Kişisel Veri İhlali Nedir?
Veri İhlali, Kişisel Verilerin Korunması Kanununun 12.maddesinde “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” olarak düzenlenmiştir.
Veri ihlalleri; Kişisel verilerin yanlış alıcılara gönderilmesi, belge/cihaz hırsızlığı veya kaybolması, verilerin güvensiz ortamlarda depolanması, zararlı yazılımlar, sosyal mühendislik, sabotaj, kaza/ ihmal şekillerinde gerçekleştirilebilir.
Veri ihlallerinin ilgili kişiler üzerinde; kişisel veriler üzerinde kontrol kaybı, kimlik hırsızlığı, ayrımcılık, hakların kısıtlanması, dolandırıcılık, finansal kayıp, itibar kaybı, kişisel verilerin güvenliği kaybı gibi etkileri meydana gelebilir.
Kişisel Veri İhlal Bildirimi Nasıl Yapılmalıdır?
Kişisel Veri ihlal bildirimi Kişisel verileri koruma kurumu web sitesi üzerindeki veri ihlal formu ile veri sorumlusu tarafından yapılmalıdır. Form üzerinden bildirim oluşturulabilir, sorgulanabilir ve bildirim güncellenebilir.
Veri ihlal formunun doldurulması veri ihlalinin gerçekleştiği gerçek ve tüzel kişi tarafından yapılabilirken, veri sorumlusu adına avukat, danışman vb. tarafından da tevsik edici sözleşme ve vekaletname eklenerek de yapılabilir.
Veri ihlal kaynağını belirtmek ve ayrıntılı olmasına ve detaylandırılmasına özen gösterilmelidir. Örneğin; veri ihlali Siber Saldırı yöntemlerinden fidye yazılım yüklenmesi ile gerçekleşmiş ise bu fidye yazılımın ne olduğu, nasıl bulaştığı, hangi sistemleri etkilediği detaylandırılmalıdır.
Veri ihlalinin etkisinin 3 ana başlıkta değerlendirilmesi gerekmektedir;
- İhlalden etkilenen ilgili kişilerin kişisel veri gizliliğinin değerlendirilmesi
- İhlalden etkilenen ilgili kişilerin kişisel veri bütünlüğünün değerlendirilmesi
- İhlalden etkilenen ilgili kişilerin verilerine erişiminin değerlendirilmesi
Veri ihlalinin nasıl ve kim tarafından tespit edildiği detaylı bir şekilde belirtilmeli, varsa ihlal ile ilgili örnek belgelere yer verilmelidir. Örneğin, veri sorumlusu fidye yazılımının sistemlerine yüklenmesine maruz kalıp saldırganlardan e-posta aldı ise bu tespit veri ihlal formundaki ilgili alana yazılmalıdır.
En önemli konu ise veri sorumlusunun veri ihlalini öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmesi gerekmektedir.
Kişisel Verileri Koruma Kurulu, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
İhlalin tespitinden ihlalin Kurula bildirimine kadar geçen süre 72 saati aşmış ise bunun nedenleri veri ihlal formunda belirtilmelidir.
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılmalıdır.
İhlal bildirimi yapılırken aşağıdaki bilgiler yer almalıdır:
- İhlalinin zamanı
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği
- Veri ihlalinin olası sonuçları,
- Alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak iletişim bilgileri
- İhlalin nasıl gerçekleştiğine dair kanıtlar
- Alınmış olan teknik ve idari tedbirler
Kişisel Veri İhlal Bildiriminin Doğru Yapılması Neden Önemlidir?
Veri sorumluları veri ihlalini kurula en geç 72 saat bildirmeli ve gerekli önlemleri almalıdır aksi takdirde veri ihlal bildirim şekillerine ve süresine uymamanın 39.000 TL’den 1.966.000 TL’ye kadar idari para cezası bulunmaktadır.
Dünyada ve Türkiye’de veri ihlal bildirim şekil ve sürelerine uymayıp yüklü miktarda idari para cezası alan birçok kurum ve kuruluş mevcuttur.
Avrupa Veri Koruma Kurulunun haberine göre; Booking.com veri ihlal bildirimini Hollanda Veri Koruma Kurumuna geç yaptığı için 475.000 Euro Ceza almıştır.
Türkiye’de Kişisel Verileri Koruma Kurulunun bir şirket hakkında 16.05.2019 tarih ve 2019/143 sayılı Kararında;
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almadığı için 1.100.000 TL, yapılması gereken süreden geç bildirim yapılması nedeniyle, şirket hakkında 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kişisel verilerin korunması kişiler için önemli olduğu kadar kurum ve kuruluşlar için de çok önemli bir noktadadır. Veri ihlallerinin en geç 72 saat içinde Kişisel Verileri Koruma Kurumuna bildirilmesi, bildirimin doğru şekilde yapılması ve ilgili kişilere açık ve anlaşılır şekilde haber verilmesi gerekmektedir.
Veri ihlallerinin sağlıklı ve zamanında yapılabilmesi için kanıtların evden çalışma kurgusundaki dağıtık lokasyonlardan bile 7/24 toplanmasına ve uzaktan dakikalar içinde müdahaleye olanak sağlayan otomatik olay müdahale teknolojileri kullanılabilir.
Kaynakça
kvkk.gov.tr
edpb.europa.eu
kvkk.gov.tr
kvkk.gov.tr
