“Veri İhlali” kavramı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) doğrudan tanımlanmamış olmakla birlikte, 12. maddede “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği haller” olarak yer almaktadır. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) ise veri ihlali, “aktarılarak, depolanarak veya başka şekillerde işlenen kişisel verilerin istem dışı veya hukuka aykırı şekilde imhasına, ifşasına veya ele geçirilmesine yol açan haller” olarak tanımlanmıştır.
Kanun’un 12. maddesinin birinci fıkrası uyarınca, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kanun’da anılan yükümlülüklerin gereği gibi yerine getirilememesi durumunda ortaya çıkabilecek veri ihlalleri halinde veri sorumlusuna, Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirim yükümlülüğü getirilmiştir. Aynı maddenin beşinci fıkrasında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurul’a bildireceği, Kurul’un gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği düzenlenmiştir.
Veri sorumlusunun tüm yükümlülükleri için ilgili yazımıza göz atabilirsiniz.
Veri İhlali Bildirimi Ne Zaman Yapılmalıdır?
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş ilgili kişilere bildirim yapılmasındaki amaç, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya zararın en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.
Kanun’da veri ihlali bildiriminin, veri sorumlusu tarafından “en kısa sürede” yapılacağı belirtmiştir. Bu durum Kurul kararları arasında farklılıklara neden olmuştur. Doğrudan bir süre öngörülmemiş olmasının, Kurul kararları arasında farklılık yaratması ve uygulamada bir uyumsuzluğa neden olmaması amacıyla Kurul, 24.01.2019 tarihli ve 2019/10 sayılı kararı ile “en kısa sürede” ifadesinin GDPR ile uyumlu olarak 72 saat olarak uygulanmasına karar vermiştir.
Anılan karar uyarınca, veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanacaktır.
Veri İhlali Bildirimi Ne Şekilde Yapılır?
Veri İhlali Bildirimi, Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Kişisel Veri İhlali Bildirim Formu” aracılığıyla yapılır. Anılan form, ihlalin başlama tarihi, sona erme tarihi, tespit tarihi gibi bilgilerin yanı sıra veri ihlalinin ne şekilde gerçekleştiğine ilişkin de detaylı alanlar içermektedir.
Veri ihlali bildirim formunun yalnızca veri sorumlusu tarafından doldurulması gerekmektedir. Veri ihlalinden zarar görmesi muhtemel ilgili kişinin yapacağı bildirimler, Kurum’a şikayet olarak iletilmelidir. Aynı şekilde üçüncü kişilerin yapacağı bildirimler de, ihbar olarak yine Kurum’un şikayet sayfası üzerinden yapılır.
Veri İhlalinin Veri İşleyen Nezdinde Gerçekleşmesi
Kanun’da veri işleyen için doğrudan bir veri ihlali bildirimi yapma yükümlülüğü getirilmemişse de, ihlalin veri işleyen nezdinde gerçekleşmesi de oldukça olasıdır. Yukarıda yer verilen Kurul kararı ile, yine GDPR ile uyumlu olarak, veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması gerektiğini belirtmiştir.
Bu bildirimin ne şekilde yapılacağı ve içereceği hususlara ilişkin detayların veri işleme sözleşmesi kapsamında düzenlenmesi, her iki tarafın menfaatlerinin korunması bakımından yerinde olacaktır.
Veri İhlali Bildirimi Yapılmamasının Sonuçları
Kanun’da veri güvenliğinin sağlanamaması nedeniyle 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası öngörülmüştür. Bunun yanı sıra, ilgili kişilerin veri ihlali durumunda uğradıkları zararların tazmini için dava yoluna da gidebileceği ve tazminat talebinde bulunabileceği unutulmamalıdır.
Veri ihlali durumunda karşı karşıya kalınacak hukuki yaptırımların yanı sıra, böyle bir durumda şirketlerin uğrayacağı itibar kaybı da oldukça önemli bir risktir.
Veri İhlali Müdahale Planı
Yukarıda anılan Kurul kararı ile ayrıca veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine karar verilmiştir.
Dolayısıyla KVKK uyum süreci kapsamında, şirketler ve diğer veri sorumluları için büyük zararlar doğurabilecek veri ihlali hallerinde uygulanacak prosedüre ilişkin bir müdahale planının da hazırlanması gerekmektedir.
Bu konuyla ilgili daha fazla bilgi ve KVKK uyum sürecine ilişkin her türlü danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından ve info@startupnedir.com adresinden iletişime geçebilirsiniz.
