Kişisel Veri İhlallerinin Kurum’a Bildirilmesi Yükümlülüğü

Kişisel Veri İhlallerinin Kurum’a Bildirilmesi Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanununun “veri güvenliğine ilişkin yükümlülükler” maddesi altında, veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiştir.

Aynı madde kapsamında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirme yükümlülüğü bulunmaktadır ve Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Bu madde kapsamında veri sorumluluklarına atfedilen yükümlülük veri sorumlusunun ihlali tespit etmesi ile başlar.

Kanunda yer alan “en kısa sürede” bildirim yükümlülüğünün ne şekilde uygulanması gerektiğine ilişkin ise Kurul 6698 sayılı Kanuna kaynak teşkil eden AB 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde (GDPR) de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiğini de dikkate alarak, Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesi amacı ile; 24.01.2019 tarih ve 2019/10 sayılı Kararı ile ilgili hükümde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar vererek Kanun maddesi detaylandırılmıştır.

Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir.

Kurula yapılacak bildirimde Kurul’un hazırladığı Kişisel Veri İhlal Bildirim Formunun kullanılması gerekir.

Söz konusu bildirim yükümlülüğünün yerine getirilmemesinin, veri ihlali sebebi ile veri güvenliği yükümlülüklerinin ihlali gibi değerlendirmelerden bağımsız, 1 milyon TL’ye varan idari para cezası yaptırımı Kanunda düzenlenmiştir. Kanunumuz mehaz düzenlemenin aksine, her bir veri ihlalinin bildiriminin yapılmasını düzenlemektedir. Dolayısıyla veri sorumlusunun veri ihlali yaşanması halinde ihlalden etkilenen kişilerin ihlal sebebi ile riske maruz kalıp kalmayacağını değerlendirmesine gerek olmadan, her türlü ihlal bildiriminde bulunması beklenmektedir ancak bu usul esasen hayatın normal akışına aykırı gorunmektedi, bir e-mailin yanlış adrese dahi gönderilmesi de veri ihlali olmakla birlikte her bir durum bildirime konu edilmemektedir.

Şüphesiz, idari para cezasının belirlenmesinde ihlalin ne kadar süre bildirilmediği, ihlalden etkilenen kişiler gibi bazı kriterler baz alınıyordur ancak Kurul bu konuda bir kılavuz yayınlamıştır. Son verilen kararlarda Kurul’un kendisine yapılan bildirimlerin akabinde geç bildirimler için ayrıca idari para cezası kestiğini ve bunun yanında ilgili bildirime binaen Kurum’a yapılan şikayetler akabinde veya re’sen ihlale ilişkin veri sorumlusunun veri güvenliğini sağlamaya yönelik yeterli teknik ve idari tedbirin alınamamasından ayrıca idari para cezaları da kesildiği görülmektedir.

Bu kapsamda herhangi bir veri ihlali yaşanması halinde, durumun tespit edilmesi, özellikle global şirketlerde hangi ülkelerin bu ihlalden hangi boyutta etkilendikleri kesin olarak tespit edilemeyebilir ya da bu süreç/ araştırma/ teknik analiz uzun sürebilir ve bu durum ihlalin geç bildirilmesine ilişkin yaptırımlara sebep olabilir ancak önemli olan bu sürecin nasıl yürütüldüğünün Kuruma yapılacak bildirimde, bildirim formunda şeffaf bir şekilde anlatılması, alınan aksiyonların somut olarak aktarılması ve durumun izahından ibarettir. Bu şekilde geç bildirim durumu mevcut olsa dahi Kurul’un karar verirken tüm bu koşulları göz önünde bulunduracağından şüphe yoktur. Diğer yandan, Kurul ile yakın iletişim, Kurul’un söz konusu ihlal bildiriminin doğrudan web sitesinde yayınlayıp yayınlamaması hususunda da etkili olabilir. Kurul söz konusu ihlalin boyutlarına, alınan önlemlere ve aksiyonlara bakarak karar verebilir. Şüphesiz yapılan her veri ihlali bildirimi kendi içinde geç ihlal sebebi ile idari para cezası yaptırımı ve bunun yanında veri sorumlusunun gerekli idari ve teknik önlemleri almamış olması sonucuna dayanılarak ayrı bir idari para cezası yaptırımını içerme durumu her zaman mevcuttur.

Kurul’un yayınladığı özet kararlardan görülen, Kurul’un genel olarak veri ihlali durumlarında veri sorumlularının veri güvenliğini sağlamak için yeterli teknik ve idari önlemleri almamış olmadıkları sonucuna otomatik olarak ulaşıldığı, esasen bu konuda özel bir teknik incelemeye girmeden karar verildiğidir. Özellikle ihlalden haberdar olunma biçiminin dahi Kurul’a bu konuda bir sonuca varma yetkisi verdiği görülmektedir. Ancak kanun veri sorumlusuna kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak yönünde bir yükümlülük yüklemektedir ve bu hükümden anlaşılması gereken, Kurul’un bir ihlal durumunda bu önlemlerin alınıp alınmadığı hususunu incelemesi gerektiğidir. Kurul’un uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri geniş değerlendirdiği ve ihlalin tek başına varlığını, uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari önlemlerin alınmamış olmasına bağladığı görülmektedir. Bu durum veri sorumlularının veri güvenliğine ilişkin sorumluluğunun en üst seviyede olduğunu gösterir.

-------------------------------------------------------

Begüm Yavuzdoğan Okumuş (https://gun.av.tr/tr/cv/begum-yavuzdogan-okumus/)

Çalışma Alanı: Teknoloji, Medya ve Telekomünikasyon (https://gun.av.tr/tr/teknoloji-medya-ve-telekomunikasyon/)

Paylaş: