Kişisel Verileri Koruma Kurumu (“Kurum”), 15 Şubat 2022 tarihinde, son dönemdeki veri ihlalleri göz önüne alınarak, veri sorumluları tarafından Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesi kapsamında kullanıcı güvenliğinin sağlanması amacıyla alınması tavsiye edilen teknik ve idari tedbirlere ilişkin bir duyuru yayınlamıştır.  

Öncelikle belirtmek isteriz ki, aşağıda belirtilen tedbirlerin alınması zorunlu olmayıp, Kurum tarafından veri sorumlularının veri işleme faaliyetlerine göre uygun olacaklarını düşündükleri tedbirleri seçerek uygulamaya koymaları tavsiye edilmiştir. Ancak bu tedbirlerin alınması, olası bir veri ihlali riskini ve dolayısıyla Kanun kapsamında veri güvenliği ihlali nedeniyle yaptırıma maruz kalma riskini de azaltacaktır.

Kurum, son dönemde yapılan veri ihlal bildirimlerine ilişkin değerlendirmeleri sonucunda; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığını, veri sahiplerinin bilgilerini elde eden üçüncü kişilerin veri sorumlularının internet sitelerine veri sahiplerinin haberi veya rızası olmaksızın giriş yapabildiğini ve ilgili kişilere ait verilerin bu yollarla görüntülenebildiğini tespit etmiştir.

Ayrıca, yine bu değerlendirmeler sonucunda, veri sorumluları sistemlerinden elde edilen veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, ekonomik bir değer karşılığında satışa sunulabildiği,  bu verilerin büyük veri setleri halinde yeniden pazarlanabildiği ve bu minvalde, verilerin hukuka aykırı şekilde paylaşımının meydana geldiği belirtilmiştir.  

Kurum, yukarıda belirtilen ihlallerin, veri sorumluları tarafından alınması gereken teknik ve idari tedbirlerin gereği gibi alınmaması veya eksik alınması nedeniyle meydana geldiği kanaatindedir.

Veri ihlal risklerini azaltmak adına, Kurum, ilgili veri sorumluları tarafından alınmak üzere aşağıda belirtilen tavsiye mahiyetindeki teknik ve idari tedbirleri yayınlamıştır:

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerinin kurulması ve bunun kullanıcılara üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunulması,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure – Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması.

Duyuru metninin tamamına aşağıdaki linkten ulaşabilirsiniz :

https://www.kvkk.gov.tr/Icerik/7177/Kullanici-Guvenligine-Iliskin-Veri-Sorumlulari-Tarafindan-Alinmasi-Tavsiye-Edilen-Teknik-ve-Idari-Tedbirlere-Iliskin-Kamuoyu-Duyurusu

Batuhan Şahmay
Ortak | [email protected]
Naz Ergörün
Avukat | [email protected]
Behiç Ateş Gülenç
Avukat | [email protected]