Kişisel Verilerin İhlal Edilmesi Durumunda Ne Yapılması Gerekir?

Aralık 15, 2019

Kişisel verilerin ihlali durumunda ne yapılması gerektiğini bilmemiz için öncelikle veri ihlalinin ne olduğunun anlaşılması gerekir. Bu konuda kanunda doğrudan bir tanım olmamakla birlikte; Kişisel Verilerin Korunması Kanunu’nun  12.maddesinde ““İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” şeklinde bir düzenleme yer almaktadır.

Veri sorumlusu tarafından işlenen verilerin hangi hallerde üçüncü kişilere aktarılabileceği yine aynı yasa ile düzenlenmiştir. Buna göre kişisel veriler ya ilgili kişinin açık rızası ile aktarılabilecek ya da kanunun verilerin işlenmesi için öngördüğü şartların bulunması halinde aktarımı da mümkün olabilecektir.

Kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi halinde ise; Kanunu’nun 12/5.maddesine göre; veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır.

  • VERİ İHLALİ BİLDİRİMİ YAPILMALIDIR 

Veri ihlaline dair yukarıda belirtilen koşullar gerçekleştiğinde, Kanun gereği veri sorumlusu tarafından

  • hem Kurul’a
  • hem de veri sahiplerine

bilgi verilmesi gereklidir.

Kanunumuzda hangi veri ihlallerinin bildirileceği konusunda bir ayrım yoktur. Bu nedenle lafzi bir yorum yapacak olursak bütün veri ihlallerinin Kurum’a ve kişisel verisi ihlale uğrayan kişiye (“İlgili Kişi”) bildirilmesi gerekiyor.

AB mevzuatının Genel Veri Koruma Regülasyonuna (“GDPR”)’a baktığımızda ise iki türlü ayrım olduğu görülür. GDPR uyarınca bir veri ihlalinin temel hak ve özgürlükler bakımından risk yaratması halinde Otorite’ye, yüksek risk yaratması halinde ise İlgili Kişiye bildirilmesi gerekir. Bizde henüz böyle bir ayrım olmadığı için tüm veri ihlallerinin hem Kurum’a hem de İlgili Kişi’ye bildirilmesi gerekir.

  • VERİ İHLALİ BİLDİRİMİ NE KADAR SÜRE İÇERİSİNDE YAPILMALIDIR?

Kurul’un 4.01.2019 tarih ve 2019/10 sayılı kararına göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması şarttır.

Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.

  • KURULA BİLDİRİM NASIL YAPILMALIDIR?

2019/10 sayılı Karar uyarınca, Kurul’a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formunun kullanılması gereklidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak Kurul’a gönderilmesi gerekir. Varsa formda yer verilen bilgileri destekleyici dokümanların da (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir.

Form oldukça detaylıdır. Bu düzeyde bilginin sağlanabilmesi için veri sorumlularının 3. kişi veri işleyenleri de dahil olmak üzere veri işleme faaliyetleri ve risklerine karşı gerekli uyum çalışmalarını yapmış olmaları ve süreçlerine üst düzeyde hakim olmaları gerekecektir.

  • KURULA YAPILACAK BİLDİRİM HANGİ YÖNTEMLE GÖNDERİLMELİDİR?

Kurul’a yapılacak bildirimler aşağıdaki şekilde yapılabilir:

  • Eğer yapılan bildirim ilk bildirimse doldurulan formun, ihlalbildirimi@kvkk.gov.tr adresine “Kişisel veri ihlali bildirimi” konulu bir e-posta (KEP olması durumunda KEP kullanılarak) ekiyle gönderilmesi veya
  • Posta yolu ile veya elden gönderilmek istenmesi durumunda veri sorumlusunun şirket kaşesi ve imza yetkilisinin imzası ile onaylı olarak Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat-Çankaya/Ankara adresine gönderilmesi gereklidir.

 

  • GERÇEK KİŞİLERE YAPILACAK BİLDİRİMİN İÇERİĞİ NE OLMALIDIR?

Gerçek kişilere yapılacak bildirimin içeriği hakkında ilgili mevzuatta veya Kurul kararında bir hüküm bulunmamakla birlikte, GDPR’daki düzenlemeler dikkate alınırsa, bildirimde

  • Açık ve sade bir dilde ihlalin mahiyetine yer verilmeli
  • İhlal ile ilgili veri sorumlusu bünyesinde irtibat kurulabilecek belirli bir kişinin isim ve iletişim bilgileri yer almalı
  • İhlalin olası sonuçları, ihlale yönelik alınan veya alınması düşünülen önlemler ile uygulanabiliyorsa İhlalin olası yan etkilerini azaltacak önlemler belirtilmelidir.

 

GERÇEK KİŞİLERE YAPILACAK BİLDİRİMDE HANGİ YÖNTEMLER UYGULANMALIDIR?

İlgili kişinin iletişim adresine ulaşılabiliyorsa iletişim adresine doğrudan bildirimin alındığını ispat edebilecek bir yöntemle bildirmek (iadeli taahhütlü mektup, öncelikle kayıtlı elektronik posta adresi (KEP) yoksa e-mail gibi gönderinin ispatlanabileceği bilgi iletişim sistemleri yoluyla, noter vasıtasıyla)

Eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa, veri sorumlusunun kendi web sitesi üzerinden ihlalden etkilenen kişisel verilerin bilgilendirme yapılabilir.

  • İDARİ YAPTIRIMLAR NELERDİR?

Veri ihlalleri ile ilgili olarak Kanun uyarınca,

  • Kanun’un 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Kanun’un 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilebilecektir. Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı da saklıdır.

Av. Yasin Deniz

Okyay | Evren 

Avukatlık & Arabuluculuk Ofisi