“GDPR ile uyumlu olamayan kurumları büyük riskler bekliyor”

Bütünleşik çok kanallı müşteri deneyiminde önde gelen Teleperformance, Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) için hazırlık yapmayan kurumları bekleyen büyük ticari riskler konusunda uyardı. Verinin ekonomi için en değerli yakıtlardan biri haline geldiğinin altını çizen Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, günümüzde karşı karşıya kalınan siber güvenlik tehditlerini şöyle özetledi: “Eskiden ‘siber tehdit’ derken sadece zararlı yazılımlardan bahsederdik. Bugün ise otomatize ve sofistike hedefli saldırılar, kimlik avı, fidye yazılımlar, DDoS saldırıları, mobil bankacılık güvenlik açıkları, organize sosyal mühendislik, kişisel verilerden yapılan profilleme ile davranışsal yönlendirme gibi güvenlik tehlikeleriyle karşı karşıyayız.”

“Kişisel verilerin kontrolü kullanıcıya geçiyor” 
Kurumlara emanet edilen kişisel verilerin kontrolünün, GDPR ve KVKK ile kullanıcılara geçtiğini, yeni düzenlemeler ile kişilerin, verileri hangi amaçlarla ve nerelerde kullanılacağı gibi detayları öğrenme fırsatı yakaladığını belirten Arı, “Yeni kanun, kişiye artık kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme imkanı sağladı. Kullanıcılar artık yurt içi ve dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi veya yok edilmesini ve bağlayıcı taraflara isteğin bildirilmesini isteme, kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahipler” dedi.

“GDPR ve KVKK, şirketlere kritik sorumluluklar yüklüyor” 
Yeni düzenlemeler kurumlara pek çok sorumluluğu da beraberinde getiriyor. Şirketler artık, verilerini tuttukları kullanıcıları detaylı şekilde bilgilendirmek zorunda. “Kanun şirketlere, işlenen gerçek kişilerin verilerine dair hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyma şartları getiriyor.” açıklamasını yapan Ercüment Arı, veri sahiplerine yönelik sorumluluklar ile ilgili, “Veri sorumlularına veri sahiplerini aydınlatma, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbir alma, veri sahiplerinin kendilerine yönelttiği başvuruları cevaplama ve kurulun açacağı VERBİS sistemindeki veri sorumluları siciline kayıt yükümlülüklerini getiriyor” diye konuştu.

Türkiye’deki şirketler GDPR’dan nasıl etkilenecek? 
Avrupa Birliği (AB) tarafından yürürlüğe sokulan GDPR, sadece AB üyesi ülkeleri değil, bu ülkelerdeki kişi ve kurumlarla iş yapan her kuruluşu doğrudan etkiliyor. Dolayısıyla Türkiye merkezli şirketler, AB vatandaşlarına mal veya hizmet sunuyor ya da davranışlarını takip ediyorlarsa, bir ödeme yapılmasına bakılmaksızın GDPR düzenlemelerinden sorumlu tutuluyor. Dolayısıyla şirketler, GDPR’ın yükümlülüklerini bilmek ve bu yükümlülüklere göre de faaliyet göstermek zorundalar.

Arı, GDPR uyumluluğu noktasında şirketlerin en sık gözden kaçırdığı detayı şu şekilde anlattı: “İnsan faktörü hafife alınıyor. Ne kadar gelişmiş, mükemmel ve yenilikçi sistemler kullanılsa da insana ait bir hata veya kasıt, sistemin çarklarına ve işleyişine çok büyük zarar verebiliyor. Bu yüzden bir güvenlik gurusunun altını çizdiği gibi gelecekteki güvenlik sistemleri teknolojik gelişmelere göre değil insan hatası ve kasıtlarının önlenmesine göre dizayn edilecektir. Bu bağlamda sistem ve süreçleri bu yaklaşıma göre dizayn edip, insanları etkin ve efektif eğitmeye de bütçe ayırmak gerekir.” diyor ve ekliyor: “Müşteri deneyimi yönetimi söz konusu olduğunda bu hatalar şirketlere; müşteri, itibar, finansal kayıplar, personel kayıpları, regülasyon ve kanun koyuculara uyumsuzluk maliyetleri, içsel süreç iyileştirme maliyetleri, sigorta maliyetleri gibi maliyetler yüklüyor.”

“Teleperformance’ın deneyimi şirketlere yol gösteriyor” 
Arı son olarak şunları kaydetti: “Teleperformance Türkiye, iş süreçlerini Teleperformance’ın GECSP global standartlarına göre düzenleyerek, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standart olan ISO/IEC 27001 sertifikasına ve kredi kartıyla işlem yapan firmalar için kritik bir standart olan PCI DSS sertifikasına sahip. Bunlara ek olarak Teleperformance Türkiye, Aralık 2016’da organizasyon şemasına Data Protection Officer (Veri Koruma Sorumlusu) pozisyonunu birçok Avrupa ülkesinden önce dahil ederek Türkiye’de ve Avrupa’daki ilk uygulayıcılardan oldu. Beraber çalıştığımız paydaşlarımızla, veri işleyen olarak global veri gizliliği ve bilgi güvenliği sertifikasyonları ile taçlandırdığımız (ISO 27001, PCI/DSS) standartlarımız çerçevesindeki süreçleri beraber yürütmeyi, bilgi birikimimizi ve gerektiğinde lokal ve global veri koruma tavsiyelerimizi paylaşıyor ve şirketlere ihtiyaçları doğrultusunda yol gösteriyoruz.”

(İHA)