serdi. İnternette veri güvenliği yasasına uyumluluk için başvurulacak çözümler üzerinde sonsuz sayıda doğru olmayan “çabuk kazanç” tavsiyeleri var. Bunlar uyumluluk yolculuğunda kısa yollar arayan işletmeleri hedefliyor. Birçoğunda ilk adım “sorumluluk vermek”. Eğer işletmeler bunu bile yapmıyorsa hazır olmaktan çok uzak olduklarını varsayabiliriz. Diğer adımlar da “nasıl etkilendiğinizi öğrenin” ve “süreçler konusunda anlaşın” gibi en iyi ihtimalle belirsiz tavsiyeler.

Çünkü işin doğrusu konu veri güvenliği olduğunda çabuk kazanç diye bir şey yok. Pek çok yerde uyumluluk, işletmelerin vatandaşların verilerini toplama, depolama ve kullanma yolunun tam ölçekli elden geçirilmesine dayanıyor ki bunların içinde kendi çalışanlarının verileri de yer alıyor. Veeam’de bizim için GDPR ve KVKK’ya hazır olmak, idare ettiğimiz verileri çok daha verimli bir şekilde bilmek, yönetmek ve korumaya yardım etmek için sistemler ve iş akışları güncellenirken kurumumuzun veri koruma yaklaşımının kesintisiz gelişimi, dokümantasyonu ve alınacak tedbirler için süreçlerin uygulanması anlamına geliyor. 

Tabii ki teknoloji herhangi bir işletme için uyumluluk karışımının önemli bir parçası ama ortaya teknoloji çözümlerini atıp hangisinin tutacağını beklemek kadar da kolay değil. Yeni düzenlemelere başarılı bir şekilde uymak şirket genelindeki davranışsal ve yöntemsel değişimlere de bağlı ve hiçbir kolay kazanım da bunları garantilemiyor. 

GDPR ve KVKK’nın ticari avantajı

Hatırlamakta yarar var ki GDPR ve KVKK’ya uyumluluğu sürdürebilmek de kolay değil. Veri güvenliğini geliştirmek için şirket genelinde harcanacak bir çaba aynı zamanda bunu iyi becerebilen şirketlere ticari açıdan benzersiz fırsatlar da sunacak. Rekabette yer almayı ve işletmenizi geleceğe hazırlamayı saymıyoruz bile. 

GDPR ve KVKK sonrası dünyada şirketler veriyi neden topladıkları ve ne için kullanacakları konusunda daha şeffaf olacaklar. Bunun bir adım ötesi ise bir işletmenin itibarı ve cirosunun bu şeffaflığa bağlı olması. Ticari kazanç için verinin gücünden yararlanma becerisi öncelikle gerçek müşteri güveni üzerine inşa edilmiş itibarlı bir marka olmaktan geçiyor. Gücün dengesi temelden değişiyor. 

İşletmeler uyumluluk için kestirme bir yol bularak bu zorlu tırmanışın üstesinden gelmek için dua ediyorlar ama GDPR’ın ve KVKK’nın sunduğu fırsatlara yatırım yapan ve veri güvenliğine yönelik proaktif yaklaşımlar almaya başlayan işletmeler sonunda gerçek kazananlar olacak. 

Paylaş:

Bu içeriği beğendiyseniz daha fazlası için ücretsiz üye olun!

SEÇENEKLERİ GÖRÜNTÜLE

Sınırsız Erişime Sahip Olmanın Tam Zamanı

HBR Türkiye içeriğine bir yıl boyunca tüm platformlardan erişin!
ABONELİĞİMİ BAŞLAT

Tüm Arşive Gözatın

Paylaş