Kişisel Verileri Koruma Kurulu'nun ("Kurul") bu Ekim ayında yayınladığı özellikle iki karar özetiyle anladık ki, veri ihlal bildirimlerinin gerektiği şekilde yapılmaması, Kurul tarafından tek başına bir idari para cezası sebebi olarak ele alınabiliyor. Üstelik bu yalnızca Kurul'a değil; ilgili kişilere yapılması gereken bildirimler açısından da geçerli. Bazı veri sorumlularının veri ihlal bildirimlerinin yalnızca Kurul'a yapılmasının yeterli olacağı yönündeki algıları çok yanlış. Nitekim, söz konusu iki karar özetinden bir kararda (K. 2019/254) Kurul, yalnızca ilgili kişilere yapılmayan bildirim hakkında idari para cezasına hükmetti. Diğer kararda ise (K. 2019/255) hem Kurul'a hem de ilgili kişilere yapılmayan bildirim ciddi bir idari para cezasıyla sonuçlandı.

Kişisel Verilerin Korunması Kanunu ("Kanun") veri ihlal bildirimi yükümlülüğünü Kanun'un "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinin 5. fıkrasında düzenlemişti. Buna göre; "işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir". Dolayısıyla bildirim yükümlülüğünün yerine getirilmemesi esasen bir veri güvenliği ihlali olarak da ele alınabilir.

Kurul, Kanun'un söz konusu hükmüyle düzenlenen veri ihlal bildirimlerini, 15 Şubat 2019 tarihinde yayınladığı "Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin" 24.01.2019 tarih ve 2019/10 sayılı kararıyla netleştirmeye çalışmıştı. Bu çerçevede hükümde yer alan "en kısa sürede" ifadesinin 72 saat olarak yorumlanmasına ve veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirmesi gerektiğine karar vermişti. Ayrıca Kurul'a yapılacak ihlal bildirimin kapsamı da yine bu kararla yayınlanan Kişisel Veri İhlal Bildirim Formu ile belirlenmişti.

Ancak durum ilgili kişilere yapılacak bildirim açısından tam olarak netleşmemişti. Zira Kurul en kısa sürede ifadesinin 72 saat olarak yorumlanması gerektiğine karar vermesine rağmen, ilgili kişilere yapılacak bildirimin 72 saatte yapılması gerektiği gibi bir ifade kullanmamış, tam aksine "veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde" yapılmasına karar vermişti.

Ayrıca Kurul'a göre bu bildirim, "ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle" yapılmalıdır. Öyleyse ilgili kişilere yapılacak bildirim açısından sınırlı bir yöntem öngörülmemiş ve bu bildirim, uygun yöntemlerle yapılması şartıyla, doğrudan ilgili kişiye veya veri sorumlusu tarafından kendi web sitesi aracılığıyla duyurulması gibi herhangi bir yöntemle yapılabilecektir.

Kurul'un yeni kararı ne diyor?

Kurul, ilgili kişilere yapılacak bildirimlerle ilgili son olarak 15 Ekim 2019 tarihinde "Veri Sorumlusu Tarafından İlgili Kişiye Yapılan Veri İhlali Bildiriminde Yer Alması Gereken Asgari Unsurlara İlişkin" 18.09.2019 tarih ve 2019/271 sayılı kararını yayınladı.

Karara duyulan ihtiyacı ise, "ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak" amacını taşıyan ilgili kişiye yapılan bildirimlerin, hangi unsurları içermesi gerektiğinin açıkça düzenlenmesi gerekliliği doğduğu şeklinde açıkladı.

İlgili Kişiye Yapılacak İhlal Bildirimi İçeriği Nasıl Olmalı?

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildirimi açık ve sade bir dille yapılmak koşuluyla asgari olarak şu unsurları taşımalıdır:

" İhlalinin ne zaman gerçekleştiği " Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği " Kişisel veri ihlalinin olası sonuçları " Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler " İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

İhlalinin ne zaman gerçekleştiğinin tespit edilememesi durumunda ne yapacağız?

Veri sorumlusu, ihlal tarihini ilgili kişiye bildirmek zorundadır. Ancak Kurul tarafından yayınlanan bazı veri ihlal bildirimlerinde veya karar özetlerinde ihlal tarihinin veri sorumlusu tarafından tam olarak tespit edilemediğini görüyoruz. Nitekim pek çok olayda tespitin zor olduğunu da biliyoruz.

Bu durumda akla şu sorular gelmektedir:

  • Bu tarihi tespit edemeyen veri sorumlusu gerektiği şekilde bildirim yapmamış mı kabul edilecektir?
  • Veri sorumlusunun tespit edememesi de teknik tedbirsizlik kapsamında veri güvenliği ihlali olarak mı ele alınacaktır?
  • Yoksa gerekçesini açıklamak koşuluyla tespit tarihinin belirlenememiş olması kabul edilebilir midir?

Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiğini nasıl tespit edeceğiz?

Kurul kararlarına ilişkin daha önce yazdığımız yazılarda Kurul'un ihlal konusu verilerin niteliği üzerinde durduğunu belirtmiştik. Bu kararında da bize göre de oldukça yerinde bir şekilde aynı kanaatini devam ettirdiğini görüyoruz. Elbette bu noktada veri sorumlusunun hesap verebilir durumda olması çok önemli bir prensip olarak yine ortaya çıkıyor.

İhlalin hangi süreçlerde gerçekleştiğinin ve bu surette hangi verilerin etkilenmiş olabileceğinin ilk tespit yeri envanter olacaktır. Bu tespiti sağlıklı yapabilmek ise ancak veri envanterinin güncel ve doğru olması durumunda mümkün olabilecektir.

Kişisel veri ihlalinin olası sonuçlarını nasıl tespit edeceğiz?

Veri sorumlusu, ilgili kişiye mevcut olan ve bu ihlal kapsamında doğabilecek olumsuz sonuçları tespit edip bunları ilgili kişilere bildirmekle yükümlü kılınmıştır.

Esasen veri ihlalinin olası sonuçlarına dair risk değerlendirmeleri, teknik idari tedbirler kapsamında zaten veri sorumlularının zamanlı şekilde yapmış olmaları gereken risk değerlendirmesinin gerçekleşmesi anlamına gelmektedir. Yani sadece ihlal ortaya çıktığı an yapılacak bir risk değerlendirmesinden bahsetmiyoruz. Daha önce yapılan risk değerlendirmesi üzerinden duruma özel tespitlerin yapılıp paylaşılmasından bahsediyoruz. Bu kapsamda veri sorumlularının veri güvenliğine dair tedbirler açısından risk analizlerini yapmış olmaları çok önemlidir.

Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler ne olmalı?

Bu noktanın veri sorumluları tarafından atlanmaması, tam aksine önemle ele alınması gerektiğini düşünüyoruz. Kurul'un bu ifadesinden anlaşılan, veri sorumlusunun hem kendi aldığı tedbirleri belirtmesi hem de ilgili kişi tarafından alınabilecek önlemlerin önerilmesidir. Dolayısıyla bu ciddi bir yükümlülüktür.

Bunun için de önceden veri sorumlusunun veri ihlaline dair politikalarını hazırlamış ve ihlalin ya da duruma göre ihlal riskinin gerçekleşmesi durumunda alınacak önlemlere dair kural ve politikalarını hazırlamış olması gerekecektir. Elbette her ihlal olayı, durum özelinde ek tedbirleri gerektirebilir.

İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak iletişim yollarını nasıl belirlemek gerekir?

Veri sorumlusunun, ilgili kişiye konuyla ilgili bilgi almalarını sağlayacak iletişim yollarını (irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb.) belirtmesi gerekir.

Bu çerçevede, veri sorumluları siciline kayıt olan veri sorumlularının irtibat kişileri zaten sicile kayıt esnasında belirlenen kişiler olacaktır. Sicile kayıt zorunluluğu olmayanların da bundan bağımsız olarak veri ihlal prosedürleri gereği bu durumda iletişime geçilecek irtibat kişisini önceden belirlemiş olmaları gerekir. Diğer yandan, gerçek kişi irtibat kişilerinin ihlal gerçekleştiği sırada herhangi bir nedenle ulaşılabilir olmama (örneğin yıllık izin kullanıyor olma, yurtdışından bulunma vb) gibi durumları da dikkate alarak uygun ve güncel irtibat kişisi bilgilerinin paylaşılması gerekecektir.

İhlal açısından eğer mümkünse destek veya iletişim hattı işlevi görecek bir mekanizmanın kurulmasını da yararlı olacaktır.

Sonuç

Kurul ilgili kişilere bildirim için kararında yer alan unsurları "asgari" olarak belirlemiştir. Dolayısıyla somut olay özelinde veri sorumluları asgari unsurlara ek bilgilendirme de yapabilirler. Zira bu süreç veri sorumlusunun itibar yönetimi açısından çok önemli olacaktır.

İlgili kişilere yapılması gereken veri ihlal bildirimlerinin atlanmaması gerektiğini, zira ilgililere bildirimin yerine getirilmemesinin de tek başına idari para cezasına tabi olabileceğini tekrar hatırlatalım.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.