Kişisel veri ihlali, kişisel verilerin kazara veya yasa dışı olarak yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya kişisel verilere erişime yol açan bir güvenlik ihlali anlamına gelir.
6698 sayılı KVKK’nın 12. maddesinde, veri sorumlularının veri güvenliğine ile ilgili yükümlülükleri hazırlanmıştır. Veri sorumluları, başta kişisel verilerin hukuka aykırı bir şekilde işlenmesini ve kişisel verilere hukuka aykırı bir şekilde erişim sağlanmasının önüne geçmek ile kişisel verilerin korunmasını sağlamak maksadıyla uygun güvenlik seviyesini elde etmek ve gerekli her türden teknik ve idari önlemleri almak mecburiyetindedir. Aynı zamanda, veri sorumluları işlenen kişisel verilerin yasal olmayan şekillerde, başkalarının elde etmesi durumunda, bu durumu en kısa süre zarfında ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmekle sorumludur. Bu içeriğimizde, işlenen kişisel verilerin yasal olmayan şekillerde başkalarının elde etmesi, özetle veri ihlali sonucunda veri sorumluları aracılığıyla gerçekleştirilmesi gereken bildirimlerden ve söz konusu bildirimlerin gerçekleştirilmemesi durumunda maruz kalınabilecek tehlikeler ve cezalara değineceğiz.
Veri ihlali, KVKK çerçevesinde “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” olarak tanımlanırken, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde “iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla değiştirilmesi, imha edilmesi, kaybı, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” şeklinde açıklanmıştır.
Gerçekleşen veri ihlalinde, ihlalin ilgili kişiler üzerinde ne oranda bir olası etkiye sebep olduğunun değerlendirilmesi ve ihlal seviyesinin saptanması gerekmektedir. Bahsi geçen olası etki değerlendirilirken; ihlalin özelliği, ihlalin sebebi, ihlale maruz kalan verinin türü, ihlalin etkisinin düşürülmesinde alınan tedbirler ile ihlalden etkilenen ilgili kişi grupları göz önünde tutulmalıdır. Bununla birlikte; ihlaller, oluşturduğu risklere göre üçe ayrılmaktadır:
1. Düşük düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz hiçbir etkiye sebep olmamakta ya da bu etki göz ardı edilebilir seviyede kalmaktadır.
2. Orta düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz etkilere sebep olabilir; ancak bu etki büyük çaplı değildir.
3. Yüksek düzeyde risk: İhlal, etkilenen kişiler üzerinde ciddi seviyede olumsuz etkilere sebep olmaktadır.
Veri sorumluları, veri ihlali hususunda yasal olarak ihlalden etkilenen kişilere ve Kişisel Verileri Koruma Kuruluna ihlal ile alakalı bildirimde bulunmak mecburiyetindedir. Bu bildirimin maksadı, ihlal sebebiyle bu kişiler konusunda açığa çıkabilecek olumsuz neticelerin bir an önce önlenmesi veya en aza indirgenmesine olanak sağlayacak tedbirler alınmasını sağlamaktır. Kurul, gerekli görüldüğü hususlarda bu ihlali, kendi internet sitesinde ya da makul göreceği farklı bir yöntemle açıklayabilir.
Kişisel Verileri Koruma Kurulu, veri ihlali ile alakalı bir şekilde alınacak olan kararlar arasında, hiçbir uyumsuzluğa yol açmaması ve uygulamada bir standart sağlanabilmesi amacıyla 24 Ocak 2019 tarih ve 2019/10 sayılı kararı ile belli kararlar almıştır. Bu karara göre:
• Veri ihlali sonucunda, veri sorumlularının, 72 saatlik zaman zarfı içerisinde bu konuyu Kişisel Verileri Koruma Kuruluna iletmeleri gerekmektedir. 72 saatlik zaman zarfı içerisinde haklı bir neden ile bildirimde bulunulmaması sonucunda, bildirim ile beraber gecikmenin nedeni Kişisel Verileri Koruma Kurumuna açıklanacaktır.
• Veri sorumluları, veri ihlalinden etkilenmiş olan kişileri saptandıktan sonra, belirli bir süre içerisinde ilgili kişilere bildirimde bulunmalıdır. Söz konusu bildirim, iletişim bilgileri biliniyorsa direkt olarak ilgili kişiye yapılacak, aksi hâlde veri sorumlusunun internet sitesinde yayımlanarak veya benzeri şekillerde gerçekleştirilecektir.
• Kişisel Verileri Koruma Kuruluna yapılacak olan veri ihlali bildirimleri, Kişisel Veri İhlali Bildirim Formu’ndan yararlanılarak yapılacaktır. Veri ihlali bildirimlerinin düzenlenebilmesi amacıyla Kişisel Verileri Koruma Kurumu aracılığıyla Kişisel Veri İhlali Bildirim Formu Kılavuzu düzenlenmiş ve Kurumun internet sitesinde yayımlanmıştır. Mevcutsa, formda belirtilen bilgileri destekler nitelikteki belgeler forma eklenmelidir. Formda yer bulunan bilgilerin aynı anda verilmesinin olanağı olmayan durumlarda, gerekli bilgiler veri sorumlusu aracılığıyla gecikmeksizin kademeli olarak sağlanabilecektir.
• Veri ihlali ile ilgili bilgiler, ihlalin etkileri ve ihlale karşı alınan önlemler Kişisel Verileri Koruma Kurulunun incelemesine hazır olacak biçimde veri sorumlusu aracılığıyla kayıt altında tutulacaktır.
• Veri işleyen aracılığıyla işlenen kişisel verilerin yasal olmayan şekillerde başkalarının elde etmesi durumunda, veri işleyen aracılığıyla veri sorumlusuna gecikmeksizin bildirimde bulunulacaktır. Veri sorumlusunun veri ihlali ile alakalı bildirim yükümlülüğünü gerçekleştirebilmesi amacıyla, veri işleyenin veri ihlalini acilen veri sorumlusuna bildirmesi gerekmektedir. Veri işleyen aracılığıyla gerçekleştirilecek bildirimin nasıl yapılacağının ve hangi hususları barındıracağının, veri işleyen ve veri sorumlusu arasında yapılan veri işleme sözleşmesi çerçevesinde hazırlanması önemlidir.
• Veri ihlalinin yurt dışında yerleşik veri sorumlusu gözetiminde gerçekleşmesi ve ihlalin Türkiye’de yerleşik olan ilgili kişileri etkilemesi sonucunda, yurt dışında yerleşik olan veri sorumlularının da veri ihlali ile alakalı Kişisel Verileri Koruma Kuruluna bildirimde bulunmakla yükümlüdür.
• Veri sorumluları aracılığıyla veri ihlali müdahale planı düzenlenmesi ve söz konusu planın belirli aralıklarla kontrol edilmesi gerekmektedir. Veri ihlali müdahale planı çerçevesinde, veri sorumlusu aracılığıyla kendi içerisinde kime/kimlere raporlama yapılacağı, veri ihlalinin neticelerinin değerlendirilmesi ve gerekli bildirimlerin gerçekleştirilmesi hususlarında, sorumluluğun kendi içerisinde kime ait olacağı gibi hususlara değinilecektir.
Veri ihlali sonucunda ihlal ile alakalı bildirim yükümlülüklerini gerçekleştirmeyenlerin karşılaşabileceği yaptırımlara yer vermekte yarar vardır. KVKK’nın 18. maddesinde, veri güvenliğine dair yükümlülükleri gerçekleştirmeyen veri sorumluları konusunda, 2022 yılı ile birlikte 40.179 Türk lirasından, 2.678.863 Türk lirasına kadar idari para cezası kesileceği açıklanmıştır. Aynı zamanda, kişisel verileri ihlal edilen kişilerin, bildirim yükümlülüğünü gerçekleştirmeyen veri sorumlularına karşı hukuki yollara başvurarak maddi ve manevi tazminat talep etme hakları vardır. Bunlara ilave olarak, bildirim yükümlülüğünü gerçekleştirmeyen veri sorumlusu, ticari hayatta itibarını kaybetme tehdidi ile karşı karşıya kalacaktır.
Yazar: Zehra Betül Taşkın
Benzer: https://www.nesilteknoloji.com/veri-ihlalinden-sonra-kimliginizi-nasil-koruyabilirsiniz/