Giriş

Hem ülkemizde yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK, Kanun) hem de Avrupa Birliği üyesi devletlerde doğrudan uygulanan ve bütün unsurları ile bağlayıcı olan Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR, Tüzük) yürürlüğe girmesiyle kişisel veri ihlalleri ve gerçekleşen bu ihlallerin bildirilmesi büyük önem kazanmıştır.

Geçtiğimiz dönemde Kişisel Verileri Koruma Kurumuna (Kurum) yapılan veri ihlali bildirimlerinin sayısının büyük oranda artış gösterdiği gözlemlenmektedir. Elbette bu durumun ortaya çıkmasında Kişisel Verileri Koruma Kurulunun (Kurul) kararlarında, veri ihlallerinin yanı sıra ihlal bildiriminin zamanında yapılmamış olması nedeniyle uygulamış olduğu idari para cezalarının da etkisinin olduğunu ifade etmek gerekir.

*2022 yılı için 31.03.2022 tarihine kadar olan verilerdir.

Mevzuatlara etkin bir uyum için, veri sorumluları nezdinde veri koruma kültürünün oluşturulması ve bu alana ilişkin farkındalığın artırılması gerekmektedir. Veri sorumluları yaşanan veri ihlalinin üzerini örtmek yerine hem hukuki hem de teknik olarak mevzuat kapsamında gerekli aksiyonları almalıdır.

Her iki regülasyon bakımından da son derece önemli olan “kişisel veri ihlali bildiriminde bulunma yükümlülüğü” bu makalemizin konusunu oluşturmaktadır.

1. Veri İhlali

GDPR’daki tanımı ile kişisel veri ihlali; “İletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir. (GDPR, m. 4/12)” Kişisel Verilerin Korunması Kanunu’nda ise açıkça kişisel veri ihlali tanımı yapılmamıştır. Kanun’un veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bildirimde bulunulması gereken bir kişisel veri ihlali için, kanuni olmayan yollarla 3. kişiler tarafından elde edilmesi şartının, kişisel verilerin 3. kişiler tarafından gerçekleştirilen fidye yazılım saldırıları gibi çeşitli müdahaleler sonucunda elde edilmesi şeklinde gerçekleşebileceği gibi bunun yanı sıra veri sorumlusunun, ilgili kişilere ait kişisel verileri yazılımsal bir hata sonucunda ifşa etmesiyle veya veri sorumlusu çalışanının hatası ile de kişisel veriler hukuka aykırı bir şekilde 3. kişilerin eline geçmiş olabilir. Bu noktada Kanun lafzının geniş yorumlanması gerekmektedir. Kurul kararlarına yansıyan somut vakalarda da Kurulun yaklaşımının bu yönde olduğu gözlemlenmektedir.

2. Veri İhlalinin Bildirilmesi

2.1.GDPR Kapsamında

Kişisel veri ihlali yaşanması halinde denetim makamına ve ilgili kişiye yönelik olarak yapılacak bildirimler ayrıca ihlal bildiriminin yapılmasının istisnaları da GDPR kapsamında detaylı bir şekilde düzenlenmiştir.

Kişisel veri ihlali olması durumunda kontrolör, gereksiz gecikmeye mahal vermeden ve uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini yetkin denetim makamına bildirmekle yükümlüdür. (GDPR, m.33/1) Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, bu bildirimle birlikte gecikme sebeplerine de yer verilir. Bu bildirimde yer alması gereken asgari unsurlar aşağıda belirtilmiştir.

a. İlgili veri sahibi, veri kategorileri ve yaklaşık sayısı ile ilgili kişisel veri ihlalinin mahiyeti,

b. Veri koruma görevlisi (DPO) veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgileri,

c. Kişisel veri ihlalinin olası sonuçları,

d. Kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik kontrolör tarafından alınan veya alınması önerilen tedbirler.

Ayrıca kontrolör kişisel veri ihlallerini; kişisel veri ihlaline ilişkin bilgileri, etkilerini ve gerçekleştirilen düzeltici işlemi de kapsayacak şekilde belgelendirmekle yükümlüdür. (GDPR m. 33/5)  

Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde ise kontrolör, kişisel veri ihlalini gereksiz bir gecikmeye mahal vermeden ivedilikle ilgili kişiye iletmekle yükümlüdür. (GDPR m.34/1) İlgili kişilere yönelik yapılacak kişisel veri ihlalinin mahiyeti açık ve sade bir dille açıklanmalı ve en azından 33 ncü maddenin (3) numaralı fıkrasının (b), (c) ve (d) bentlerinde yer alan unsurlara yer verilmelidir. (GDPR m. 34/2)

GDPR’da bulunan bir diğer düzenlemeye göre ise bazı istisnai hallerde kontrolör ilgili kişiye bildirim yapmayabilir. Bu durumlar şu şekilde belirtilmiştir;

a. Kontrolörün uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması,

b. Kontrolörün ilgili kişilerin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması,

c. Bildirimin ölçüsüz bir çaba gerektirecek olması.

Kontrolörün kişisel veri ihlalini veri sahibine iletmemiş olması durumunda, denetim makamı, kişisel veri ihlalinin yüksek bir riske sebebiyet verme olasılığını değerlendirdikten sonra, kontrolörün bu bildirimi yapmasını şart koşabilir veya yukarıda belirtilen (bildirim yapmanın istisnaları) koşullardan herhangi birinin yerine getirilmesine karar verebilir. (GDPR m.34/4)

2.2.KVKK Kapsamında

Kişisel Verileri Koruma Kanunu, kişisel veri ihlal bildirimlerini GDPR’da olduğu gibi detaylı olarak düzenlememiştir. İhlal bildirimlerine ilişkin olarak Kanun’un 12 ‘nci maddesinin 5 numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır.

Kurulun 24.01.2019 Tarih ve 2019/10 Sayılı Kararı ile, Kanun’a kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alınarak, alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini amacıyla,

Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin GDPR ile uyumlu olarak veri sorumlusunun durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri ihlalinden etkilenen ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına, veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına ve Kurula yapılacak bildirimde “Kişisel Veri İhlal Bildirim Formu”nun https://ihlalbildirim.kvkk.gov.tr/ kullanılmasına karar verilmiştir.

Ayrıca veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına, veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine karar verilmiştir.

Kurulun konuya ilişkin olarak yayımlanan 18.09.2019 Tarih ve 2019/271 sayılı kararında ise veri sorumluları tarafından ilgili kişilere yapılan kişisel veri ihlali bildiriminin açık ve sade bir dille yapılması ve bildirimde yer alması gereken asgari unsurlar belirtilmiştir.

İlgili kişilere yönelik yapılan kişisel veri ihlali bildirimlerinde,

- İhlalinin ne zaman gerçekleştiği,

- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,

- Kişisel veri ihlalinin olası sonuçları,

- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,

- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekmektedir.

Kurul tarafından yayımlanan kararlarla, Kanun’da ayrıntılı olarak düzenlenmeyen hususlara ilişkin eksiklikler giderilmiştir. Bunun yanı sıra ülkemizde yürürlükte bulunan mevzuat, Avrupa Birliği regülasyonuna daha da yakınlaşmıştır.

3.Karar Örnekleri

3.1.Kişisel Verileri Koruma Kurulu Kararları

1. Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesinde, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almaması nedeniyle 1.100.000 TL, veri ihlalinin Kuruma bildirilmemesi ve ilgili kişilere 3 ay sonra bildirilmeye başlanması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL idari para cezası uygulanmıştır. (Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Kararı)

2. Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında yapılan değerlendirmede, veri sorumlusunun teknik ve idari tedbirlerin alınması noktasında kusurunun bulunması nedeniyle 1.150.000 TL ve söz konusu veri ihlali hakkında Kuruma bildirim yapılmaması nedeniyle ise 450.000 TL idari para cezası uygulanmıştır. (Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Kararı)

3. Marriot International Inc.'nin veri ihlal bildirimi kapsamında yapılan değerlendirmede, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri alınmaması nedeniyle 1.100.000 TL ve Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin, Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle 350.000 TL idari para cezası uygulanmıştır. (Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı)

4. Bir hastanenin veri ihlali bildirimi hakkında yapılan değerlendirmede, veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında 450.000 TL, ihlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, ilgili kişilerden hastaneye gelen bir kişi dışında, hiçbirine ihlalin bildirilmemiş olduğu bu durumun “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle 150.000 TL idari para cezası uygulanmıştır. (Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı)

5. Bir oyun şirketinin veri ihlal bildirimi hakkında yapılan değerlendirmede, veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlerin alınmaması nedeniyle 1.000.000 TL ayrıca en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle de 100.000 TL idari para cezası uygulanmıştır. (Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı)

6. Bir e-ticaret şirketinin veri ihlal bildirimi hakkında yapılan değerlendirmede, ihlalin 17.12.2019 tarihinde gerçekleştiği, 17.12.2019 tarihinde tespit edildiği ve 20.12.2019 tarihinde Kuruma bildirildiği Kanunun 12 inci maddesinin (5) numaralı fıkrası kapsamında Kurulun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirimde bulunulduğu ayrıca veri sorumlusu tarafından ilgili kişilere yönelik olarak da bildirim yapıldığı dikkate alınarak, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında yapılacak bir işlem bulunmadığına yönelik karar verilmiştir. (Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Kararı)

Kurul kararlarında, veri sorumluları nezdinde gerçekleşen kişisel veri ihlallerine ilişkin olarak 72 saatlik süre içerisinde Kuruma bildirimde bulunulması ayrıca ilgili kişilere yönelik de bildirim yükümlülüğünün yerine getirildiği durumlarda, Kanunun 12 nci maddesinin (5) numaralı maddesi kapsamında herhangi bir idari yaptırım uygulamamıştır. Aksi hallerde ise Kurulun, bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında hem idari ve teknik tedbirlerin alınmaması hem de en kısa sürede bildirim yükümlülüğünün yerine getirilmemesi kapsamında ayrı ayrı idari para cezası yaptırımlarını uygulandığı görülmektedir.

3.2. GDPR Kapsamında Verilen Kararlar

Hollanda Veri Koruma Otoritesi – “Booking” Kararı

Hollanda Veri Koruma Otoritesi (AP) Booking.com hakkında yapılan değerlendirmede, gerçekleşen kişisel veri ihlalinin 72 saat içerisinde bildirme yükümlülüğüne aykırılık nedeniyle GPDR’ın 33. Maddesinin ihlal edildiği tespit etmiştir. Bu kapsamda Booking.com’a 475.000 Euro idari para cezası uygulanmasına karar verilmiştir. 

İrlanda Veri Koruma Komisyonu “Twitter” Kararı

İrlanda Veri Koruma Komisyonu (DPC) Twitter hakkında yapılan değerlendirmede, ihlal bildirimini zamanında gerçekleştirilmemesi ve gerçekleşen veri ihlalinin yeterli şekilde belgelendirilmemesi nedeniyle GDPR’ın 33/1 ve 33/5 maddelerini ihlal edildiğini tespit etmiştir. Bu kapsamda Twitter hakkında 450.000 Euro idari para cezası uygulanmasına karar verilmiştir.

Sonuç

İşletmeler tarafından öncelikli olarak, kişisel verilerin korunmasına ilişkin gerekli idari ve teknik tedbirleri almalıdır. Ancak alınan tüm önlemlere rağmen, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesiyle kişisel veri ihlali gerçekleşebilir. Bu noktada bilgi teknolojileri ve siber güvenlik birimlerince veri güvenliğine ilişkin gerekli önlemlerin alınmasının yanı sıra herhangi bir şekilde kişisel veri ihlali ile karşılaşılması durumunda Kişisel Verileri Koruma Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında gerekli aksiyonların da alması gerekmektedir. Yaşanabilecek ihlallere karşı hazırlıklı olunması amacıyla detaylı bir veri ihlali müdahale planı hazırlanmalı ve bu plan belirli aralıklarla gözden geçirilmelidir. Veri sorumluları, veri ihlali bildiriminde bulunma yükümlülüklerini hem Kuruma/Otoriteye hem de ihlalden etkilenen ilgili kişilere karşı, zamanında ve regülasyonlara uygun bir şekilde yerine getirmelidirler. Aksi halde uygulanacak ciddi para cezalarının yanı sıra ticari itibarlarının da zarar görebileceğinin bilincinde olmalıdırlar.

Av. Safa BAYKÖSE

Kaynakça:

- 6698 sayılı Kişisel Verileri Koruma Kanunu

- The General Data Protection Regulation (GDPR)

- https://edpb.europa.eu/system/files/2021-06/edpb_aar_2020_final_27.05.21.pdf (E.T. 15.09.2022)

- https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf (E.T. 15.09.2022)

- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_boete_booking.pdf (E.T. 15.09.2022)

-  https://edpb.europa.eu/sites/default/files/files/file1/edpb_bindingdecision01_2020_en.pdf (E.T. 15.09.2022)

- https://edpb.europa.eu/news/national-news/2020/irish-data-protection-commission-announces-decision-twitter-inquiry_en  (E.T. 15.09.2022)

- https://ai-law.co.uk/gdpr-shows-its-teeth-against-twitter-500000-teeth/ (E.T. 15.09.2022)

- https://edpb.europa.eu/news/national-news/2019/hungarian-sa-investigation-regarding-data-breach-democratic-coalition-dk_en  (E.T. 15.09.2022)

- https://gdprhub.eu/index.php?title=AP_-_booking.com_B.V. (E.T. 1.10.2022)

- https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf

- https://www.forbes.com/sites/carlypage/2021/04/02/bookingcom-hit-with-475000-gdpr-fine-for-late-reporting-of-data-breach/?sh=527e2b2952bd

- Veri İhlali Bildiriminde Bulunması Gereken Unsurlar ve Bildirim Esas ve Usulleri - Prof. Dr. Murat Volkan Dülger

- Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih ve 2019/10 Sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Kararı

- Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Kararı

- https://kvkk.gov.tr/SharedFolderServer/CMSFiles/b5731c6c-540b-45eb-a2d8-d7cef57cf197.pdf (E.T. 10.12.2022)