Kişisel Verilerin İhlal Edilmesi Durumunda Ne Yapılması Gerekir?

Kişisel verilerin ihlal edilmesi durumunda ne yapılması gerektiğini bilmemiz için öncelikle veri ihlalinin ne olduğunun anlaşılması gerekir. Bu konuda kanunda doğrudan bir tanım olmamakla birlikte; Kişisel Verilerin Korunması Kanunu’nun  12.maddesinde ““İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” şeklinde bir düzenleme yer almaktadır.

Veri sorumlusu tarafından işlenen verilerin hangi hallerde üçüncü kişilere aktarılabileceği yine aynı yasa ile düzenlenmiştir. Buna göre kişisel veriler ya ilgili kişinin açık rızası ile aktarılabilecek ya da kanunun verilerin işlenmesi için öngördüğü şartların bulunması halinde aktarımı da mümkün olabilecektir.

Kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi halinde ise; Kanunu’nun 12/5.maddesine göre; veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır.

• KİŞİSEL VERİLERİN İHLAL EDİLMESİ DURUMUNDA VERİ İHLALİ BİLDİRİMİ YAPILMALIDIR 

Veri ihlaline dair yukarıda belirtilen koşullar gerçekleştiğinde, Kanun gereği veri sorumlusu tarafından

• hem Kurul’a
• hem de veri sahiplerine

bilgi verilmesi gereklidir.

Kanunumuzda hangi veri ihlallerinin bildirileceği konusunda bir ayrım yoktur. Bu nedenle lafzi bir yorum yapacak olursak bütün veri ihlallerinin Kurum’a ve kişisel verisi ihlale uğrayan kişiye (“İlgili Kişi”) bildirilmesi gerekiyor.

AB mevzuatının Genel Veri Koruma Regülasyonuna (“GDPR”)’a baktığımızda ise iki türlü ayrım olduğu görülür. GDPR uyarınca bir veri ihlalinin temel hak ve özgürlükler bakımından risk yaratması halinde Otorite’ye, yüksek risk yaratması halinde ise İlgili Kişiye bildirilmesi gerekir. Bizde henüz böyle bir ayrım olmadığı için tüm veri ihlallerinin hem Kurum’a hem de İlgili Kişi’ye bildirilmesi gerekir.

• VERİ İHLALİ BİLDİRİMİ NE KADAR SÜRE İÇERİSİNDE YAPILMALIDIR?

Kurul’un 4.01.2019 tarih ve 2019/10 sayılı kararına göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması şarttır.

Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.

• KİŞİSEL VERİLERİN İHLAL EDİLMESİ DURUMUNDA KURULA BİLDİRİM NASIL YAPILMALIDIR?

2019/10 sayılı Karar uyarınca, Kurul’a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formunun kullanılması gereklidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak Kurul’a gönderilmesi gerekir. Varsa formda yer verilen bilgileri destekleyici dokümanların da (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir.

Form oldukça detaylıdır. Bu düzeyde bilginin sağlanabilmesi için veri sorumlularının 3. kişi veri işleyenleri de dahil olmak üzere veri işleme faaliyetleri ve risklerine karşı gerekli uyum çalışmalarını yapmış olmaları ve süreçlerine üst düzeyde hakim olmaları gerekecektir.

• KURULA YAPILACAK BİLDİRİM HANGİ YÖNTEMLE GÖNDERİLMELİDİR?

Kurul’a yapılacak bildirimler Kurum tarafından hazırlanan veri ihlali bildirim formu kullanılmak sureti ile aşağıdaki şekilde yapılabilir:

• https://ihlalbildirim.kvkk.gov.tr/Home/IhlalBildirim adresinde faaliyette bulunan veri ihlali modülü üzerinden bildirim yapılması

• Veri İhlali Bildirim Formu’nun doldurularak ihlalbildirimi@kvkk.gov.tr adresine “Kişisel veri ihlali bildirimi” konulu bir E-posta ile gönderilmesi (Burada e-posta’nın ulaşmasının sorumluluğu veri sorumlusu üzerinde olup, ulaşmaması halinde yükümlülük ihlali söz konusu olabilecektir)

• Posta yolu ile veya elden gönderilmek istenmesi durumunda veri sorumlusunun şirket kaşesi ve imza yetkilisinin imzası ile onaylı olarak Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat-Çankaya/Ankara adresine gönderilmesi gereklidir.

• KİŞİSEL VERİLERİN İHLAL EDİLMESİ DURUMUNDA GERÇEK KİŞİLERE YAPILACAK BİLDİRİMİN İÇERİĞİ NE OLMALIDIR?

Gerçek kişilere yapılacak bildirimin içeriği hakkında ilgili mevzuatta veya Kurul kararında bir hüküm bulunmamakla birlikte, GDPR’daki düzenlemeler dikkate alınırsa, bildirimde

• Açık ve sade bir dilde ihlalin mahiyetine yer verilmeli
• İhlal ile ilgili veri sorumlusu bünyesinde irtibat kurulabilecek belirli bir kişinin isim ve iletişim bilgileri yer almalı
• İhlalin olası sonuçları, ihlale yönelik alınan veya alınması düşünülen önlemler ile uygulanabiliyorsa İhlalin olası yan etkilerini azaltacak önlemler belirtilmelidir.

GERÇEK KİŞİLERE YAPILACAK BİLDİRİMDE HANGİ YÖNTEMLER UYGULANMALIDIR?

İlgili kişinin iletişim adresine ulaşılabiliyorsa iletişim adresine doğrudan bildirimin alındığını ispat edebilecek bir yöntemle bildirmek (iadeli taahhütlü mektup, öncelikle kayıtlı elektronik posta adresi (KEP) yoksa e-mail gibi gönderinin ispatlanabileceği bilgi iletişim sistemleri yoluyla, noter vasıtasıyla)

Eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa, veri sorumlusunun kendi web sitesi üzerinden ihlalden etkilenen kişisel verilerin bilgilendirme yapılabilir.

• VERİ İHLALİNİN BİLDİRİLMEMESİ DURUMUNDA İDARİ YAPTIRIMLAR NELERDİR?

6698 sy yasanın 12/5.maddesi uyarınca  İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır.

Yine yasanın 18/1-b maddesi uyarınca 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacaktır.

2020 yılı için yeniden değerleme oranı ile bu cezalar 27.040 TL ile 1.802.636 TL arasında belirlenmiştir. Bu sebeple Kurul bu sınırlar arasında takdir edeceği miktarı idari para cezası olarak hükmedebilecektir.

Kurul 16.04.2020 tarih ve 2020/286 sy vermiş olduğu karar ile zamanında bildirim yapmayan veri sorumlusu hakkında 100.000 TL’sı idari para cezasının uygulanmasına karar vermiştir.

Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı da saklıdır.

Av. Eren Evren                                                                                                                     Av. Yasin Deniz