Veri İhlali ve Doğuracağı Sonuçlar

Makaleler -
Kişisel Verilerin Korunması ve Gizlilik

Kanun, veri sorumlularının ilgili veri ihlalinden haberdar olunur olunmaz mümkün olan en kısa sürede Kurul’a ve ilgili veri sahibine bilgi vermesini gerekli kılmaktadır. Kurul, 24 Ocak 2019 tarihli ve 2019/19 sayılı kararında (“Karar”), veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklığa kavuşturmuştur.

Kurul, ihlal bildirimlerinin zamanlaması bakımından GDPR yaklaşımını benimsemektedir ve Kanun’da yer alan “en kısa süre” ibaresinin veri ihlalinin tespit edilmesinin ardından 72 saat içerisinde olarak yorumlanması gerektiğini açıklamıştır.

Kanun ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır. Kurul, anılan Karar’ında veri ihlalinden etkilenen veri sahiplerinin belirlenmesinden sonra yapılacak bildirimin süresi ile ilgili olarak belli bir süre öngörmemiş, makul olan en kısa süre içerisinde bildirim yapılması gerektiğini belirtmiştir. Makul süre her somut olay özelinde değerlendirilmesi gereken bir husus olmakla birlikte, veri ihlalinin Kurul’a bildiriminden sonra ivedilikle ilgili kişilere bildirim yapılması uygun olacaktır.

Kurul’un kararı, veri ihlallerine hazırlıklı olmaları için veri sorumlularının önceden bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.

Veri ihlalinin bildirilmesi yükümlülüğü, yurt dışında ikamet eden veri sorumluları için de geçerlidir. Yurt dışındaki veri sorumlularının bir veri ihlali olayı yaşamaları ve söz konusu veri ihlalinin Türkiye’de ikamet eden veri sahiplerini ve Türkiye’deki veri sahipleri tarafından kullanılan malları/hizmetleri etkilemesi durumunda, yurt dışındaki veri sorumluları aynı şekilde Kurul tarafından duyurulan veri ihlali bildirimi prosedürlerini izlemek zorundadırlar. Yurt dışındaki veri sorumluları bakımından kritik olan husus, veri ihlali yurt dışında gerçekleşse bile, veri ihlalinden etkilenen veri sahiplerinin Türkiye’de bulunması halinde, Kurul’a bildirim yapılması gerektiğidir. Veri ihlal bildirimleri bakımından Kanun’un uygulama alanının bu anlamda genişletildiği görülmektedir.

Kurulun, bildirimde bulunurken veri sorumlularının doldurmaları gereken “Kişisel Veri İhlali Bildirim Formu” mevcuttur.

Yine Kurum’un internet sitesinde yayınlanan veri ihlal bildirimleri incelendiğinde ihlal bildirimlerinin çoğunlukla özel şirketler tarafından yapılmış olmasına karşın hastane ve üniversite gibi kuruluşlarca da ihlal bildirimleri yapıldığı görülmektedir. Diğer taraftan ihlallerden etkilenen kişi kategorilerinin ağırlıklı olarak ilgili veri sorumlularının çalışanları, hastaları, aboneleri, müşterileri, öğrencileri, klinik araştırma katılımcıları ve iş ortaklarından oluştuğu görülmektedir. Etkilenen veri kategorilerine baktığımızda ise, etkilenen veri kategorilerinin ağırlıklı olarak kimlik, eğitim, sağlık, dernek üyelik, işlem ve fiziksel mekân güvenliği, ceza mahkûmiyeti ve güvenlik tedbiri, ırk ve etnik köken, muhasebe ve finans bilgileri ile genetik, biyometrik verilerden oluştuğu görülmektedir. Söz konusu veri ihlali bildirimleri hem yurtiçinden hem de yurtdışından yapılmıştır.

İlaveten yayımlanan veri ihlallerinin önemli bir kısmının plastik sanayi ve bağlantılı sektörlerdeki veri sorumluları tarafından aynı gün maruz kalınan siber saldırı sonucunda gerçekleşen veri ihlallerinden oluştuğu görülmektedir. Diğer önemli kısmının ise bir hizmet sağlayıcı veri sorumlusunun maruz kaldığı yönetim paneline sızılması saldırısı sonucunda kendisinden hizmet alan veri sorumluları tarafından bildirilen veri ihlallerinden oluştuğu görülmektedir.  Sonuç olarak 2024 yılına baktığımızda veri ihlali bildirimlerinin çok çeşitli tür ve sektördeki veri sorumluları tarafından yapılmış olduğu görülmektedir.

Veri ihlali ile ilgili 2024 yılı istatistiklerine baktığımızda, 81 veri ihlal bildirimi Kurul’a intikal etmiş, bu bildirimlerin 63’ü kamuoyuna ilan edilmiştir. Kurum’un internet sitesinde yayınlanan veri ihlal bildirimleri incelendiğinde, veri ihlallerinin genellikle fidye yazılım saldırısı, siber saldırı, kullanıcı hesaplarına yetkisiz erişim, bir dahili kullanıcının kimlik bilgilerinin ele geçirilmesi, veri sızıntısı, verilerin silinmesi, sunucuların kitlenmesi, yönetici paneline sızılması, verilerin çevrimiçi olarak herkese açık bir şekilde yayımlanması ve oltalama saldırıları sonucunda gerçekleştiği görülmektedir.

Veri ihlali doğuracağı sonuçlar yönünden de veri sorumlusu hakkında idari para cezası uygulanma riski ve de Türk Ceza Kanunu kapsamında cezai sorumluluk bakımından hassasiyetle ele alınması gereken süreçlerdir. Bilindiği üzere Kanun, hem idari para cezaları verilmesine hem de cezai sorumluluğa ilişkin hükümler içermektedir. Kanun, cezai sorumluluğa ilişkin olarak, Türk Ceza Kanunu’nun kişisel verilerin hukuka aykırı olarak kaydedilmesi, hukuka aykırı olarak verilmesi veya ele geçirilmesine ilişkin yaptırımların yer aldığı ilgili hükümlerine atıfta bulunmaktadır.

Cezai yaptırımlara ek olarak, Kanun’da ayrıca ihlal durumunda uygulanacak idari para cezalarına ilişkin ayrıntıların yer aldığı hükümler bulunmaktadır. Kanun kapsamında veri güvenliğine ilişkin yükümlülüklerini yerine getirilmemesi, veri ihlalleri ve ihlalin zamanında Kurum’a bildirilmemesi bakımından 68.083 – 13.620.402 TL’ye kadar (2025 yılı için güncellenmiş) idari para cezası ile veri sorumlularını karşı karşıya bırakır.

Kurul’un veri ihlal bildirimleri üzerine ele aldığı ve ilan ettiği dosyalarda genel eğiliminin, ihlal bildirimlerine ilişkin daha yapıcı bir yaklaşım benimseyen Avrupa’daki veri koruma otoritelerine kıyasla, ağırlıklı olarak ceza verme yönünde olduğu görülmektedir. Bununla birlikte Kurul’un veri ihlalinden etkilenen kişi sayısı, ihlalin veri ilgilisi üzerinde olumsuz bir etki yaratıp yaratmadığı, veri sorumlusunun müdahalesinin mümkün olup olmadığı, ihlale konu verinin silinip silinmediği, veri sorumlusunun süresi içinde bildirimde bulunup bulunmadığı, makul idari ve teknik tedbirlerin alınıp alınmadığına ilişkin hususları dikkate alarak idari para cezası uygulamadığı kararları bulunduğunu da not etmek gerekir.

Veri ihlali süreçlerinin doğru ve zamanında ele alınması, veri sorumluları bakımından kritik düzeyde önemli olup, kişisel verilerin işlenmesi, silinmesi, yok edilmesi ve imhasına ilişkin veri sorumluları tarafından belirlenen ve uygulamaya alınan ilke ve prosedürlere ek olarak, veri ihlali durumunda izlenecek prosedürlerin de net bir şekilde belirlenmesi gerekmektedir. Veri sorumlularının uyum süreçlerinde olası bir veri ihlali durumunda hızlı ve etkin bir müdahale için bir veri ihlali müdahale planı oluşturmaları veri ihlalinin doğuracağı risklerin azaltılması açısından olumlu bir katkı sağlayacaktır.

Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.

Abone Olun