Makale
Kişisel veri ihlallerinin tespiti, Kurul ile ilgili kişilere yapılacak bildirim usulleri ve veri sorumlularının hukuki ile idari sorumlulukları KVKK ve GDPR çerçevesinde incelenmektedir. İhlal süreçlerinin hukuki boyutları, sözleşmesel ve haksız fiil sorumlulukları ile idari yaptırımlar ekseninde pratik bir rehber sunulmaktadır.
Hukuki Boyutuyla Veri İhlali, Bildirim Usulü ve Sorumluluklar
Dijitalleşmenin getirdiği teknolojik gelişmeler, kişisel verilerin korunması alanında veri güvenliği ihlali risklerini de beraberinde artırmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri sorumluları için katı kurallar öngörülmüştür. Bu tür bir ihlal senaryosunda, ihlalin en kısa sürede tespit edilmesi, yetkili veri koruma otoritesine ve ihlalden etkilenen ilgili kişilere bildirim yapılması yasal bir zorunluluktur. Bildirim süreçlerinin hukuka uygun olarak yürütülmemesi, veri sorumluları açısından sadece ağır idari para cezaları doğurmakla kalmaz; aynı zamanda veri sahiplerinin zarara uğraması durumunda sözleşmesel sorumluluk ve haksız fiil sorumluluğu gibi özel hukuk yaptırımlarını da gündeme getirir. Bu makalede, bir veri ihlalinin tespiti anından itibaren işletilmesi gereken bildirim usulleri ve ihlalin doğurduğu hukuki sorumluluklar detaylıca ele alınacaktır.
Veri İhlalinin Tespiti
KVKK madde 12 fıkra 5 uyarınca, veri sorumlusunun korumakla yükümlü olduğu kişisel verilerin kanuni olmayan yollarla yetkisiz üçüncü kişiler tarafından ele geçirilmesi hali veri ihlali olarak kabul edilmektedir. İhlalin tespiti aşaması, bildirim sürelerinin işlemeye başlaması açısından kritik bir öneme sahiptir. Kurul kararları ve yayınlanan rehberler doğrultusunda ihlalin tespit tarihi, veri sorumlusunun yapılan incelemeler sonucunda ihlalin başladığından makul bir kesinlik derecesinde haberdar olduğu tarih olarak esas alınmaktadır. Bir dış kaynaktan ihbar alınması halinde ise, veri sorumlusunun bu durumu derhal soruşturması ve ihlalin gerçekliğini makul sürede doğrulaması beklenmektedir. GDPR uygulamalarında ve EDPB Kılavuz İlkeleri kapsamında da benzer şekilde, veri sorumlusunun veri ihlalinden haberdar olma anı, güvenlik olayının meydana geldiğinin makul bir kesinlikle anlaşıldığı andır. Eğer ihlali tespit eden taraf veri işleyen statüsündeki bir gerçek veya tüzel kişi ise, herhangi bir gecikmeye yer vermeksizin doğrudan veri sorumlusuna bildirimde bulunmakla yükümlüdür.
Kurul'a ve İlgili Kişiye Bildirim Usulü
Veri ihlali tespit edildikten sonra veri sorumlusunun bildirim yükümlülüğü aktifleşmektedir. Kurul’un 2019/10 sayılı kararı gereğince, veri sorumluları ihlali öğrendikleri andan itibaren en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na resmi bildirim yapmakla mükelleftir. Sürecin ilerleyişinde tüm bilgilerin anında sağlanamaması durumunda önce İlk Bildirim yapılmalı, elde edilen yeni detaylarla beraber süreç Takip Bildirimi vasıtasıyla tamamlanmalıdır. Belirlenen yasal sürenin aşılması halinde ise, gecikmenin haklı gerekçeleri Kurul'a sunulacak form üzerinde detaylıca açıklanmalıdır. Eş zamanlı olarak, veri sızıntısından etkilenen ilgili kişilere bildirim yükümlülüğünün de makul olan en kısa sürede yerine getirilmesi esastır. Bu şeffaf bildirimde asgari olarak şu unsurlar bulunmalıdır:
- Kişisel veri ihlalinin gerçekleştiği tahmini zaman dilimi.
- İhlalden doğrudan veya dolaylı olarak etkilenen kişisel veri kategorileri.
- Yaşanan veri sızıntısının bireyler açısından doğurabileceği olası sonuçlar.
- Veri ihlalinin olumsuz etkilerinin azaltılması ve bertaraf edilmesi için alınan idari ve teknik tedbirler.
- İlgili kişilerin doğrudan bilgi almalarını sağlayacak irtibat kişisi detayları.
GDPR Kapsamında Risk Değerlendirmesi Farkı
KVKK mevzuatımızda ihlalin büyüklüğüne veya taşıdığı riske bakılmaksızın tüm durumlarda bildirim yapılması kuralı benimsenmişken, GDPR tarafında usul daha farklı işlemektedir. GDPR, kural olarak risk merkezli bir yaklaşım sergileyerek, ihlalin bireylerin temel hak ve özgürlükleri bakımından bir risk oluşturma ihtimalinin düşük olduğu hallerde denetim makamlarına bildirim yapma zorunluluğunu ortadan kaldırmaktadır. Ancak yüksek risk barındıran veri sızıntıları söz konusuysa, veri sahiplerine gecikmeksizin bilgi verilmesi zorunludur. Avrupa Veri Koruma Kurulu (EDPB) rehberlerinde risk değerlendirmesi yapılırken veri hacmi, etkilenen kişi sayısı ve verinin hassasiyetinin göz önüne alınması gerektiği ısrarla vurgulanmaktadır. KVKK tarafında kanun lafzında böyle bir risk ayrımı bulunmadığından, Türkiye'deki veri sorumlularının gerçekleşen ele geçirme olaylarını risk boyutu fark etmeksizin doğrudan Kurul’a bildirmesi mevcut yasal gereklilik olarak uygulanmaktadır.
İhlal Sonrası Hukuki ve İdari Sorumluluklar
Veri ihlalinin gerçekleşmesi, veri sorumlusu ve duruma göre veri işleyenler açısından çok katmanlı hukuki yaptırımlar doğurmaktadır. Olası bir ihlal durumunda, kişisel verileri ihlal edilen ilgili kişilerle aralarında mevcut bir sözleşme ilişkisi bulunuyorsa, Türk Borçlar Kanunu hükümlerine göre sözleşmeye aykırılık dolayısıyla kötü ifadan kaynaklı tazminat talepleri gündeme gelebilmektedir. Şayet taraflar arasında herhangi bir sözleşme bulunmuyorsa, hukuka aykırı bir fiil neticesinde bir zarar meydana gelmesi şartıyla haksız fiil sorumluluğu devreye girmektedir; bu durumda zararın tazmini bakımından uygun illiyet bağı ve kusur durumu hukuki süreçlerde tartışılır. Özel hukuk yaptırımlarının yanı sıra KVKK madde 18 kapsamında belirlenen idari para cezaları da şirketler için çok ciddi bir mali risktir. Özellikle bildirim yükümlülüğüne aykırılık durumlarında, Kurul tarafından ihlalin niteliğine göre her yıl güncellenen sınırlar dâhilinde yüksek miktarlarda idari para yaptırımları uygulanmaktadır.