Avukat Serdar DARAMA
s.darama@ozgunlaw.com
A) VERİ İHLALİ NEDİR?
AB Genel Veri Koruma Regülasyonu’nda da (“GDPR”) veri ihlali; “…iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır. Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) ise açıkça bir “veri ihlali” tanımı yapılmamıştır.
Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin 5. fıkrası uyarınca, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür”. Ne yazık ki vatandaşlar nezdinde, bu hükümde belirtilen “kanuni olmayan yollarda başkaları tarafından elde edilmesi” ifadesi, veri ihlalinin yalnızca, işlenen kişisel verilerin 3. kişiler tarafından gerçekleştirilen siber saldırılar ya da çeşitli hukuka aykırı müdahaleler sonucunda elde edilmesi hâlinde meydana gelmiş olacağı şeklinde yorumlanabilmektedir.
Ancak kanuna aykırılık teşkil eden her husus bir veri ihlali olarak nitelendirilmektedir. Örneğin; Kanun’un 12/1 hükmü;
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
şeklinde olup, bu maddeye aykırılık teşkil eden her durumda veri ihlali meydana gelmiş olacaktır.
Bu itibarla, Kanun uyarınca bildirimde bulunulması gereken bir veri ihlalinin gerçekleşmiş olması için, yalnızca kanuni olmayan yollarla 3. kişi tarafından elde edilmesi şartının yalnızca verilere 3. kişiler tarafından gerçekleştirilen saldırılar, müdahaleler gibi çeşitli hukuka aykırılıklar sonucunda elde edilmesi şeklinde düşünülmemesi gerekir. Örneğin bir veri sorumlusunun, veri sahiplerine ait kişisel verilerini bir hata sonucunda ifşa etmesi durumunda da veriler hukuka aykırı bir şekilde 3. kişilerin eline geçmiş olacaktır.
Kurul da yapılan ihlal bildirimleri neticesinde yapılan incelemelerde, öncelikle Kanun hükümleri uyarınca bir ihlal olup olmadığını değerlendirmekte, ardından ise 12/5 hükmü uyarınca bildirim zorunluluğunun gereği gibi yerine getirilip getirilmediğini incelemektedir.
Örnek olarak;
- Kurul’un 05/12/2020 tarih ve 2020/957 sayılı kararında, bir ilaç şirketinin “Sistem tarafından otomatik olarak oluşturulan ve güncel maaş bordrolarını içeren e-postalarda meydana gelen hata nedeniyle, 337 çalışanın bordrosunun yanlış çalışanlara gönderilmesi” şeklinde gerçekleşen veri ihlalinin bildirildiği görülmekte olup, Kurul tarafından bu ihlal incelemeye alınmış; ancak Kanun’un 12/1 hükmü uyarınca bir ceza kararı uygulanmamıştır. Kanun’un 12/5 hükmü uyarınca yapılan incelemede ise, Kurul’a yapılacak bildirimde daha dikkatli olunması gerektiği, veri sorumlularına yapılan bildirimleri ispatlayan belgelerin ise Kurul’a sunulması gerektiğine karar verilmiştir.
(Karar için bkz: https://www.kvkk.gov.tr/Icerik/7020/2020-957)
- Kurul’un 25.03.2021 tarih ve 2021/311 sayılı kararında, bir kozmetik şirketinin “sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu” şeklinde gerçekleşen veri ihlalinin bildirildiği görülmekte olup, Kurul tarafından, Kanun’un 12/1 hükmü uyarıncaveri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmıştır. Kanun’un 12/5 hükmü uyarınca yapılan inceleme neticesinde ayrıca, veri sorumlusu hem Kurul’a hem de veri sahiplerine bildirimde bulunduğu için bu aşamada Kanun’un 12/5 hükmü uyarınca yapılacak bir işlem olmadığına karar vermiştir.
(Karar için bkz: https://www.kvkk.gov.tr/Icerik/7001/2021-311)
Anlaşılacağı üzere; Kanun’un 12. maddesinin 1. fıkrasına aykırı tüm hususlar veri ihlali niteliğinde olup, Kurul incelemelerini bu yönde yapmakta ve gerekli görürse cezai yaptırım uygulamaktadır. 12/5 hükmü uyarınca yapılan tek inceleme, ihlalin Kurul’a ve ilgililere bildirilip bildirilmediği yönündedir. Bu inceleme neticesinde Kurul gerekli görürse cezai yaptırım uygulamakta ya da veri sorumlusunu ihlal bildiriminde bulunması için talimatlandırmaktadır.
B) İHLAL BİLDİRİMİ
Kurul, GDPR’da veri ihlaline ilişkin olarak detaylı düzenlemelere yer verildiğine atıf yaparak, bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen 24.01.2019 tarih ve 2019/10 sayılı Kararı almıştır.
Bu karar ile yukarıda tanımlı şekilde gerçekleştirilmiş bir veri ihlali durumunda sürecin nasıl yönetilmesi gerektiği ve ihlal bildiriminin ne zaman ve nasıl yapılmasına gerektiğine dair birtakım önemli hususları açıklığa kavuşturmuştur.
- İhlal Bildirimi Ne Zaman Yapılmalıdır?
Kanun’un 12. Maddesinin 5. Fıkrası’nda, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmesi gerektiği belirtilmiştir.
24.01.2019 tarih ve 2019/10 sayılı Kararda, Kanun’un m. 12/5 hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlandığı ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesi gerektiği belirtilmiştir.
Veri sorumlusu tarafından 72 saatten sonra bildirim yapılması hâlinde ise, yapılacak bildirimde gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir. Haklı bir nedenin varlığı hâlinde, Kurul tarafından gecikme nedeniyle bir yaptırım uygulanmamaktadır. Kurul 08/12/2020 tarih ve 2020/934 sayılı Kararında; 72 saatin geçmesinin ardından yapılan bildirim için, “veri sorumlusunun çok uluslu bir yapısı olduğu ve etkilenen ilgili kişilerin bulunduğu ülkelerin tespit edilmesi ve ilgili ülkelerin bildirim yükümlülüklerinin tespit edilmesi ve değerlendirilmesi için gerekli süre göz önüne alındığında makul kabul edilebileceği” şeklinde karar vermiştir. (Karar için bkz: https://www.kvkk.gov.tr/Icerik/7035/2020-934)
- İhlal Bildirimi Kime Yapılmalıdır?
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu Kurul’a ve ihlalden etkilenmiş kişilere bildirilmesi gerekmektedir. Veri sorumlusunca Kurul’a bildirimin 72 saat içerisinde gerçekleştirilmesi gerekirken, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.
- Kurula Yapılacak Veri İhlal Bildirimi Nasıl Olmalıdır?
İhlal bildirimi, Kurul’un yayınladığı “Veri İhlali Bildirim Formu”nun Kurul’a e-posta yoluyla ya da fiziken kargo ile gönderilmesiyle veya Kurul’un internet sitesindeki veri ihlal bildirim platformunun kullanılması aracılığıyla gerçekleştirilebilecektir.
Kurul’un doldurulmasını talep ettiği Veri İhlal Bildiri Formu’nda aşağıdaki hususlar yer almaktadır;
- Veri sorumlusunun unvanı/ismi
- Veri sorumlusunun adresi
- Veri sorumlusu adına bu bildirimi hazırlayan kişinin bilgileri (veri sorumlusu adına bir başkası bildirimde bulunuyor ise sözleşme/vekaletnamesi)
- İhlalin başlama tarihi ve saati
- İhlalin başlama tarihi ve saati
- İhlalin sona erme tarihi ve saati
- İhlalin tespit tarihi ve saati
- İhlal veri işleyen tarafından veri sorumlusuna bildirildiyse bu bildirim ve veri işleyenin bilgileri (Yazı, e-posta gibi bir bildirim belgesi örneği)
- İhlalin kaynağı ve nasıl gerçekleştiği hakkında ayrıntılı bilgi
- İhlal etkileri hakkında ayrıntılı bilgi
- İhlalin nasıl tespit edildiği hakkında ayrıntılı bilgi ve varsa belgeler
- İhlalden etkilenen kişisel veri kategorilerinin tümü (Kimlik, sağlık bilgileri, etnik köken gibi veriler tek tek sayılmalıdır)
- İhlalden etkilenen kişi ve bu kişilere ait kayıt sayısı
- İhlalden etkilenen ilgili kişi grupları ve etkileri (İhlalden etkilenen kişiler çalışan, aboneler, müşteriler gibi sınıflandırılmalı ve bu kişiler üzerinde ihlalin ne gibi etkiler gösterebileceği belirtilmelidir)
- Kurula bildirimde tespit tarihinden sonra 72 saat geçirilmiş ise geç bildirimin sebebi
- İhlalden etkilenen kişilere bildirip yapılıp yapılmadığı ve bildirim yapılmadıysa neden yapılmadığı ve ne zaman yapılacağı hakkında ayrıntılı bilgi
- İlgili kişilere yapılan/yapılacak bildirimin tarihi
- İlgili kişilere hangi yöntemle bildirim yapıldığı/yapılacağı hakkında detaylı bilgi
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak iletişim yolları (internet adresi gibi)
- Yurtiçinde bulunan diğer organizasyon veya kurumlara ihlal hakkında bilgi verildi mi ya da verilecek mi? (polis, denetim kurumlar gibi)
- Yurtdışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ihlal hakkında bilgi verildi mi ya da verilecek mi?
- İhlal sebebiyle ilgili kişilerin önemli olumsuz etkilere maruz kalma olasılığı (Gerçekleşen veri ihlalinin düzeyinin belirlenmesinde ilgili kişiler üzerinde ne kadar bir potansiyel etkiye neden olduğunun değerlendirilmesi gerekmektedir. Söz konusu potansiyel etkinin değerlendirilmesinde ise ihlalin niteliği, nedeni, ihlale maruz kalan verinin türü, ihlalin etkisinin azaltılmasında alınan önlemler ile ihlalden etkilenen ilgili kişi kategorileri göz önünde bulundurulmalıdır. Bunun sonucunda bu etkiler; çok yüksek, yüksek, orta, düşük ya da henüz bilinmiyor şeklinde sınıflandırılmalıdır)
- İhlalin organizasyonunuza olan etkileri (Bu etkiler; çok yüksek, yüksek, orta, düşük ya da henüz bilinmiyor şeklinde sınıflandırılmalıdır)
- İhlal ile ilgili olan çalışanların son bir yıl içerisinde aldığı eğitimler nelerdir? (bunlara kanıt belgeler sunulmalıdır)
- Bu tür ihlalleri engellemek için ihlalin gerçekleşmesinden önce almış olduğunuz teknik ve idari tedbirler nelerdir? (bunlara kanıt belgeler sunulmalıdır)
- İhlal sonrası almış olduğunuz veya almayı planladığınız teknik ve idari tedbirleri belirtiniz ve bunların tahminen ne zaman tamamlanacağı hakkında bilgi (Problemi çözmek ve olumsuz etkilerini ortadan kaldırmak adına almış olduğunuz önlemlerin belirtilmesi istenmektedir. Örneğin yanlışlıkla gönderilmiş olan verilerin yok edilmesi, şifrelerin güvenliğinin sağlanması, veri güvenliği eğitimi planlanması vb. Ayrıca bunlara kanıt belgeler sunulmalıdır)
- Veri İhlalinden Etkilenen Veri Sahiplerine Yapılacak Bildirim Nasıl Olmalıdır?
Kişisel Verileri Koruma Kurulu’nun 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca, Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
- İhlalin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları
unsurlarına yer verilmesi gerekmektedir.
- Yurtdışında Gerçekleşen Bir İhlal İçin Bildirime Gerek Var Mı?
Kurul 24.01.2019 tarih ve 2019/10 sayılı kararında, veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması hâlinde, bu ihlalin sonuçlarının Türkiye’de yerleşik, “veri sahibi” sıfatına sahip olan gerçek kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulması gerektiğini belirtmiştir.
- Veri İhlal Bildiriminde Bulunmak Veri Sorumlusunu Cezadan Kurtarır Mı?
Kanun’da veya 24.01.2019 tarih ve 2019/10 sayılı Kararda veri ihlal bildiriminde bulunmanın, gerekli güvenlik tedbirlerini almamış olan veri sorumlusunu cezai sorumluluktan kurtaracağına dair bir hüküm bulunmamaktadır. Avrupa’daki veri koruma otoritelerinin ihlal bildirimlerine ilişkin hoşgörülü bir yaklaşım sergilediği bilinmekteyse de KVKK’nın çoğu zaman bildirimin alınmasının ardından ilgili veri sorumlusuna cezai yaptırım uyguladığı görülmektedir.
Ancak veri ihlali bildiriminin yapılmasının ardından kurul tarafından yürütülen soruşturmalarda, ihlalin boyutu, veri sorumlusunun ihlal öncesinde ve sonrasında aldığı tedbirler ve ihlalden etkilenen kişi sayısı gibi çeşitli hususlar incelemekte olup, bazı durumlarda ceza uygulanmadığı da görülebilmektedir. Bu gibi hallerde veri sorumlusuna, gerekli güvenlik tedbirlerinin alınmasında ya da bildirimde bulunurken çeşitli hususlara dikkate edilmesi konusunda talimat verilmesine karar verilmektedir.
Enerji sektöründe faaliyet gösteren bir veri sorumlusunun yaptığı ihlal bildirimin ardından yürütülen soruşturma neticesinde, 08/12/2020 tarih ve 2020/934 sayılı karar ile veri sorumlusunun yalnızca, 8.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması yönünde talimatlandırılmasına karar verilmiş olup, başkaca bir cezaya hükmedilmemiştir. Ancak söz konusu veri ihlalinden yalnızca 2 kişinin etkilendiği ve bu kişilerin veri sorumlusu tarafından derhal haberdar edilerek gerekli tedbirlerin alınmasının sağlandığı dikkate alınmalıdır.
(Karar için bkz: https://www.kvkk.gov.tr/Icerik/7035/2020-934)
Av. Serdar Darama
Kaynak: Av. Serdar Darama – İçerik, Ozgun Law firmasının özel izni ile yayınlanmıştır.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.
YAZARIN DİĞER YAZILARI