KİŞİSEL VERİ İHLALİ BİLDİRİMİNİN ÖNEMİ

KİŞİSEL VERİ İHLALİ BİLDİRİMİNİN ÖNEMİ

19
Şub2021

Kişisel verilerin kaydedilmesi, aktarılması, silinmesi kadar önemle ele alınması gereken bir diğer husus kişisel verilere hukuka aykırı olarak erişimin engellenmesi yani korunmasıdır.  Aksi halde veri ihlalinin varlığı söz konusu olacaktır.

Kişisel verilerin Korunması Kanunu 12. Maddesine göre veri ihlali ; “…işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde…”  olarak tanımlanmıştır.

AB mevzuatının Genel Veri Koruma Regülasyonuna (GDPR) veri ihlali; “…iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı,  değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır.

Bu tanımlara bakıldığında, KVKK ile GDPR arasında farklılık olduğu göze çarpmaktadır.

KVKK, veri ihlali bildirimi için,  kişisel verilerin hukuka aykırı şekilde “başkaları tarafından elde edilmesi” eylemini gerekli görmüştür.

GDPR ise,

-verilerin imha edilmesi, kaybedilmesi (yok edilmesi ya da ulaşılamaz hale getirilmesi),

-değiştirilmesi (verinin aslına veya bütünlüğüne zarar verilmesi),

-yetkisiz şekilde açıklanması (gizliliğinin ortadan kaldırılarak ifşa edilmesi),

durumlarında ihlalin varlığı kabul edilecektir.

Burada GDPR ile KVKK arasında ciddi farklılık göze çarpmaktadır.

Bu iki tanım ve örnekler üzerinden KVKK ‘ya dair değerlendirme yapıldığında; verilerin bütünlüğüne zarar gelmesi ve verilere erişilebilmesi hallerinin kanunumuz kapsamında Kuruma bildirimi gereken veri ihlali olarak kabul edilmediği sonucuna varmak mümkündür. Verilerin başkaları tarafından elde edilmesi;  verilerin bilinir olması yani gizliliğinin ortadan kalkması sonucunu doğurmakta olduğundan, veriler şifreli ise, elde edilememiş yani gizliliğinin ortadan kalkmamış olacaktır ki bu da kanuna göre bildirilmesi gereken bir veri ihlalinin olmadığı anlamına gelecektir. Başka bir durumda da, özel nitelikli kişisel verileri içeren bir sunucuya yapılan saldırı ile verilerin silinmesi ancak buna rağmen üçüncü bir kişilerin eline geçmemiş olması durumunda da KVKK yönünden ”bildirimi gereken bir veri ihlali” gerçekleşmemiş demektir. Kısacası Kurumun bildirim yükümlülüğü için tek kıstasının, verilerin üçüncü bir kişinin eline geçmiş olması olduğunu anlaşılmaktadır.

GDPR’a göre verilere üçüncü kişilerce ulaşılmasa dahi, silinmesi, değiştirilmesi, şifreli dahi olsa erişilmiş olması halleri bir veri ihlalinden söz etmek ve derhal bildirimde bulunmak için yeterlidir.

Her iki uygulama için de bildirimi gereken bir veri ihlali var ise, bildirimin en erken sürede gerçekleştirilmesi gerektiği tartışmasızdır.

Kişisel Verilerin Korunması Kanununun 12. maddesinin 5. Fıkrasının; “… işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği …” şeklindeki düzenlenmesi,  Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı ile belirgin bir hal almış ve “en kısa sürede” ifadesi 72 saat olarak belirlenmiştir.

Ancak bazı durumlarda ihlalin öğrenilmesine rağmen etkilenecek kişilerin kimler olduğu, riskin boyutu hakkında bilgilere erişilmesi güç olabilecektir. Örneğin, veri ihlalini gerçekleştirenin verilere nasıl eriştiğini, ne ölçüde eriştiğini veya sistemden veri kopyalayıp kopyalamadığını derhal anlamak mümkün olmayabilir. Ancak 72 saat içinde bu bilgilere ulaşılması için ciddi bir çaba sarf edilmeli, bu somut şekilde ortaya konulmalı ve gerekli bilgilerin öğrenildikleri an veya aşamalı olarak sunulmalıdır. Böyle bir durumda; bilgilere tahminen ne kadar süre içerisinde erişilebileceğini, bu konudaki çalışma planının ne olduğu, olasılıkların neler olduğunu açıklamak belirtmek gerekmektedir.

Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı devamı;

“…Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına…” şeklindedir.

Etkilenen kişilere yapılacak bildirimde, ihlalin varlığından haberdar etmenin yanında, mevcut ihlale dair açık ve sade bir dille açıklamada bulunmak, bilgi ve öneri vermek de yararlı olacaktır. Bireylere önerilerde bulunurken ihlale rağmen atabilecekleri adımlar hakkında, yararlı ve samimi öneriler sunmak (şifrelerini değiştirmek, dolandırıcılık amaçlı yaklaşımlara karşı hazırlıklı ve dikkatli olmak gibi) zararı azaltmak için etkili bir yol olabilecektir. İhlal hakkında iletişime geçebilecekleri yetkilinin bilgilerini, polis (veya başka ilgili bir kurumla) ile iletişime geçilip geçilmediğini,  olası sonuçların yani risklerin neler olduğunu ve riski en aza indirmek için bireylerin yapabileceklerini öneri olarak sunmak süreci sağlıklı yürütmek için faydalı olacaktır.

Veri ihlal bildirimi ile amaçlanan, veri sahibi bireyler için potansiyel olumsuz sonuçların “mümkün olduğu ölçüde” engellenmesidir. Burada engellemeden kastedilen, bireylerin göreceği zararı en aza indirmenin mümkün olması ihtimalinin dikkate alınması ve ihlalin olumsuz etkilerini en aza indirmek için acil ve önleyici adımlar atılmasını sağlanmasıdır. Burada KVKK, hangi veri ihlallerinin bildirileceği konusunda bir ayrıma gitmemiş, tüm veri ihlallerini seviyede riskli görerek, Kuruma ve kişisel verisi ihlale uğrayan kişilere bildirimini şart koşmuştur.  

GDPR yönünden ise farklı bir değerlendirme söz konusudur. Burada risk seviyesi ayrımına gidilmiştir. Şöyle ki; temel hak ve özgürlüklere yönelik olarak oluşan riskin Otorite’ye bildirimi gerekirken,  ihlalden kaynaklı oluşan riskin, yüksek risk yaratması halinde ihlalin, ilgili Kişiye bildirilmesi gerekmektedir. Bu adımlar atılırken ihlalin doğuracağı olumsuz sonuçlar (olası riskler) her vakıaya göre ayrı değerlendirilecektir. Örneğin çalışanların yalnızca adlarının yer aldığı bir listenin kaybolması ile kimlik verilerini veya sağlık verilerini içeren kayıtların kaybolması arasında (zararlı sonuçlar yönünden) ciddi farklılık vardır.  Elbette ki, özel nitelikli verilerin ihlali söz konusu olduğunda, bildirimde bulunma ya da etmemek hususunda değerlendirmede bulunmaya gerek yoktur. Burada risk yüksektir.  İhlal, ırksal veya etnik köken, siyasi görüş, din veya felsefi inançları veya sendika üyeliğini ortaya çıkaran kişisel verileri içeriyorsa veya genetik veriler, sağlıkla ilgili veriler veya cinsel yaşamla ilgili veriler veya cezai mahkumiyetler içeriyorsa, uğranılacak zararın yüksek olduğu kabul edilmelidir.

Burada sonuçların ciddiyeti, ihlalden zarar bireylerin özel durumları, veri sorumlusunun faaliyet alanı yönlerinden  değerlendirme yapmak önemlidir.  Bu nedenle, ihlal edilen kişisel verilerin kimlik hırsızlığı, fiziksel zarar, psikolojik zarar, aşağılama vb. İle sonuçlanıp sonuçlanmayacağını değerlendirmesi gerekir. Ancak bu risk değerlendirmesinin ve bildirimde bulunup bulunmama kararının gerekçelendirilmesi ve belgelenmesi gerekmektedir. Diğer bir deyişle, ihlalin haklar ve özgürlükler açısından riske yol açma olasılığının düşük olduğu gerekçesi ile bildirimde bulunmama kararı alınmış ise, bu kararı destekleyen delililer sunmak, bu kararı somut gerekçelerle (hesap verebilir şekilde) belgelemek gerekmektedir.

Tüm bu anlatımlarımıza rağmen (ihlali bildirmemek için haklı ve yerinde gerekçelerin olmaması durumunda)  bildirim sorumluluğunun mevzuata uygun şekilde (süresinde, eksiksiz)  gerçekleştirilmemesi, ciddi yaptırımlarla karşılaşılması sonucunu doğuracaktır.

Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18. Maddesinde;

  • b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, …

idari para cezası verilir….”

hükmü mevcuttur.

GDPR ise; 

  • veri güvenliğinin sağlanamaması nedeniyle 000.000 Avro veya şirketin bir önceki finansal yıla ait tüm dünyadaki cirosunun %10’u kadar idari para cezası,
  • veri ihlalinin bildirilmemesi nedeniyle  000.000 Euro veya şirketin bir önceki finansal yıla ait tüm dünyadaki cirosunun %20’si kadar idari para cezası

öngörmektedir. Burada görüldüğü üzere iki ayrı idari para cezası mevcuttur.

Maddede yer alan cezalar idari yaptırım niteliğinde olup, kişilik hakları ihlal edilenlerin, genel hükümlere göre (maddi ve manevi) tazminat hakkına dair taleplerine dair dava açma hakları saklıdır.

Gerek idari para cezası gerek ise tazminat taleplerinin yanı sıra, uğranılacak itibar kaybının hafife alınamayacak kadar ciddi sonuçlar yaratacağının altını çizmek gerekmektedir.

Bu kapsamda yapılacak değerlendirme,

İhlalin kaynağını, etkilenecek kişileri,  ihlale konu veri türlerini, zararı ve riskleri değerlendirmek, olası sonuçlarını tespit etmek de “kişisel verilerin korunması”na hizmet eden ve ciddiyetle ele alınması gereken bir konudur.

Av. S. MELEK ATALAN

Leave your comment

Please enter your name.
Please enter comment.