Avrupa Birliği Veri Koruma Genel Tüzüğü (2016/679) (“GDPR”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verileri koruma anlamında önemli roller üstlenen yasal düzenlemelerdir.
KVKK, GDPR ile mülga hale gelen, 95/46 sayılı Avrupa Birliği Veri Koruma Tüzüğü’yle uyumlu olacak şekilde hazırlanmıştır. Her ne kadar GDPR ile Veri Koruma Tüzüğü aynı veri işleme prensiplerini içeriyor olsa da çeşitli farklılıkları bünyesinde barındırmaktadır. Bunlardan bir tanesi de veri ihlal süreçleridir.
Veri İhlalinin Tanımı.
GDPR’da veri ihlali “iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde ifşa edilmesi veya bunlara erişilmesine yol açan güvenlik ihlali” şeklinde tanımlanmaktır. GDPR’ın aksine KVKK’da veri ihlalinin açıkça tanımı yapılmamaktadır ancak, KVKK’ya göre “kişisel verilerin hukuka aykırı olarak elde edilmesi” durumu, veri sorumluları için bildirim yükümlülüğünü doğurmaktadır. Bu kapsamda, KVKK uyarınca, veri ihlaline ilişin 3 noktaya vurgu yapılmaktadır:
-
Hukuka aykırılık,
-
Kişisel verilerin elde edilmesi, ve
-
Yetkisiz kişilerin mevcudiyeti.
Yetkili Makama Bildirim.
GDPR veri sorumluları tarafından “kişisel veri ihlallerinin”, ilgili kişiye yönelik herhangi bir zarara sebebiyet verme ihtimalinin olmadığı durumlar haricinde, ihlalin farkına varıldıktan sonraki 72 saat içinde ilgili yetkili makama bildirilmesi gerektiğini düzenlemektedir.
KVKK, veri sorumlularının herhangi bir veri ihlali durumunda Kişisel Verileri Koruma Kurumu’nu (“Kurum“), söz konusu ihlalin ilgili kişilere yönelik bir zarar doğurma ihtimali olup olmadığına bakılmaksızın, 72 saat içerisinde, Kurum tarafından yayımlanan resmi form kullanılarak bilgilendirmesi gerektiğini düzenlemektedir.
Dolayısıyla, bir veri ihlali söz konusu olduğunda, GDPR’a tabi olan veri sorumlularının ihlalin ilgili kişilerin hak ve özgürlükleri üzerinde oluşturduğu riski değerlendirmesi gerekirken, KVKK’ya tabi veri sorumlularının herhangi bir risk değerlendirmesi yapmaksızın her veri ihlalini Kurum’a bildirmesi zorunlu tutulmuştur.
Buna ek olarak GDPR, veri sorumlularının veri ihlal bildirimi esnasında bütün gerekli bilgileri sağlaması mümkün değilse bu bilgileri aşamalı olarak sağlamasına imkan verirken; aynı şekilde KVKK uyarınca da veri sorumluları ellerinde mevcut bulunan bilgileri 72 saat içerisinde Kurum’a bildirdikten sonra, elde ettikleri ilave bilgileri takip bildirimi ile sağlayabilmektedir.
İlgili Kişilere Bildirim.
GDPR veri sorumluları tarafından veri ihlalinin yarattığı tehlikeleri önlemek veya en aza indirmek için etkili teknik ve idari tedbirler alınmadığı müddetçe, eğer veri ihlali gerçek kişinin hakları ve özgürlükleri üzerinde ciddi bir risk yaratıyorsa ilgili kişiye bildirim yapılmasını öngörmektedir. İlaveten ilgili yetkili makam, veri sorumlusunun ilgili kişileri ihlal hakkında bilgilendirmesini de isteyebilir.
Öte yandan KVKK, veri sorumlularının, veri ihlalinin yarattığı riskin ölçüsüne bakılmaksızın, her halde ilgili kişilerin veri ihlali ile ilgili bilgilendirilmesi gerektiğini düzenlemektedir. Ayrıca, veri sorumlusu ilgili kişinin iletişim bilgilerine sahipse, bildirimi elektronik yoldan veya fiziki olarak yapmalıdır. Eğer ilgili kişinin iletişim bilgilerine sahip değilse, veri ihlalini veri sorumluları kendi internet sitelerinde duyurabilirler. Ek olarak Kurum’un da bu hususa ilişkin kamuyu bilgilendirmesi mümkündür. Uygulamada Kurum, ilgili kişilerin sayısının belli bir miktarı aşması durumunda genellikle kamuyu www.kvkk.gov.tr adresi üzerinden bilgilendirmeyi tercih ettiği gözlemlenmektedir.
Sınır Ötesi Etki.
Avrupa Birliği sınırları içerisinde yer almayan fakat Avrupa Birliği’ndeki kişilere mal ve hizmet sağlayan ve/veya ilgili kişilerin davranışlarını izleyen veri sorumluları da GDPR uyarınca veri ihlallerinden sorumludur ve ihlalden etkilenen ilgili kişilerin bulunduğu Üye Devlette yer alan yetkili makamı bilgilendirmekle yükümlüdür[1].
Benzer şekilde, Türkiye’de yerleşik olmayan veri sorumluları da Türkiye’deki ilgili kişilerin etkilendiği bir veri ihlali söz konusu olduğunda, KVKK’da öngörülen veri ihlaline ilişkin hükümlere tabiidirler ve ihlali Kurum’a ve etkilenen ilgili kişilere bildirmekle yükümlüdürler.
Yetkili Makam Tarafından Gerçekleştirilen Değerlendirme.
Avrupa Birliği’nde yer alan yetkili makamlar, ihlale ilişkin uygulanacak yaptırımın türünü ve seviyesini belirlerken ihlalin yapısını, boyutunu ve süresini; ihlalin etkilediği kişisel verinin türünü, ihlalin ihmale ya da kasta dayalı olup olmadığını ve veri sorumlusunun ihlali önlemek için sarf ettiği çabayı dikkate almaktadır.
Ek olarak, GDPR uyarınca, bütün yetkili kuruluşlar veri ihlaline ilişkin re’sen soruşturma başlatmaya yetkilidirler[2]. Fakat, re’sen soruşturmanın nasıl gerçekleştirileceği Üye Devletlere göre (örneğin, ulusal yasalarına dayalı olarak) farklılık gösterebilecektir.
Türkiye’de, Kurum kararları dikkate alındığında, veri ihlali kişilerin hakları ve özgürlükleri üzerinde ciddi riskler teşkil etmese bile idari para cezasına hükmedilebilmektedir. Gelişen teknolojinin ışığında veri güvenliğinin tam anlamıysa sağlanamayacağı Kurum tarafından kabul edilmiş olsa bile Kurum’un asıl odaklandığı nokta veri ihlalini önlemek adına veri sorumlusunun alması gereken bütün teknik ve idari önlemleri alıp almadığı ve ihlali önlemek adına yapması gerekenleri yapıp yapmadığıdır.
Belirtmek gerekir ki, Kurum bildirilmeyen bir veri ihlalini şikayet ya da başka bir yolla öğrendiği takdirde re’sen soruşturma başlatabilir. Bu durumda veri sorumlusu hem veri ihlalinden hem de veri ihlalini bildirme yükümlülüğünü yerine getirmemesinden sorumlu olacaktır.
Sonuç.
Veri ihlalinin tespit edilmesi veri sorumluları açısından büyük önem taşımaktadır. Veri sorumluları bakımından veri ihlalinin ülke özelinde incelenmesi oldukça önemli bir rol oynamaktadır. Özellikle veri ihlal bildirimi bakımından GDPR ve KVKK arasındaki farklar dikkate alındığında, Türkiye’de yerleşik ilgili kişileri etkileyen veri ihlali halinde vakit kaybedilmeksizin harekete geçilmelidir.
[1] EDPB – GDPR kapsamında veri ihlal bildirimine ilişkin 9/2022 sayılı yönerge –https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf [2] EDPB – 2021 yılında Üye Devletler Tarafından Veri Koruma Kurumlarının Erişimine Açılan Kaynaklar ve Veri Koruma Kurumlarının Tutumları Hakkında Görüşler – https://edpb.europa.eu/system/files/2021-08/edpb_report_2021_overviewsaressourcesandenforcement_v3_en_0.pdf
Yazarlar: Burak Özdağıstanli, Sümeyye Uçar, Bensu Özdemir, Göksu Tuğrul