Kişisel Verileri Koruma Kurulu (‘Kurul’) tarafından 15 Şubat 2022 tarihinde son zamanlarda Kurul’a intikal eden benzer vakalarda, çeşitli sektörlerde yer alan veri sorumlularına ait internet sitelerine giriş için kullanıcılara ait hesap bilgilerinin başkaca sitelerde toplu olarak yayınlandığı ve kullanıcıların hesap bilgilerinin üçüncü kişiler tarafından elde edilmesi durumunda kullanıcılardan habersiz aktif girişler yapılarak kişisel veri ihlallerinin arttığının tespit edildiği belirtilerek benzer diğer vakaların önüne geçmek için veri sorumluları ve veri işleyenlere yönelik tavsiye niteliğinde “teknik ve idari tedbirler” duyurusu yayınlanmıştır.
Kurul tarafından yapılan duyuruda, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 12/1’de düzenlenen, veri sorumlularının kişisel verilerin hukuka aykırı işlenmesinin önlemesi kapsamında yükümlülükleri hatırlatılarak; son zamanlarda, veri sorumlularına ait internet sitelerindeki kullanıcı bilgilerinin (kullanıcı adı ve parola) kötü niyetli kişiler tarafından ele geçirilerek ekonomik bir değer karşılındığında pazarlandığı göz önüne alındığında “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin önemine vurgu yapılmıştır.
Bu doğrultuda Kurul, olası veri ihlallerinin önüne geçmek ve gerçekleşebilecek bir ihlal durumunda ilgili kişilerin karşılaşabileceği olumsuz sonuçları minimize etmek amacıyla alınabilecek idari ve teknik tedbirlere ilişkin tavsiyelerini paylaşmıştır. Bu tavsiyeler şu şekildedir:
-
Çift kademeli kimlik doğrulama sisteminin kullanılması ve kullanıcılara üyelik başvuruları itibarıyla bunun bir alternatif olarak sunulması,
-
Kullanıcıların, farklı bir cihazdan giriş yapması durumunda giriş bilgilerinin ilgili kişilere e-posta, SMS vb. bir kanalla iletilmesi,
-
IP adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
-
İlgili kişilerin, parolalarını belirli aralıklarla değiştirmesinin sağlanması,
-
Yeni parolaların, en az son üç parolayla aynı olmasının engellenmesi ve doğrulama işlemlerinin (CAPTCHA, dört işlem…) kullanılması,
-
Veri sorumlularının sistemlerine girişte üçüncü parti yazılımlar veya servislerden hizmet alınması durumunda bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması
-
Asgari 10 karakter uzunluğunda, rakam, büyük-küçük harf ve özel karakterlerin bir arada bulunduğu şekilde parolalar belirlenmesinin sağlanması
Kurul tarafından yapılan duyurudaki tedbirlerin “tavsiye” olarak sunulduğu dikkate alındığında benzer bir ihlal karşısında duyuruda yer alan tavsiyelere uyulmasının bire bir aranmayacağı ancak KVKK m. 12’de veri sorumluları için yer alan “veri güvenliğine ilişkin yükümlülükler” düzenlemesinin üst başlık olarak değerlendirileceği kanaatindeyiz. Bu durumda veri sorumluları tarafından duyuruda yer alan tavsiyelerin dikkate alınması önem arz etmektedir.
Duyurunun tamamına
buradan ulaşabilirsiniz.
Metin Murat Taşdemir, Stajyer Avukat
Selma Esen, Avukat