6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun 12’nci maddesinde, veri sorumlularının veri güvenliğine ilişkin yükümlülükleri düzenlenmiştir. Veri sorumluları, öncelikle kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek ve gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Ayrıca, veri sorumluları işlenen kişisel verilerin kanuni olmayan yollarla, başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Bu yazımızda, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, kısaca veri ihlali durumunda veri sorumluları tarafından yapılması gereken bildirimlerden ve bu bildirimlerin yapılmaması durumunda maruz kalınabilecek riskler ve cezalardan bahsedeceğiz.
Veri ihlali, Kişisel Verilerin Korunması Kanunu kapsamında “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” olarak ifade edilirken, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında “iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır.
Gerçekleşen veri ihlalinde, ihlalin ilgili kişiler üzerinde ne kadar bir potansiyel etkiye neden olduğunun değerlendirilmesi ve ihlal düzeyinin belirlenmesi gerekmektedir. Söz konusu potansiyel etki değerlendirilirken; ihlalin niteliği, ihlalin nedeni, ihlale maruz kalan verinin türü, ihlalin etkisinin azaltılmasında alınan önlemler ile ihlalden etkilenen ilgili kişi kategorileri göz önünde bulundurulmalıdır. Buna göre; ihlaller, teşkil ettiği risklere göre üçe ayrılmaktadır:
- Düşük düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz herhangi bir etkiye neden olmamakta ya da bu etki ihmal edilebilir düzeyde kalmaktadır.
- Orta düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz etkilere neden olabilir; fakat bu etki büyük değildir.
- Yüksek düzeyde risk: İhlal, etkilenen kişiler üzerinde ciddi düzeyde olumsuz etkilere neden olmaktadır.
Veri sorumluları, veri ihlali durumunda kanunen ihlalden etkilenmiş kişilere ve Kişisel Verileri Koruma Kuruluna ihlal ile ilgili bildirimde bulunmak zorundadır. Bu bildirimin amacı, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamaktır. Kurul, gerekli görüldüğü durumlarda bu ihlali, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Kişisel Verileri Koruma Kurulu, veri ihlali ile ilgili olarak alınacak kararlar arasında, herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standart sağlanabilmesi için 24 Ocak 2019 tarih ve 2019/10 sayılı kararı ile belirli kararlar almıştır. Bu karara göre:
- Veri ihlali durumunda, veri sorumlularının, 72 saat içerisinde bu durumu Kişisel Verileri Koruma Kuruluna bildirmeleri gerekmektedir. 72 saat içerisinde haklı bir gerekçe ile bildirimde bulunulmaması durumunda, bildirim ile birlikte gecikmenin gerekçesi Kişisel Verileri Koruma Kurumuna açıklanacaktır.
- Veri sorumluları, veri ihlalinden etkilenen kişileri tespit ettikten sonra, makul bir süre içerisinde ilgili kişilere bildirimde bulunacaktır. Bu bildirim, iletişim bilgileri biliniyorsa doğrudan ilgili kişiye yapılacak, aksi durumda veri sorumlusunun internet sitesinde yayımlanarak ya da benzeri yollarla gerçekleştirilecektir.
- Kişisel Verileri Koruma Kuruluna yapılacak veri ihlali bildirimleri, Kişisel Veri İhlali Bildirim Formu kullanılarak yapılacaktır. Veri ihlali bildirimlerinin hazırlanabilmesi için Kişisel Verileri Koruma Kurumu tarafından Kişisel Veri İhlali Bildirim Formu Kılavuzu hazırlanmış ve Kurumun internet sitesinde yayımlanmıştır. Varsa, formda belirtilen bilgileri destekleyici belgeler (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir. Formda yer alan bilgilerin aynı anda sunulmasının mümkün olmadığı durumlarda, gerekli bilgiler veri sorumlusu tarafından gecikmeksizin aşamalı olarak sağlanabilecektir.
- Veri ihlaline ilişkin bilgiler, ihlalin etkileri ve ihlale karşı alınan tedbirler Kişisel Verileri Koruma Kurulunun incelemesine hazır olacak şekilde veri sorumlusu tarafından kayıt altına alınacaktır.
- Veri işleyen tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri işleyen tarafından veri sorumlusuna gecikmeksizin bildirimde bulunulacaktır. Veri sorumlusunun veri ihlali ile ilgili bildirim yükümlülüğünü yerine getirebilmesi için, veri işleyenin veri ihlalini ivedilikle veri sorumlusuna bildirmesi gerekmektedir. Veri işleyen tarafından yapılacak bildirimin ne şekilde yapılacağının ve hangi hususları içereceğinin, veri işleyen ve veri sorumlusu arasında akdedilen veri işleme sözleşmesi kapsamında düzenlenmesi önem arz etmektedir.
- Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde gerçekleşmesi ve ihlalin Türkiye’de yerleşik ilgili kişileri etkilemesi durumunda, yurt dışında yerleşik veri sorumlularının da veri ihlali ile ilgili Kişisel Verileri Koruma Kuruluna bildirimde bulunma yükümlülükleri bulunmaktadır.
- Veri sorumluları tarafından veri ihlali müdahale planı hazırlanması ve bu planın belirli aralıklarla gözden geçirilmesi gerekmektedir. Veri ihlali müdahale planı kapsamında, veri sorumlusu tarafından kendi içerisinde kimlere raporlama yapılacağı, veri ihlalinin sonuçlarının değerlendirilmesi ve gerekli bildirimlerin yapılması konularında, sorumluluğun kendi içerisinde kime ait olacağı gibi konulara yer verilecektir.
Son olarak, veri ihlali durumunda ihlal ile ilgili bildirim yükümlülüklerini yerine getirmeyenlerin karşılaşabileceği yaptırımlara değinmekte fayda bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesinde, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında, 2024 yılı itibarıyla 141.934 Türk lirasından, 9.463.213 Türk lirasına kadar idari para cezası verileceği öngörülmüştür. Ayrıca, kişisel verileri ihlal edilen kişilerin, bildirim yükümlülüğünü yerine getirmeyen veri sorumlularına karşı hukuki yollara başvurarak maddi ve manevi tazminat isteme hakları bulunmaktadır. Bunlara ek olarak, bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu, ticari hayatta itibar kaybına uğrama riski ile karşı karşıya kalacaktır.