Kişisel Verileri Koruma Kurulu’nun 28 Mayıs 2020 Tarihli 2020/443 Sayılı Veri İhlali Bildirimi

28 Mayıs 2020 tarihinde Kişisel Verileri Koruma Kurulu bir kamuoyu duyurusu yayınladı. Öncelikle Kişisel Verileri Koruma Kurulu’nun “Veri İhlali Bildirimi” olarak yayınlamış olduğu duyuruya ilişkin olayı elimden geldiğince açıklamaya çalışacağım ve söz konusu olaya benzerlik gösteren bir olay karşısında İsveç Veri Koruma Kurulu(Datainspektionen) tarafından verilmiş bir kararı karşılaştıracağım.

Bilindiği üzere 6698 Sayılı Kanun’un 12. Maddesine göre veri sorumlularına veri güvenliğine ilişkin birtakım yükümlülükler yüklenmiştir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari

tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi

tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin

uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun

hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi

hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Ayrıca yukarıda 12. Madde ile açıklanan yükümlülükleri yerine getirmeyen veri sorumlularına Madde 18/(1)-b kapsamında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmüştür.

Kişisel Verileri Koruma Kurulunun 28.05.2020 tarih ve 2020/443 sayılı Kararı[1], İngiltere Merkezli bir havayolu şirketi olan EasyJet Plc’de yaşanan veri ihlali olayına ilişkindir. Veri sorumlusu olarak EasyJet 26.05.2020 tarihli yazıyla ihlal bildiriminde bulunmuştur ve bu yazıda, şirkete karşı yapılan siber saldırılar sonucunda Türkiye’de yaşayan 3 kişinin irtibat bilgileri, uçuş bilgileri, işlem bilgileri ve ödeme bilgilerinin (bilet alanın kart numarası, son kullanma tarihi ve CVV bilgisi) etkilendiği, 6 bin 843 kişinin ise irtibat bilgileri, uçuş bilgileri, işlem bilgilerinin etkilendiği belirtilmiştir.

EasyJet,

I. Üst düzey saldırganlar tarafından gerçekleştirilen ve kişisel verilere erişilmesine yol açan bir bilgi güvenliği sorununa maruz kaldığını,

II. İhlalin 17.10.2019 - 04.03.2020 tarihler arasında gerçekleştiğini,

III. EasyJet’in sistemlerine yetkisiz erişimden ilk olarak 22.01.2020 tarihinde haberdar olduğu, 10.03.2020 tarihinde yolcu rezervasyon bilgilerini elde eden özel üretim bir kötü amaçlı yazılımın tespit edildiği,

IV. 20.05.2020 tarihinde saldırıdan etkilenen 6486 kişinin Türkiye’de ikamet ettiğinin tespit edildiğini

ifade etmiştir.

Söz konusu olaya ilişkin olarak Kurul’un incelemesi devam etmektedir.

6698 Sayılı Kanun Madde 12/(5) fıkrasında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceğini hükme bağlamıştır.

Kanun tasarısında 12/5 bağlamında, Regülasyon Teklifi’nin 31.maddesinin 1. Fıkrasında kişisel verilerin işlenmesine ilişkin ihlallerde bildirim süresi 24 saat olarak öngörülmüş ve bu çerçevede, madde metninde yer alan “en kısa süre” ibaresi yerine “24 saat” ifadesinin eklenmesi hem AB normlarına uyum hem de maddeye somutluk kazandırmak adına önem taşıdığı belirtilmiş ancak kanunlaşma aşamasında herhangi süre belirtilmemiştir. Fakat kanunda belirsiz olan “en kısa süre” kavramı, kurulun 2019/10 sayılı kararıyla artık açıklığa kavuşmuştur.

Kişisel Verileri Koruma Kurulunun Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 Tarihli ve 2019/10 Sayılı kararı dikkate alındığında kişisel verilerin ihlali halinde kurula ve ilgili kişiye yapılan bildirimlerin amacının, ihlal sebebiyle ilgili kişiler bakımından olumsuz sonuçların ortaya çıkmasının engellenmesi, önüne geçilmesi veya en aza indirilmesine imkân verecek önlemlerin alınmasını sağlamak olduğu vurgulanmıştır.

İlgili kararda Avrupa Genel Veri Koruma Tüzüğünce (GDPR) veri ihlal bildirimlerinin detaylı bir şekilde düzenlenmesi sebebiyle Kurul tarafından alınan kararlarda herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşmanın sağlanması gerektiği belirtilmiştir. GDPR Madde 33/(1) fıkrasında “Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, veri sorumlusu, gereksiz gecikmeye mahal vermeden ve, uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkin denetim makamına bildirir.” süreyi düzenlemiş ve maddenin devamında 72 saat içerisinde bildirimi yapmaması halinde bildirimle birlikte gecikme sebeplerine de yer vermesi gerektiği hükme bağlanmıştır.

Uygulamada bu standartlaşmanın sağlanabilmesi için 2019/10 sayılı kararda Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verilmiştir.

Olayda da görüldüğü üzere şirket, 22.01.2020 tarihinde sistemlere yetkisiz erişimden haberdar olmuştur fakat 20.05.2020 tarihinde saldırıdan etkilenen 6486 kişinin Türkiye’de ikamet ettiğinin tespit edilmesi üzerine 26.05.2020 tarihinde Kişisel Verileri Koruma Kurulu’na veri ihlali bildiriminde bulunmuştur.

İsveç Veri Koruma Kurulu Kararı[2]

İsveç Veri Koruma Kurulu, kişisel verileri ihlal edilen ilgili kişilere ve Veri Koruma Otoritesi’ne zamanında bilgi vermeyerek ihlale ilişkin bildirimi gerçekleştirmeyen Ulusal Hükümet Hizmet Merkezi’ne 200.000 İsveç Kronu (yaklaşık 18.700 Euro) idari para cezası uygulanmasına karar vermiştir.

Kurul, maaş yönetimindeki bilişim sisteminde meydan gelen hataya ilişkin olarak kendisine gelen şikayetler üzerine Ulusal Hükümet Hizmet Servisi’ne karşı soruşturma başlatmıştır. Hata, hem sistemi kullanan kişilerin hem de Ulusal Hükümet Hizmeti Servisi personellerinin verilerinin yetkisiz kişiler tarafından erişilmesine sebep olmuştur. Ulusal Hizmet Servisi 28.03.2019’da vakayı öğrenmiş fakat Veri Koruma Kurulu’na 25.06.2019 tarihinde veri ihlal bildirimine ilişkin raporunu ibraz etmesi sebebiyle GDPR 33(1) ihlal edildiğine karar verilmiştir. Veri Koruma Kurulu’na yapılan ihlal bildiriminin üç aya yakın olduğunu söyleyen Veri Koruma Kurulu yetkilisi Elin Hallström, yapılan soruşturma sonucunda, Ulusal Hükümet Hizmet Servisi’nin söz konusu hata sebebiyle ilgili kişileri bilgilendirmesinin çok uzun bir zaman aldığını ve ayrıca Ulusal Hizmet Servisi’nin kişisel veri ihlaline ilişkin raporu zamanında kurula bildirmediğini belirtmiştir.

Veri koruma kurulu, hem veri işleyenin veri sorumlusuna yapacağı ihlal bildiriminin hem de veri sorumlusu tarafından Veri Koruma Kurulu’na yapılacak olan veri ihlali bildiriminin zamanında gerçekleşmemesi sebebiyle ihlal kararı vermiş ve idari para cezası uygulamıştır.

Sonuç

EasyJet Plc tarafından yapılan veri ihlal bildirimine gelecek olursak yukarıda da bahsettiğimiz üzere 22.01.2020 tarihinde sistemlere yetkisiz erişimden haberdar olan şirket, 20.05.2020 tarihinde saldırıdan etkilenen 6486 kişinin Türkiye’de ikamet ettiğinin tespit etmesi üzerine 26.05.2020 tarihinde Kişisel Verileri Koruma Kurulu’na veri ihlali bildiriminde bulunmuştur. Kurul’un 2019/10 tarihli kararına baktığımız takdirde EasyJet Plc şirketinin en geç 72 saat içinde Kurul’a veri ihlali bildirimini yapması gerektiği apaçık ortadadır fakat şirketin buna riayet etmediği görülmektedir. En geç 72 saat içinde veri ihlali bildirimini yapmayan veri sorumlusu şirket, 2019/10 sayılı Kurul kararına göre haklı bir gerekçeyle bildirimin 72 saat içinde yapılamaması halinde, yapılan bildirimle birlikte gecikmenin sebeplerine de yer vermesi gerekir.

İsveç Veri Koruma Kurulu, kendisine 72 saat içinde bildirim yapmayan şirketin GDPR 33(1) ihlal edildiğine karar vermiş ve idari para cezası yaptırımı uygulamıştır. EasyJet şirketinde yaşanan olay şu an Kurul tarafından inceleme aşamasındadır fakat bildirimin geç yapılmasından dolayı haklı bir gerekçenin Kurul’a sunulmaması halinde EasyJet firmasına yaptırım uygulanacağı bariz bir şekilde ortadadır.

EasyJet firması, sistemlerine karşı gerçekleştirilen yetkisiz erişimden ilk olarak 22.01.2020 tarihinde haberdar olması ve 10.03.2020 tarihinde yolcu rezervasyon bilgilerini elde eden özel üretim olan kötü amaçlı yazılımın tespit edilmesi üzerine veri ihlali bildirimini yapması gerekirdi. Her ne kadar İngiliz Merkezli şirket, Türkiye’de yaşayan kişilerin verilerinin ihlal edildiğini 20.05.2020 tarihinde tespit ettiğini belirterek Kurul’a 26.05.2020 tarihinde bildirimde bulunmuş olsa bile 20.05.2020 tarihinden itibaren haklı gerekçeleri olmadan en geç 72 saat içinde veri ihlali bildirimini yapmamış olması ihlal sebebi olacaktır. İnceleme sonrasında Kurul tarafından verilecek olan kararı merakla beklemekteyiz.

Stj. Av. Ozan YILDIRIM

------------------------------------

[1] Kişisel Verileri Koruma Kurulunun 28.05.2020 tarih ve 2020/443 sayılı Kararı https://www.kvkk.gov.tr/Icerik/6744/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-EasyJet-Plc

[2] https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-issues-fine-against-national-government_en