A)
VERİ İHLALİ NEDİR?
AB Genel Veri Koruma
Regülasyonu’nda da (“GDPR”) veri ihlali; “…iletilen, saklanan veya
işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı,
değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol
açan bir güvenlik ihlali” olarak tanımlanmıştır. Kişisel Verilerin
Korunması Kanunu'nda (“Kanun”) ise açıkça bir “veri ihlali” tanımı
yapılmamıştır.
Kişisel Verilerin
Korunması Kanunu'nun 12. maddesinin 5. fıkrası uyarınca, “işlenen
kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi
halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul'a
bildirmekle yükümlüdür”. Ne yazık ki vatandaşlar nezdinde, bu hükümde
belirtilen “kanuni olmayan yollarda başkaları tarafından elde edilmesi”
ifadesi, veri ihlalinin yalnızca, işlenen kişisel verilerin 3. kişiler
tarafından gerçekleştirilen siber saldırılar ya da çeşitli hukuka aykırı
müdahaleler sonucunda elde edilmesi hâlinde meydana gelmiş olacağı şeklinde
yorumlanabilmektedir.
Ancak kanuna aykırılık
teşkil eden her husus bir veri ihlali olarak nitelendirilmektedir. Örneğin;
Kanun’un 12/1 hükmü;
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak
erişilmesini önlemek,
c) Kişisel verilerin muhafazasını
sağlamak,
amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
şeklinde olup, bu
maddeye aykırılık teşkil eden her durumda veri ihlali meydana gelmiş olacaktır.
Bu itibarla, Kanun
uyarınca bildirimde bulunulması gereken bir veri ihlalinin gerçekleşmiş olması
için, yalnızca kanuni olmayan yollarla 3. kişi tarafından elde edilmesi şartının
yalnızca verilere 3. kişiler tarafından gerçekleştirilen saldırılar,
müdahaleler gibi çeşitli hukuka aykırılıklar sonucunda elde edilmesi şeklinde
düşünülmemesi gerekir. Örneğin bir veri sorumlusunun, veri sahiplerine ait kişisel
verilerini bir hata sonucunda ifşa etmesi durumunda da veriler hukuka aykırı
bir şekilde 3. kişilerin eline geçmiş olacaktır.
Kurul da yapılan ihlal
bildirimleri neticesinde yapılan incelemelerde, öncelikle Kanun hükümleri
uyarınca bir ihlal olup olmadığını değerlendirmekte, ardından ise 12/5 hükmü
uyarınca bildirim zorunluluğunun gereği gibi yerine getirilip getirilmediğini
incelemektedir.
Örnek olarak;
· Kurul’un 05/12/2020
tarih ve 2020/957 sayılı kararında, bir ilaç şirketinin “Sistem tarafından
otomatik olarak oluşturulan ve güncel maaş bordrolarını içeren e-postalarda
meydana gelen hata nedeniyle, 337 çalışanın bordrosunun yanlış çalışanlara
gönderilmesi” şeklinde gerçekleşen veri ihlalinin bildirildiği görülmekte olup,
Kurul tarafından bu ihlal incelemeye alınmış; ancak Kanun’un 12/1 hükmü
uyarınca bir ceza kararı uygulanmamıştır. Kanun’un 12/5 hükmü uyarınca yapılan
incelemede ise, Kurul’a yapılacak bildirimde daha dikkatli olunması gerektiği,
veri sorumlularına yapılan bildirimleri ispatlayan belgelerin ise Kurul’a
sunulması gerektiğine karar verilmiştir.
(Karar için bkz: https://www.kvkk.gov.tr/Icerik/7020/2020-957)
· Kurul’un 25.03.2021
tarih ve 2021/311 sayılı kararında, bir kozmetik şirketinin “sitede üye girişi
yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk
gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş
olma ihtimali bulunduğu” şeklinde gerçekleşen veri ihlalinin bildirildiği
görülmekte olup, Kurul tarafından, Kanun’un 12/1 hükmü uyarınca veri güvenliğini
sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu
hakkında 200.000 TL idari para cezası uygulanmıştır. Kanun’un 12/5 hükmü
uyarınca yapılan inceleme neticesinde ayrıca, veri sorumlusu hem Kurul’a hem de
veri sahiplerine bildirimde bulunduğu için bu aşamada Kanun’un 12/5 hükmü
uyarınca yapılacak bir işlem olmadığına karar vermiştir.
(Karar için bkz: https://www.kvkk.gov.tr/Icerik/7001/2021-311)
Anlaşılacağı
üzere; Kanun’un 12. maddesinin 1. fıkrasına aykırı tüm hususlar veri ihlali
niteliğinde olup, Kurul incelemelerini bu yönde yapmakta ve gerekli görürse
cezai yaptırım uygulamaktadır. 12/5 hükmü uyarınca yapılan tek inceleme,
ihlalin Kurul’a ve ilgililere bildirilip bildirilmediği yönündedir. Bu inceleme
neticesinde Kurul gerekli görürse cezai yaptırım uygulamakta ya da veri
sorumlusunu ihlal bildiriminde bulunması için talimatlandırmaktadır.
B)
İHLAL BİLDİRİMİ
Kurul,
GDPR’da veri ihlaline ilişkin olarak detaylı düzenlemelere yer verildiğine atıf
yaparak, bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal
verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen 24.01.2019
tarih ve 2019/10 sayılı Kararı almıştır.
Bu
karar ile yukarıda tanımlı şekilde gerçekleştirilmiş bir veri ihlali durumunda
sürecin nasıl yönetilmesi gerektiği ve ihlal bildiriminin ne zaman ve nasıl
yapılmasına gerektiğine dair birtakım önemli hususları açıklığa kavuşturmuştur.
1. İhlal
Bildirimi Ne Zaman Yapılmalıdır?
Kanun’un
12. Maddesinin 5. Fıkrası’nda, işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun
bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na (“Kurul”)
bildirmesi gerektiği belirtilmiştir.
24.01.2019
tarih ve 2019/10 sayılı Kararda, Kanun’un m. 12/5 hükmünde yer alan “en kısa
sürede” ifadesinin 72 saat olarak yorumlandığı ve bu kapsamda veri sorumlusunun
bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde
Kurula bildirmesi gerektiği belirtilmiştir.
Veri
sorumlusu tarafından 72 saatten sonra bildirim yapılması hâlinde ise, yapılacak
bildirimde gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir. Haklı
bir nedenin varlığı hâlinde, Kurul tarafından gecikme nedeniyle bir yaptırım
uygulanmamaktadır. Kurul 08/12/2020 tarih ve 2020/934 sayılı Kararında; 72
saatin geçmesinin ardından yapılan bildirim için, “veri sorumlusunun çok
uluslu bir yapısı olduğu ve etkilenen ilgili kişilerin bulunduğu ülkelerin
tespit edilmesi ve ilgili ülkelerin bildirim yükümlülüklerinin tespit edilmesi
ve değerlendirilmesi için gerekli süre göz önüne alındığında makul kabul
edilebileceği” şeklinde karar vermiştir. (Karar için bkz:
https://www.kvkk.gov.tr/Icerik/7035/2020-934)
2.
İhlal Bildirimi Kime Yapılmalıdır?
Kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,
veri sorumlusunun bu durumu Kurul’a ve ihlalden etkilenmiş kişilere
bildirilmesi gerekmektedir. Veri sorumlusunca Kurul’a bildirimin 72 saat
içerisinde gerçekleştirilmesi gerekirken, söz konusu veri ihlalinden etkilenen
kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre
içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan,
ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi
uygun yöntemlerle bildirim yapılması gerekmektedir.
3.
Kurula Yapılacak Veri İhlal Bildirimi Nasıl Olmalıdır?
İhlal
bildirimi, Kurul’un yayınladığı “Veri
İhlali Bildirim Formu”nun Kurul’a e-posta yoluyla ya da fiziken
kargo ile gönderilmesiyle veya Kurul’un internet sitesindeki veri ihlal
bildirim platformunun kullanılması aracılığıyla gerçekleştirilebilecektir.
Kurul’un
doldurulmasını talep ettiği Veri İhlal Bildiri Formu’nda aşağıdaki hususlar yer
almaktadır;
1. Veri
sorumlusunun unvanı/ismi
2. Veri
sorumlusunun adresi
3. Veri
sorumlusu adına bu bildirimi hazırlayan kişinin bilgileri
(veri sorumlusu adına bir başkası bildirimde bulunuyor ise
sözleşme/vekaletnamesi)
4. İhlalin
başlama tarihi ve saati
5. İhlalin
başlama tarihi ve saati
6. İhlalin
sona erme tarihi ve saati
7. İhlalin
tespit tarihi ve saati
8. İhlal
veri işleyen tarafından veri sorumlusuna bildirildiyse bu bildirim ve veri
işleyenin bilgileri (Yazı, e-posta gibi bir bildirim belgesi
örneği)
9. İhlalin
kaynağı ve nasıl gerçekleştiği hakkında ayrıntılı bilgi
10. İhlal
etkileri hakkında ayrıntılı bilgi
11. İhlalin
nasıl tespit edildiği hakkında ayrıntılı bilgi ve varsa belgeler
12. İhlalden
etkilenen kişisel veri kategorilerinin tümü (Kimlik, sağlık
bilgileri, etnik köken gibi veriler tek tek sayılmalıdır)
13. İhlalden
etkilenen kişi ve bu kişilere ait kayıt sayısı
14. İhlalden
etkilenen ilgili kişi grupları ve etkileri (İhlalden
etkilenen kişiler çalışan, aboneler, müşteriler gibi sınıflandırılmalı ve bu
kişiler üzerinde ihlalin ne gibi etkiler gösterebileceği belirtilmelidir)
15. Kurula
bildirimde tespit tarihinden sonra 72 saat geçirilmiş ise geç bildirimin sebebi
16. İhlalden
etkilenen kişilere bildirip yapılıp yapılmadığı ve bildirim yapılmadıysa neden
yapılmadığı ve ne zaman yapılacağı hakkında ayrıntılı bilgi
17. İlgili
kişilere yapılan/yapılacak bildirimin tarihi
18. İlgili
kişilere hangi yöntemle bildirim yapıldığı/yapılacağı hakkında detaylı bilgi
19. İlgili
kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak iletişim yolları
(internet adresi gibi)
20. Yurtiçinde
bulunan diğer organizasyon veya kurumlara ihlal hakkında bilgi verildi mi ya da
verilecek mi? (polis, denetim kurumlar gibi)
21. Yurtdışında
bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ihlal hakkında
bilgi verildi mi ya da verilecek mi?
22. İhlal
sebebiyle ilgili kişilerin önemli olumsuz etkilere maruz kalma olasılığı
(Gerçekleşen veri ihlalinin düzeyinin belirlenmesinde ilgili kişiler üzerinde
ne kadar bir potansiyel etkiye neden olduğunun değerlendirilmesi gerekmektedir.
Söz konusu potansiyel etkinin değerlendirilmesinde ise ihlalin niteliği,
nedeni, ihlale maruz kalan verinin türü, ihlalin etkisinin azaltılmasında
alınan önlemler ile ihlalden etkilenen ilgili kişi kategorileri göz önünde
bulundurulmalıdır. Bunun sonucunda bu etkiler; çok yüksek, yüksek, orta, düşük
ya da henüz bilinmiyor şeklinde sınıflandırılmalıdır)
23. İhlalin
organizasyonunuza olan etkileri (Bu etkiler; çok yüksek,
yüksek, orta, düşük ya da henüz bilinmiyor şeklinde sınıflandırılmalıdır)
24. İhlal
ile ilgili olan çalışanların son bir yıl içerisinde aldığı eğitimler nelerdir?
(bunlara kanıt belgeler sunulmalıdır)
25. Bu
tür ihlalleri engellemek için ihlalin gerçekleşmesinden önce almış olduğunuz
teknik ve idari tedbirler nelerdir? (bunlara kanıt belgeler
sunulmalıdır)
26. İhlal
sonrası almış olduğunuz veya almayı planladığınız teknik ve idari tedbirleri
belirtiniz ve bunların tahminen ne zaman tamamlanacağı hakkında bilgi
(Problemi çözmek ve olumsuz etkilerini ortadan kaldırmak adına almış olduğunuz
önlemlerin belirtilmesi istenmektedir. Örneğin yanlışlıkla gönderilmiş olan
verilerin yok edilmesi, şifrelerin güvenliğinin sağlanması, veri güvenliği
eğitimi planlanması vb. Ayrıca bunlara kanıt belgeler sunulmalıdır)
4. Veri İhlalinden Etkilenen Veri Sahiplerine Yapılacak Bildirim Nasıl Olmalıdır?
Kişisel
Verileri Koruma Kurulu’nun 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca,
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık
ve sade bir dille yapılması ve asgari olarak;
· İhlalin
ne zaman gerçekleştiği,
· Kişisel
veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı
yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
· Kişisel
veri ihlalinin olası sonuçları,
· Veri
ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen
tedbirler,
· İlgili
kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat
kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının
tam adresi, çağrı merkezi vb. iletişim yolları
unsurlarına
yer verilmesi gerekmektedir.
5. Yurtdışında
Gerçekleşen Bir İhlal İçin Bildirime Gerek Var Mı?
Kurul
24.01.2019 tarih ve 2019/10 sayılı kararında, veri ihlalinin
yurtdışında yerleşik veri sorumlusu nezdinde yaşanması hâlinde, bu ihlalin
sonuçlarının Türkiye’de yerleşik, “veri sahibi” sıfatına sahip olan gerçek
kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de
faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar
çerçevesinde Kurula bildirimde bulunulması gerektiğini belirtmiştir.
6.
Veri İhlal Bildiriminde Bulunmak Veri Sorumlusunu Cezadan Kurtarır Mı?
Kanun’da
veya 24.01.2019 tarih ve 2019/10 sayılı Kararda veri ihlal bildiriminde
bulunmanın, gerekli güvenlik tedbirlerini almamış olan veri sorumlusunu cezai
sorumluluktan kurtaracağına dair bir hüküm bulunmamaktadır. Avrupa’daki veri
koruma otoritelerinin ihlal bildirimlerine ilişkin hoşgörülü bir yaklaşım
sergilediği bilinmekteyse de KVKK’nın çoğu zaman bildirimin alınmasının
ardından ilgili veri sorumlusuna cezai yaptırım uyguladığı görülmektedir.
Ancak
veri ihlali bildiriminin yapılmasının ardından kurul tarafından yürütülen
soruşturmalarda, ihlalin boyutu, veri sorumlusunun ihlal öncesinde ve
sonrasında aldığı tedbirler ve ihlalden etkilenen kişi sayısı gibi çeşitli
hususlar incelemekte olup, bazı durumlarda ceza uygulanmadığı da
görülebilmektedir. Bu gibi hallerde veri sorumlusuna, gerekli güvenlik
tedbirlerinin alınmasında ya da bildirimde bulunurken çeşitli hususlara dikkate
edilmesi konusunda talimat verilmesine karar verilmektedir.
Enerji
sektöründe faaliyet gösteren bir veri sorumlusunun yaptığı ihlal bildirimin
ardından yürütülen soruşturma neticesinde, 08/12/2020 tarih ve 2020/934 sayılı
karar ile veri sorumlusunun yalnızca, 8.09.2019 tarih ve 2019/271 sayılı
Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması
yönünde talimatlandırılmasına karar verilmiş olup, başkaca bir cezaya
hükmedilmemiştir. Ancak söz konusu veri ihlalinden yalnızca 2 kişinin
etkilendiği ve bu kişilerin veri sorumlusu tarafından derhal haberdar edilerek
gerekli tedbirlerin alınmasının sağlandığı dikkate alınmalıdır.
(Karar
için bkz: https://www.kvkk.gov.tr/Icerik/7035/2020-934)
Av.
Serdar Darama