KVKK’nın (Kişisel Verileri Koruma Kanunu) merkezinde ”kişisel veri” kavramı yer almaktadır.
Peki kişisel veri nedir?
- İsimler ve e-posta adresleri kişisel veri olarak sınıflandırılır mı?
- Peki ya fotoğraflar ve kimlik numaraları?
- Özel nitelikli kişisel veri kavramının kişisel verideki yeri nedir?
Kişisel Veri Nedir?
En temel anlamda kişisel veri, bir kişinin yaşayan bir kişiyi bir dereceye kadar doğrulamak için kullanabileceği herhangi bir bilgi parçasıdır.
Örneğin, ali@abcsirketi.com” e-posta adresi kişisel veri olarak kabul edilir, çünkü ABC şirketinde çalışan yalnızca bir Ali olabileceğini gösterir.
Benzer şekilde, fiziksel adresiniz veya telefon numaranız da kişisel veri olarak kabul edilir, çünkü bu bilgiler kullanılarak sizinle iletişime geçilebilir.
Kişisel veriler aynı zamanda bir yerdeki fiziksel varlığınızı doğrulayabilecek her şey olarak sınıflandırılır. Bu nedenle, parmak izleriniz gibi CCTV görüntüleriniz de kişisel veridir.
Buraya kadar kulağa yeterince basit gelebilir, ancak her bir bilgi parçasının bağımsız olarak alınması gerekmediğini hesaba kattığınızda işler karmaşıklaşır.
Kuruluşlar genellikle her bir veri sahibi hakkında büyük miktarda bilgi toplar ve depolar. Bu bilgilerin toplamı, olası bir veri sahibini tanımlamak için bir araya getirilebiliyorsa, kişisel veri olarak kabul edilebilir.
Belirli koşullar altında, aşağıdakilerden herhangi biri kişisel veri olarak kabul edilebilir:
- Ad ve soyad
- Ev adresi
- Bir e-posta adresi
- Bir kimlik kartı numarası
- Konum verileri
- Bir İnternet Protokolü (IP) adresi
Bir kişinin adının her zaman kişisel veri olduğunu düşünebilirsiniz, ancak bu o kadar basit değildir.
İsim – Soyad tek başına her zaman kişisel veri olmayabilir, çünkü bu isimde birçok kişi vardır. Ancak, ismin diğer bilgilerle (adres, iş yeri veya telefon numarası gibi) birleştirildiği durumlarda, bu genellikle bir bireyi açıkça tanımlamak için yeterli olacaktır.
Bununla birlikte bir kişiyi tanımlamak için mutlaka isimler gerekli değildir.
Bir bireyin adını bilmemeniz onun kimliğini tespit edemeyeceğiniz anlamına gelmez. Örneğin, birçoğumuz komşularımızın isimlerini bilmiyoruz, ancak yine de onları tanımlayabiliyoruz.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veriler, ekstra güvenlikle ele alınması gereken belirli bir “özel kategoriler” kümesidir.
Aşağıda bazı özel nitelikli kişisel veri örneklerini bulabilirsiniz:
- Irk veya etnik köken
- Siyasi görüşler
- Dini veya felsefi inançlar
- Sendika üyeliği
- Genetik veriler
- Bir kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili veriler
- Biyometrik veriler (bir kişiyi benzersiz bir şekilde tanımlamak için işlendiğinde)
Kişisel Veri ve Özel Nitelikli Kişisel Veri Arasındaki Farklar
Kişisel ve özel nitelikli kişisel veri arasındaki farklar incedir, ancak teknik olarak geçerli gizlilik yasalarına göre farklı şekilde ele almanız, saklamanız ve işlemeniz gereken ayrı bir kişisel veri kategorisidir.
Genel olarak, kişisel bilgiler bir kişiyi veya haneyi doğrudan veya dolaylı olarak tanımlayabilen tüm verileri ifade eder.
Kişisel bilgiler aşağıdaki detaylardan herhangi birini içerebilir:
- İsimler
- E-posta adresleri
- Posta adresleri
- IP adresleri
- Telefon numaraları
- Doğum tarihleri
- Posta kodları
- Hassas bilgiler
Ancak özel nitelikli kişisel veri, doğası gereği diğer kişisel tanımlayıcılara göre daha savunmasızdır.
Özel nitelikli kişisel veri örnekleri aşağıdakileri içerir:
- Bir kişinin inançları
- Tıbbi ve genetik veriler
- Suç geçmişleri
- Görüşler
- Cinsel kimlik
- Yarış
- Diğer daha mahrem detaylar
Her iki veri türü de sızdırılırsa, etkilenen bireylere zarar verebilir, ancak özel nitelikli kişisel verilere yetkisiz erişim, aşağıdakilere yol açabileceğinden özellikle zararlıdır:
- Ayrımcılık
- Taciz
- Kimlik hırsızlığı
- Diğer kalıcı zarar türleri
Bu nedenle, farklı veri gizliliği yasaları, işletmelerin bu tür hassas bilgileri yasal olarak nasıl toplayabileceğini, saklayabileceğini ve kullanabileceğini belirler ve kullanıcılara bu veriler üzerinde daha fazla hak tanır.
E-posta Gizliliğini Çevreleyen Yasal Çerçeve
Farkında olmayabilirsiniz, ancak e-posta gizliliğini çevreleyen yasa ve yönetmelikler karmaşıktır ve sürekli gelişmektedir, bu da hem bir e-posta kullanıcısı hem de bir veri denetleyicisi olarak haklarınızı ve sorumluluklarınızı tam olarak anlamanızı zorlaştırır. İş yerinde, işverenlerin e-posta yoluyla iletilen hassas bilgileri koruma sorumluluğu vardır. Bununla birlikte, çalışanların kişisel e-postaları söz konusu olduğunda belirli hakları da vardır.
Fakat e-posta gizliliği düzenlemelerinde uluslararası yasal farklılıklar olduğunu unutmamanız önemlidir. Örneğin, Türkiye’de KVKK, e-postalar da dahil olmak üzere kişisel verilerin nasıl işlenebileceği konusunda katı kurallara sahiptir. KVKK, verilerinin toplanabilmesi veya işlenebilmesi için bireylerin açık rızasını gerektirir. Öte yandan, Amerika Birleşik Devletleri’nde, özellikle e-posta gizliliğini düzenleyen federal bir yasa yoktur. Bunun yerine, farklı eyaletlerde neyin gizlilik ihlali teşkil ettiğine dair farklı yasalar bulunmaktadır.
Bir e-posta kullanıcısı veya veri denetleyicisi olarak, yürürlükteki tüm yasalara uyduğunuzdan ve hassas bilgileri uygun şekilde koruduğunuzdan emin olmak için bu yasal çerçeveler hakkında bilgi sahibi olmanız gerekir. Sorumluluklarınızın ve haklarınızın farkında olmak, kişisel veya gizli bilgiler içeren e-postaları nasıl ele aldığınız konusunda bilinçli kararlar vermenize yardımcı olacaktır. Bu düzenlemelerin anlaşılması, gizlilik yasalarının ihlalinden kaynaklanan maliyetli yasal mücadeleleri de önleyebilir.
E-posta Gizliliği İhlalleri ile İlişkili Risk ve Tehditler
E-posta gizliliği ihlalleri, kişisel bilgilerinizin bilgisayar korsanları tarafından ifşa edildiği durumlarda oluşur. E-posta modern dünyanın en popüler iletişim yöntemlerinden biridir, ancak aynı zamanda gizliliğiniz için önemli riskler de taşır. Verilerinizi yetkisiz erişimden korumak için genellikle siber güvenlik önlemleri alınır, ancak bu önlemler bile karmaşık kimlik avı dolandırıcılıkları tarafından aşılabilir.
E-posta gizliliği ihlalleri ile ilişkili en büyük risklerden biri kimlik hırsızlığıdır. Bilgisayar korsanları e-posta hesabınıza erişim sağladıklarında, bunu sosyal güvenlik numaraları, kredi kartı bilgileri ve banka hesabı kimlik bilgileri gibi hassas bilgileri çalabilecekleri diğer çevrimiçi hesaplara açılan bir kapı olarak kullanabilir. Ayrıca bu bilgileri sizi taklit etmek ve sizin adınızla dolandırıcılık faaliyetleri yürütmek için de kullanabilir. Bu durum sadece mali durumunuzu değil, itibarınızı da riske atar.
E-posta gizliliği ihlallerinin yarattığı bir diğer büyük tehdit de gizli veya özel iş bilgilerinin açığa çıkmasıdır. Şirketler hem kurum içi hem de kurum dışı iletişim için e-postalara büyük ölçüde güvenmektedir; bu nedenle herhangi bir ihlal, gelir kaybı veya hasar kontrolü için harcanan yasal ücretler nedeniyle önemli mali kayıplara yol açabilir. Ayrıca, müşterilerinin verilerinin bir e-posta güvenliği ihlali nedeniyle tehlikeye girmesi durumunda işletmeler itibar kaybına uğrayabilir. Hem işletmelerin hem de bireylerin sağlam siber güvenlik uygulamaları benimseyerek ve olası kimlik avı dolandırıcılıklarına karşı dikkatli olarak bu tür tehditlere karşı yeterli önlemleri almaları çok önemlidir.
E-posta Gizliliği İhlallerinin Sonuçları
E-posta gizliliği ihlalleri söz konusu olduğunda, ortaya çıkabilecek çeşitli sonuçların farkında olmanız gerekir. İlk olarak, mali kayıp ve zararlar yaygın bir sonuçtur. İkinci olarak, göz önünde bulundurulması gereken itibar zedelenmesi vardır. Müşterilerinizin gizli bilgileri tehlikeye girmişse, bu onların size olan güvenini önemli ölçüde etkileyebilir. Son olarak, müşterilerinin verilerini koruyamayan işletmelere yasal ve düzenleyici cezalar da uygulanabilir.
1. Finansal Kayıp ve Zararlar
E-posta güvenliğinin tehlikeye girmesi sonucunda önemli mali kayıp ve zararlar yaşanabilir, bu da hassas bilgilerin korunmasının önemini vurgular. İki faktörlü kimlik doğrulama ve şifreleme gibi sıkı güvenlik önlemlerinin uygulanması yoluyla ihlallerin önlenmesi, potansiyel risklerin azaltılmasında çok önemlidir. Ancak, bu önlemler alınsa bile, siber suçlular saldırılarında daha karmaşık hale gelir ve bu da olası kayıp veya hasarlar için sigorta kapsamına sahip olmayı zorunlu kılar.
2. İtibari Hasar
Bir itibar oluşturmak yıllar alır, onu yok etmek ise sadece saniyeler sözünü duymuş olabilirsiniz; bu özellikle e-posta güvenliği ihlalleri ve bunun sonucunda ortaya çıkan itibar kaybı potansiyeli açısından doğrudur. Bir kuruluşun e-postaları saldırıya uğradığında veya sızdırıldığında, hassas bilgiler açığa çıkabilir ve bu da müşteri ve müşterilerin güvenini kaybetmesine yol açabilir. Bu durum medyanın olumsuz ilgisine, satışların azalmasına ve hatta boykotlara neden olabilir.
Bu tür bir zararı önlemek için kuruluşlar güçlü parolalar kullanmak, şifreleme teknolojisi kullanmak ve gizli bilgilere erişimi sınırlandırmak gibi önleme yöntemlerini kullanmalıdır. Ayrıca, bir kriz yönetimi planının yürürlükte olması, olası ihlallerin marka imajı üzerindeki etkilerini azaltmaya yardımcı olabilir. Kuruluşların e-posta gizliliğinin sadece hassas verileri korumakla değil, aynı zamanda günümüzün dijital dünyasında itibarlarını korumakla da ilgili olduğunu anlamaları önemlidir.
3. Yasal ve Düzenleyici Cezalar
E-posta güvenliğine öncelik verilmemesi ciddi yasal sonuçlara yol açabilir ve kuruluşlara önemli mali ve itibari zararlar verebilir. Mevzuata uygunluk, hassas verileri e-posta yoluyla işleyen işletmeler için önemli bir konudur. Şirketler, müşteri verilerini yetkisiz erişim, kullanım ve ifşadan korumalarını gerektiren KVKK gibi endüstri standartlarına uymalıdır.
Bu düzenlemelere uyulmaması ağır para cezalarına, davalara ve bir kuruluşun itibarının zedelenmesine neden olabilir.
E-posta gizliliğini artırmak, kuruluşunuzu yasal ve düzenleyici cezalardan korumak için çok önemlidir. KVKK gibi endüstri standartlarına uygun siber güvenlik protokollerine öncelik vererek hassas verileri siber tehditlerden koruyabilir ve müşterilerinizin güvenini sürdürebilirsiniz.
Kişisel Verileri E-posta Yoluyla Gönderebilir miyim?
Evet, ancak doğru türde bir güvenlikle gönderim sağlamanız gerekir. Standart e-posta yeterince güvenli değildir. Bu nedenle uygun güvenlik ayarlamalarını kullanmak önemlidir. Kişisel verileri e-posta yoluyla işlerken aşağıdakileri göz önünde bulundurmanız şarttır:
Depolama: Bu tür bilgilerin gelen kutunuzu doldurmasına izin vermeyin. Doğru yere kaydedin ve ardından e-postanızı silin. Kişisel verilerin ne kadar süreyle saklanabileceğine ilişkin kuralları olan KVKK gibi düzenlemeleri de dikkate alın.
Şifreleme: Hassas veriler normal e-posta ile gönderilmemelidir, çünkü bu yeterli düzeyde şifreleme sunmaz. Bunun yerine, güvenli mesajlar aracılığıyla gönderim sağlayın.
Çok faktörlü kimlik doğrulama: Çok faktörlü kimlik doğrulama, hassas bilgilerin yanlış kişiye ulaşmamasını ve böylece elinizde bir veri ihlali olmamasını sağlar. İhtiyacınız olan kimlik doğrulama türü, mesajınıza eklediğiniz bilgilere bağlıdır.
Kişisel Verilerin Güvensiz Bir Şekilde Gönderilmesinin Etkisi Nedir?
Farkına bile varmadan etkisi önemli olabilir. Bir e-posta adresi genellikle “sadece” bilinen (veya aranması kolay) belirli bir şey olsa da, bazı durumlarda hoş olmayan sonuçları olabilir.
Bu tür bilgiler sızarsa, ilgili kişiler için sonuçları çok büyük olabilir. Veriler kötü niyetli taraflarca fark edilmeden kullanılabilir. Kimlik sahtekarlığı bunun bir sonucu olabilir. Örneğin bir kişi başka biri gibi davranarak banka hesapları açabilir.
Kişisel verileri güvenli olmayan bir şekilde gönderirseniz, hoş olmayan sürprizlerle karşılaşma riskiniz vardır. İlgili kişiler için sonuçlara ek olarak, bir kuruluş olarak da yüksek para cezaları alabilirsiniz.
En Çok Sorulan Sorular
1. Hassas kişisel bilgilerin korunması neden önemlidir?
Hassas kişisel bilgilerin korunması, bireysel gizliliğin korunması, kimlik hırsızlığının önlenmesi ve yasal uyumluluğun sağlanması gibi çeşitli nedenlerle hayati önem taşır.
2. E-posta adresi, uyruk veya isim özel nitelikli kişisel veri sayılır mı?
E-posta adresi, uyruk veya isim tek başına kişisel veri olarak kabul edilir ancak hassas kişisel veri değildir. Ancak, diğer belirli bilgilerle birleştirildiklerinde hassas olarak kategorize edilebilir.
3. Tüketici verilerini işlemek için her zaman onay almak zorunda mısınız?
Sağlık alanında çalışmıyorsanız ve daha geniş bir kamu yararı için bilgi paylaşmanız gerekmiyorsa (örneğin son pandemi), evet, kullanıcı onayı almanız gerekir.