ARTICLE
30 November 2023

Sorularla "GDPR Kapsamında Veri İhlali Bildirimi"

DL
DKB Legal Consultancy & Compliance

Contributor

DKB Legal was founded by Didem Kalaycıoğlu Birol and based in Istanbul, Turkey. DKB Legal provides consultancy and compliance management services to local and foreign clients, particularly in the areas of Personal Data Protection, Telecommunications Law, Competition Law, E-Commerce & Consumer Law.
Avrupa Birliği Veri Koruma Kurul'u ("EDPB"), 28 Mart 2023 tarihinde "GDPR Kapsamında Kişisel Veri İhlali Bildirimi" isimli rehberini, Avrupa'da yerleşik olmayan veri sorumluları için veri ihlali bildirimi konusunda hedeflenen kamu istişaresinin ardından güncellemiştir.
Turkey Privacy

GİRİŞ

Avrupa Birliği Veri Koruma Kurul'u ("EDPB"), 28 Mart 2023 tarihinde "GDPR Kapsamında Kişisel Veri İhlali Bildirimi" isimli rehberini, Avrupa'da yerleşik olmayan veri sorumluları için veri ihlali bildirimi konusunda hedeflenen kamu istişaresinin ardından güncellemiştir. Bu yazıda da rehber kapsamında cevaplanan sorulara ilişkin özet bir anlatım yapılacaktır.

1. GDPR Kapsamında Kişisel Veri İhlali Bildirimi Nedir?

GDPR'nin ("Genel Veri Koruma Tüzüğü" - "General Data Protection Regulation") gerekliliklerinden biri, kişisel verilerin yetkisiz veya yasadışı işlemeye, kayıp, imha veya hasara karşı koruma dâhil olmak üzere uygun teknik ve idari önlemler kullanılarak işlenmesidir. Bu nedenle GDPR, hem veri sorumlularının hem de veri işleyenlerin işlemekte oldukları kişisel verilere yönelik risklere uygun bir güvenlik seviyesi sağlamak amacıyla uygun teknik ve idari önlemleri almalarını öngörmektedir.

Bu tedbirler belirlenirken, teknolojinin geldiği nokta, uygulama maliyetleri, işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlüklerine yönelik değişen olasılık ve ciddiyetteki riskler de dikkate alınmalıdır.

Ancak bazen alınan tüm teknik ve idari tedbirlere rağmen, kişisel veri ihlalleri gerçekleşebilmektedir. GDPR m.4/12'de "kişisel veri ihlali" şu şekilde tanımlanmaktadır:

"İletilen, depolanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlalidir."

Kişisel veri ihlalleri üç başlık altında kategorize edilebilmektedir:

  • Gizlilik İhlali: Kişisel verilerin yetkisiz veya kazara ifşa edilmesi veya kişisel verilere erişimin söz konusu olduğu durumlar.
  • Bütünlük İhlali: Kişisel verilerin yetkisiz veya kazara değiştirilmesi.
  • Kullanılabilirlik İhlali: Kişisel verilere erişimin kazara veya yetkisiz olarak kaybedilmesi veya kişisel verilerin imha edilmesi.

Bir ihlal aynı anda kişisel verilerin gizliliği, bütünlüğü ve kullanılabilirliği ile ilgili gerçekleşebileceği gibi bunların herhangi bir kombinasyonuyla da gerçekleşebilmektedir.

2. Bildirim Nasıl Yapılır?

GDPR, bir kişisel veri ihlalinin yetkili ulusal otoriteye veya sınır ötesi bir ihlal söz konusu olduğunda ilgili otoriteye bildirilmesi ve belirli durumlarda ihlalin, kişisel verileri ihlalden etkilenen ilgili kişilere iletilmesi gerekliliğini getirmektedir.

a. İhlal Ne Zaman Bildirilmeli?

GDPR m.33/1'e göre bir kişisel veri ihlali durumunda veri sorumlusu, kişisel veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik bir riske yol açmasının muhtemel olmaması halinde, aşırı gecikme olmaksızın ve mümkün olduğu hallerde, söz konusu ihlalden haberdar olunmasının ardından en geç 72 saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkili olan denetim makamına bildirmelidir.

Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, gecikmeye ilişkin gerekçeler de bildirime eklenmelidir.

b. İhlalden Ne Zaman "Haberdar" Olunur?

EDPB, bir veri sorumlusunun kişisel verilerin tehlikeye girmesine yol açan bir güvenlik olayının meydana geldiğine dair makul bir kesinlik derecesine sahip olması halinde "haberdar" olduğunun kabul edilmesi gerektiği görüşündedir.

Bir veri sorumlusunun bir ihlalden tam olarak ne zaman haberdar sayılabileceği söz konusu ihlalin koşullarına bağlı olacaktır. Bazı durumlarda bir ihlal olduğu en başından itibaren açık olabilecekken, bazı durumlarda ise kişisel verilerin tehlikede olup olmadığını tespit etmek zaman alabilir. Böyle durumlarda kişisel verilerin gerçekten ihlal edilip edilmediğini belirlemek için bir olayı araştırmak veya düzeltici eylemlerde bulunmak gerekebilir.

Veri sorumlusu, 72 saatlik bildirim süresi içerisinde bildirim gerekliliğinin doğup doğmadığını ve ilgili kişilere yönelik olası riski değerlendirmelidir. Bununla birlikte, veri sorumlusu ilgili işleme faaliyetini gerçekleştirmeden önce yapılan veri koruma etki değerlendirmesinin ("DPIA") bir parçası olarak bir ihlalden kaynaklanabilecek potansiyel riske ilişkin bir ilk değerlendirmeye zaten sahip olabilir. Ancak, DPIA herhangi bir fiili ihlalin özel koşullarına kıyasla daha genelleştirilmiş olabileceğinden her ihlal durumunda bu koşulları dikkate alan ek bir değerlendirme yapılması gerekecektir.

c. Sınır Ötesi İhlaller

Kişisel verilerin sınır ötesi işlenmesinin söz konusu olduğu durumlarda, bir ihlal birden fazla üye devletteki ilgili kişileri etkileyebilir. GDPR m.3/1, bir ihlal meydana geldiğinde veri sorumlusunun GDPR m.55 uyarınca yetkili denetim makamına bildirimde bulunması gerektiğini açıkça ortaya koymaktadır:

"Her denetim makamı kendi üye devletinin topraklarında GDPR uyarınca kendisine verilen görevlerin yerine getirilmesi ve yetkilerin kullanılması konusunda yetkilidir."

Bununla birlikte, GDPR m.56/1 şunu belirtmektedir:

"55. maddeye halel gelmeksizin, veri sorumlusunun veya veri işleyenin ana işletmesinin veya tek işletmesinin denetim makamı 60. maddede sağlanan usul uyarınca söz konusu veri sorumlusu veya veri işleyen tarafından gerçekleştirilen sınır ötesi işleme faaliyetine ilişkin olarak baş denetim makamı olarak hareket etmeye yetkilidir."

Ayrıca, GDPR madde 56/6'da şu ifade yer almaktadır:

"Baş denetim makamı söz konusu veri sorumlusu veya veri işleyen tarafından gerçekleştirilen sınır ötesi işleme faaliyetine ilişkin olarak veri sorumlusunun veya veri işleyenin tek muhatabıdır."

Veri sorumlusu baş denetim makamına bildirimde bulunurken, uygun olduğu hallerde, ihlalin diğer üye devletlerde bulunan kuruluşları içerip içermediğini ve hangi üye devletlerdeki ilgili kişilerin ihlalden etkilenmiş olabileceğini belirtmelidir. Veri sorumlusunun baş denetim makamının kimliğine ilişkin herhangi bir şüphesi olması halinde, veri sorumlusu asgari olarak ihlalin gerçekleştiği yerdeki yerel denetim makamına bildirimde bulunmalıdır.

d. Avrupa Birliği Üyesi Olmayan Kuruluşlardaki İhlaller

GDPR m.3, Avrupa Birliği ("AB")'nde yerleşik olmayan bir veri sorumlusu veya veri işleyen tarafından kişisel verilerin işlenmesi için geçerli olduğu durumlar da dâhil olmak üzere GDPR'nin bölgesel kapsamını belirtmektedir:

"; Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, AB içerisinde bulunan ilgili kişilerin kişisel verilerinin AB içerisinde kurulu olmayan bir veri sorumlusu veya veri işleyen tarafından işlenmesine uygulanır:

(a) İlgili kişiye bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya

(b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi."

GDPR m.3/3 de konuyla ilgili şunu belirtir:

"GDPR, kişisel verilerin Avrupa Birliği içerisinde yerleşik olmayan ancak uluslararası kamu hukuku uyarınca Üye Devlet hukukunun geçerli olduğu bir yerde bulunan bir veri sorumlusu tarafından işlenmesi halinde uygulanır."

AB'de yerleşik olmayan bir veri sorumlusunun GDPR m.3/2 veya m.3/3'e tabi olduğu ve bir ihlalle karşılaştığı durumlarda, GDPR m.33 ve 34 kapsamındaki denetim makamına veya ilgili kişilere bildirim yükümlülükleri geçerli olacaktır. Buna ek olarak veri işleyen, gerçekleşen bir ihlali veri sorumlusuna bildirme yükümlülüğüne de tabi olacaktır.

Son olarak, bir veri sorumlusunun veya veri işleyenin GDPR m.3/2 kapsamında olduğu hallerde GDPR m.27 uyarınca AB'de bir temsilci atanması öngörülmüştür.

e. Bildirimin Gerekli Olmadığı Durumlar

GDPR m.33/1 "gerçek kişilerin hak ve özgürlüklerine yönelik bir riske yol açması muhtemel olmayan" ihlallerin denetim makamına bildirimde bulunulmasını gerektirmediğini açıkça ortaya koymaktadır. Kişisel verilerin hâlihazırda kamuya açık olduğu ve bu verilerin ifşa edilmesinin ilgili kişi için olası bir risk teşkil etmediği durumlar buna örnek olarak verilebilir.

Bu durum, 2009/136/EC sayılı Direktif'te kamuya açık elektronik iletişim hizmetleri sağlayıcılarına yönelik olarak tüm ilgili ihlallerin yetkili makama bildirilmesi gerektiğini belirten mevcut ihlal bildirim gerekliliklerinin aksine bir durum olarak yer almaktadır.

3. İlgili Kişi/Kişiler Nasıl Bilgilendirilir?

Belirli durumlarda, denetim makamına bildirimde bulunmanın yanı sıra, veri sorumlusunun ihlalden etkilenen ilgili kişilere bu ihlali bildirmesi gerekir:

"Kişisel veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik yüksek bir riske yol açmasının muhtemel olduğu hallerde, veri sorumlusu kişisel veri ihlalini ilgili kişiye gereksiz gecikme olmaksızın iletir (GDPR m.34/1)."

Madde hükmünden de anlaşılacağı üzere, bir ihlalin ilgili kişilere bildirilmesine ilişkin eşik, denetim makamlarının bilgilendirilmesine ilişkin eşikten daha yüksektir ve bu nedenle tüm ihlallerin ilgili kişilere bildirilmesi gerekmeyecektir, böylece ilgili kişiler gereksiz bildirim yorgunluğundan korunmuş olacaktır.

GDPR, bir ihlalin ilgili kişilere bildirilmesinin "gereksiz gecikme olmaksızın", yani mümkün olan en kısa sürede yapılması gerektiğini belirtmektedir. İlgili kişilere bildirimin temel amacı, kendilerini korumak için atmaları gereken adımlar hakkında belirli bilgiler sağlamaktır. İhlalin niteliğine ve oluşturduğu riske bağlı olarak, zamanında yapılan bildirim, ilgili kişilerin kendilerini ihlalin olumsuz sonuçlarından korumak için adımlar atmalarına yardımcı olacaktır.

Ancak GDPR m. 34/3, bir ihlal durumunda yerine getirildiği takdirde ilgili kişilere bildirim yapılmasını gerektirmeyen üç koşul belirtmektedir:

  1. Veri sorumlusunun ihlalden önce kişisel verileri korumak için uygun teknik ve idari tedbirleri, özellikle de kişisel verileri bu verilere erişim yetkisi olmayan herhangi bir kişi için anlaşılmaz hale getiren tedbirleri uygulamış olduğu haller.
  2. Bir ihlalin hemen ardından, veri sorumlusunun ilgili kişilerin hak ve özgürlüklerine yönelik yüksek riskin artık gerçekleşme ihtimalinin bulunmadığından emin olmak için adımlar atmış olduğu haller.
  3. İhlal sonucunda ilgili kişilerin iletişim bilgilerinin kaybolduğu veya ilk etapta bilinmediği durumlarda, ilgili kişiler ile iletişime geçmenin orantısız bir çaba gerektirdiği haller.

Bu haller dışında, veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik yüksek bir riske yol açmasının muhtemel olduğu hallerde ilgili kişilere bildirim yapılmalı ve veri sorumlusu ilgili kişilere bildirimde bulunurken asgari olarak şu bilgileri sağlamalıdır:

  • İhlalin niteliği,
  • Veri koruma görevlisinin veya diğer irtibat noktasının adı ve irtibat bilgileri,
  • İhlalin olası sonuçları,
  • Uygun olduğu hallerde, olası olumsuz etkilerinin hafifletilmesine yönelik tedbirler de dâhil olmak üzere, ihlalin ele alınmasına yönelik olarak veri sorumlusu tarafından alınan veya alınması önerilen tedbirler.

4. Risk ve Yüksek Risk Değerlendirmesi Nasıl Yapılır?

Bir ihlalin farkına varılmasının hemen ardından veri sorumlusunun ihlalden kaynaklanabilecek riskleri de değerlendirmesi gerekmektedir. Bu değerlendirmenin iki önemli nedeni bulunmaktadır:

  • İlk olarak, ilgili kişi üzerindeki etkinin olasılığının ve potansiyel ciddiyetinin bilinmesi veri sorumlusunun ihlali kontrol altına almak ve ele almak için etkili adımlar atmasına yardımcı olacaktır.
  • İkinci olarak, denetim makamına ve gerekirse ilgili kişilere bildirim yapılmasının gerekli olup olmadığının belirlenmesine yardımcı olacaktır.

Yukarıda açıklandığı üzere, bir ihlalin ilgili kişilere bildirilmesini gerektiren kilit unsur, ihlalin ilgili kişilerin hak ve özgürlüklerine yönelik yüksek bir riske yol açma ihtimalinin bulunduğu durumlardır. Bu risk, ihlalin verileri ihlal edilen ilgili kişiler için fiziksel, maddi veya maddi olmayan zarara yol açabileceği durumlarda mevcuttur. Bu tür zararlara örnek olarak ayrımcılık, kimlik hırsızlığı veya dolandırıcılık, mali kayıp ve itibarın zedelenmesi verilebilir. İhlal ırk veya etnik köken, siyasi görüş, din veya felsefi inançlar veya sendika üyeliğini ortaya koyan kişisel verileri içerdiğinde veya genetik verileri, sağlıkla ilgili verileri veya cinsel yaşamla ilgili verileri veya cezai mahkûmiyetleri ve suçları veya ilgili güvenlik önlemlerini içerdiğinde de, yüksek riskin mevcut olduğu düşünülmelidir.

GDPR'nin 75. ve 76. maddeleri genel olarak risk değerlendirilirken ilgili kişilerin hak ve özgürlüklerine yönelik riskin hem olasılığı hem de ciddiyetinin göz önünde bulundurulması gerektiğini belirtmektedir. Ayrıca, riskin objektif bir değerlendirme temelinde değerlendirilmesi gerektiğini belirtmektedir.

Bir ihlal sonucunda kişilerin hak ve özgürlüklerine yönelik riskin değerlendirilmesinin DPIA'da değerlendirilen riskten farklı bir odağa sahip olduğu unutulmamalıdır. DPIA hem veri işlemenin planlandığı şekilde yürütülmesine ilişkin riskleri hem de bir ihlal durumunda ortaya çıkacak riskleri göz önünde bulundurur. Potansiyel bir ihlali değerlendirilirken, genel anlamda bu ihlalin gerçekleşme olasılığına ve ilgili kişilere gelebilecek zarara odaklanılır; başka bir deyişle, varsayımsal bir olayın değerlendirmesi yapılır. Gerçek bir ihlal söz konusu olduğunda ise olay zaten meydana gelmiştir ve bu nedenle odak noktası tamamen ihlalin ilgili kişiler üzerindeki etkisinin ortaya çıkardığı risk olacaktır.

Gerçekleşen bir ihlal sonucunda risk değerlendirilirken göz önünde bulundurulması gereken faktörler başlıca şunlardır:

  • İhlalin türü
  • Kişisel verilerin niteliği, hassasiyeti ve hacmi
  • İlgili kişilerin kimlik tespiti kolaylığı
  • İlgili kişiler için sonuçların ciddiyeti
  • İlgili kişilerin özel nitelikleri
  • Veri sorumlusunun özel nitelikleri
  • Etkilenen İlgili kişilerin sayısı
  • Genel hususlar

5. Veri Sorumlularının Sorumluluk Kapsamı Nedir?

a. İhlallerin Belgelendirilmesi

Bir ihlalin denetim makamına bildirilmesi gerekip gerekmediğine bakılmaksızın, GDPR m.33/5'te açıklandığı üzere, veri sorumlusu tüm ihlallere ilişkin belgeleri saklamalıdır:

"Veri sorumlusu, kişisel veri ihlaline ilişkin olguları, etkilerini ve gerçekleştirilen düzeltici eylemi içeren her türlü kişisel veri ihlalini belgelendirir. Bu belgeler denetim makamının bu maddeye uygunluğu doğrulamasını sağlar."

Bu madde kapsamında öngörülen belgelendirme işlemi, hesap verebilirlik ilkesi ile doğrudan bağlantılıdır.

Bir ihlali belgelendirirken hangi yöntem ve yapının kullanılacağını belirlemek veri sorumlusunun takdirine bağlı olmakla birlikte, tüm vakalarda ihlal bildirimine dâhil edilmesi gereken temel unsurlar bulunmaktadır. GDPR m.33/3'te belirtildiği üzere, veri sorumlusunun ihlal bildiriminde; ihlalin nedenlerine, ihlalin nasıl gerçekleştiğine ve etkilenen kişisel verilere ilişkin ayrıntılara yer vermesi gerekmektedir. Ayrıca, veri sorumlusu tarafından gerçekleştirilen düzeltici eylem veya eylemler ile birlikte ihlalin etki ve sonuçları da yer almalıdır.

GDPR ihlal bildirimine ilişkin belgeler için bir saklama süresi belirtmemektedir. Bu tür kayıtların kişisel veri içermesi halinde, kişisel verilerin işlenmesine ilişkin ilkeler uyarınca uygun saklama süresinin belirlenmesi ve işleme için yasal bir dayanağın karşılanması veri sorumlusunun sorumluluğunda olacaktır.

b. Veri Koruma Görevlisinin Rolü

Bir veri sorumlusu veya veri işleyen, GDPR'nin 37. maddesi uyarınca veya iyi uygulama gereği bir Veri Koruma Görevlisine ("DPO") sahip olabilir. Özellikle ihlal bildirimi ile ilgili olarak, DPO'nun zorunlu görevleri arasında diğer görevlerin yanı sıra veri sorumlusu veya veri işleyene veri koruma tavsiyeleri ve bilgileri sağlamak, GDPR ile uyumluluğu izlemek ve DPIA'lar ile ilgili olarak tavsiyelerde bulunmak yer almaktadır. DPO ayrıca denetim makamı ile işbirliği yapmalı ve denetim makamı ve ilgili kişiler için bir irtibat noktası olarak hareket etmelidir.

İhlallerin belgelendirilmesi bakımından, veri sorumlusu veya veri işleyen bu belgelerin yapısı, oluşturulması ve idaresi ile ilgili olarak DPO'sunun görüşünü almak isteyebilir. DPO ayrıca bu tür kayıtların muhafaza edilmesi ile de görevlendirilebilir.

Bu faktörler, DPO'nun tavsiyelerde bulunarak ve uygunluğu izleyerek bir ihlalin önlenmesine veya bir ihlale hazırlanılmasına yardımcı olmanın yanı sıra bir ihlal sırasında (yani denetim makamına bildirimde bulunurken) ve denetim makamının müteakip soruşturması sırasında kilit bir rol oynaması gerektiği anlamına gelmektedir. Bu bağlamda, EDPB, DPO'nun bir ihlalin varlığı hakkında derhal bilgilendirilmesini ve ihlal yönetimi ve bildirim süreci boyunca sürece dâhil edilmesini tavsiye etmektedir.

6. İkincil Mevzuat Kapsamında Bildirim Yükümlülüğü Mevcut Mu?

GDPR kapsamındaki ihlallerin bildirilmesi ve iletilmesine ek olarak ve bunlardan ayrı olarak, veri sorumluları kendileri için geçerli olabilecek diğer ilgili mevzuat kapsamındaki güvenlik olaylarını bildirme gerekliliklerinin ve bunun aynı zamanda bir kişisel veri ihlalini denetim makamına bildirmelerini gerektirip gerektirmeyeceğinin de farkında olmalıdır. Bu tür gereklilikler Üye Devletler arasında ilgili hukuka göre değişiklik gösterebilmektedir.

SONUÇ

GDPR kapsamında veri sorumlularının veri ihlal bildirimlerine ilişkin yükümlülükleri, dikkat çekilmesi gereken bir konudur. Veri ihlallerinin ciddi sonuçları olabileceğinden veri sorumlularının ihlal bildirimlerini zamanında ve etkili bir şekilde yapmaları, hem veri sorumlusu hem de ilgili kişiler için önem arz etmektedir. Herhangi bir veri güvenliği politikasının kilit unsuru, mümkün olduğunda bir ihlali önleyebilmek ve yine de bir ihlal meydana geldiğinde buna zamanında tepki verebilmek olmalıdır.

Veri ihlalleri bazı durumlarda alınan tüm teknik ve idari tedbirlere rağmen engellenemeyebilir. Ancak veri sorumlusu tarafından doğru ve kapsamlı bir veri ihlal bildirimi yapılması, hem denetim makamlarına hem de gerektiği hallerde ihlalden etkilenen ilgili kişilere ihlal hakkında bilgi sahibi olmaları ve gerekli önlemleri almaları konularında yardımcı olacaktır.

Sonuç olarak, GDPR kapsamında veri ihlal bildirimleri konusunda yükümlülüklerin yerine getirilmesi, kişisel verilerin korunması ve güvenliği için kritik öneme sahiptir. Veri sorumlularının bu yükümlülükleri doğru bir şekilde anlamaları ve uygulamaları, ilgili kişilerin güveninin artmasına ve kurumsal itibarın korunmasına da yardımcı olacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More