Kişisel Verileri Koruma Kurulu'nun ("Kurul") 24.01.2019 tarih ve 2019/10 sayılı kararının ekinde yayınlamış olduğu veri ihlal bildirimi formuna ("Form") dair bazı düşüncelerimizi de kısaca paylaşmak istedik.

Özellikle Kişisel Verilerin Korunması Kanunu'nda ("Kanun") yer alan veri ihlal tanımını dikkate aldığımızda, formda talep edilen bazı bilgiler açısından, Kurul'un daha geniş bir "ihlal" tanımı tercih ediyor olup olmadığının netliğe kavuşmasına ihtiyaç olduğunu düşünüyoruz. Bu kapsamda, formda yer alan başlıkları takip ederek notlarımızı iletiyoruz:

İhlalin kaynağı açısından

Formda ihlalin kaynağına dair bilgi istenirken, çoktan seçmeli seçeneklerden

  • 1. seçenekte yer alan "Kişisel verilerin yanlış alıcılara gönderilmesi"
  • 3. seçenekte yer alan "verilerin güvensiz ortamlarda depolanması"

açısından Kanun'daki veri ihlali tanımı dikkate alındığında bildirim yapılması gerekip gerekmediğinin tekrar değerlendirilmesi gerekebilir düşüncesindeyiz.

Zira Kanun işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinden bahsetmektedir. Kişisel verilerin yanlış alıcılara gönderilmesi ve verilerin güvensiz ortamda depolanması her ne kadar veri güvenliği yükümlülüklerinin ihlali olabilse de, Kanun'un lafzı dikkate alındığında bir veri ihlali olarak değerlendirilebilir mi?

Yine bir kaza ve ihmal durumu, ne kadar "kanuni olmayan yollarla başkaları tarafından elde edilme" şartını karşılayacaktır?

İhlalden etkilenen kişisel veri kategorileri açısından

Formda kişisel veri ve özel nitelikli kişisel veri ayrımı yapılarak veri sorumlularının formu kolayca doldurmaları amaçlamıştır. Ancak, kişisel veri kategorisinde yer alan

  • Fiziksel Mekan Güvenliği
  • İşlem Güvenliği
  • Risk Yönetimi

kategorileri kişisel veri olarak değerlendirilebilir mi? Bu kategorilerden kastedilen şifre gibi veriler ise bunun daha net olarak belirtilmesi Formu dolduracak kişiler açısından daha yararlı olabilir.

Siber Saldırıya Özgü Sonuçlar Açısından

Formda veri sorumlularının siber saldırı sonucu gerçekleşen ihlal unsurunu belirtmeleri de istenmektedir. Ancak burada yer verilen, veri gizliliği, veri bütünlüğü ve veriye erişim kavramları, Avrupa Genel Veri Koruma Tüzüğü (GDPR) madde 5'te yer alan verilerin işlenmesine dair genel ilkelerdir ve ihlalleri halinde en ağır yaptırıma tabi tutulmaktadır. Oysa ki, Kanun'da bu ilkelere yer verilmediğinden, veri sorumlularının örneğin veri bütünlüğüne dair bir açıklama yapmalarının beklenmesi ne kadar amaca uygun olacaktır?

İyileşme zamanı ile ilgili istenen bilgiler açısından

İyileşme zamanı hem (C) Olası sonuçlar bölümünde, hem de (D) Varsa Siber Saldırıya Özgü Sonuçlar bölümünde yer almaktadır.

Ancak burada kastedilenin, silinmiş/kaybolmuş verilerin geri kazandırılması/kurtarılması gibi bir iyileştirme çalışması olduğu ve bunun süresine dair tahminin talep edildiği düşünülmektedir. Bu durumda da esasen bu bilginin salt siber saldırıya özgü olarak istenmesi daha anlamlı olabilir.

Yabancı veri sorumluları açısından

Veri ihlal bildirimlerinin hem yabancı hem de Türkiye'de yerleşik veri sorumluları tarafından yapılması beklendiğinden, Kurul tarafından yurtdışında yerleşik veri sorumluları açısından

  • veri ihlal bildirimlerinin hangi dilde yapılması gerektiğinin (örneğin İngilizce yapılacak bildirimlerin kabul edilip edilmeyeceği gibi) netleştirilmesi
  • Formda veri sorumlusunun temsilcilerinin (varsa) belirtilmesinin istenip istenmediğinin, veri temsilcisi yoksa da en geç bildirim tarihi itibariyle bir temsilci atamış olmalarının beklenip beklenmediğinin

netleştirilmesi yararlı olacaktır diye düşünüyoruz.

Diğer yandan, Avrupa'da mukim veri sorumluları açısından GDPR'da düzenlenen veri ihlali tanımının Kanun'daki tanımdan farklı olması ve özellikle veri sahiplerine yapılacak bildirimler açısından öncelikle "ihlalin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olması" şartının aranması nedeniyle düzenlemeler arasındaki farklılıklar dikkate alınarak bir açıklama yapılması da yararlı olacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.