Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
[email protected]
05 Mart 2019
A-
A+
Kişisel Verileri Koruma Kurulu (“Kurul”), 24.01.2019 tarih ve 2019/10 sayılı kararı (“Karar”) ile, veri ihlal bildirimlerine dair bildirim süresi, yönetimi ve yapılması gerekenler gibi önemli bazı hususlara açıklık getirdi.
Kurul, veri ihlal bildirimlerine dair özetle:
karar verdi.
Hatırlarsanız, yeni yılda girerken blog’umuzda yayınlanan 2019da-bizi-neler-bekliyor başlıklı yazımızda, hızlı dijital değişimin veri ihlalleri açısından şirketleri ve kişileri daha kırılgan yaptığını ve nitekim veri ihlali haberlerinin 2018’de gündemde çokça yerini aldığını yazmıştık.
Kurul, bu Karar’ı ile uygulamacılara veri ihlalleri karşısında neler yapılması gerektiği konusunda net bir yol haritası çizmiş oldu.
Veri İhlali Nedir? Veri İhlali ne zaman olur?
Bildiğiniz üzere, Kanun veri ihlaline dair özel bir tanım öngörmemekte, ancak Kanun’un 12. maddesindeki düzenleme gereğince “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali”ni, bir veri ihlali olarak düzenlenmekte.
Diğer yandan Avrupa Genel Veri Koruma Tüzüğünde (“GDPR”), “kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir” şeklinde tanımlanmakta.
Bu itibarla, Kanun’daki veri ihlali tanımı ile GDPR’daki veri ihlali tanımının oldukça farklı olduğunu bir kere daha hatırlayalım. [1]
Bu noktada, Kurul’a ya da veri sahiplerine bir bildirim yapılması gereğinin doğması için öncelikle, işlenen kişisel verilerin
gerektiğini unutmamak gerekir. Burada özellikle üzerinde durulması gereken husus, verinin kanuni olmayan bir yolla bir başkası (yani 3. kişi) tarafından elde edilmesi gerektiğidir. Bunun haricindeki durumların Kanun’un 12. maddesi kapsamında bir bildirime tabi olmadığını varsaymak gerekir. Örneğin, elde edilme riskinin oluşması ihlal bildirimi için yeterli olmamalı, verinin elde edilmiş olması gerekmelidir.
(Küçük bir not: Kurul’un yayınlamış olduğu Kişisel Veri Bildirim Formu’da talep edilen bilgiler ışığında veri ihlali tanımına dair açıklamalarımızı aşağıda “Kişisel Veri İhlal Bildirim Formu nedir?” başlığı altında bulabilirsiniz).
Veri ihlal bildirimi kime yapılmalıdır ?
Veri ihlaline dair yukarıda belirtilen koşullar gerçekleştiğinde, Kanun gereği veri sorumlusu tarafından
bilgi verilmesi gereklidir.
Kurul kararı ile veri işleyenlerin de veri sorumlularına “herhangi bir gecikmeye yer vermeksizin” bildirim yapmaları gerekliliğini hatırlatmıştır. Ancak, veri ihlal bildiriminin Kurul ve ilgili kişilere yapılması Kanun gereği veri sorumlusunun sorumluluğundadır.
Bu noktada, Kanun’un GDPR’dan en çok veri sahibine yapılacak bildirim açısından farklılaştığını söyleyebiliriz. Zira GDPR madde 34 “Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu kişisel veri ihlalini gereksiz bir gecikmeye mahal vermeden veri sahibine iletir.” demektedir. Ayrıca, aşağıdaki koşulların herhangi birinin yerine getirilmesi durumunda, veri sahibine ilişkin bildirimin yapılması da gerekmez:
a) veri sorumlusunun uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması;
b) veri sorumlusunun veri sahiplerinin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması;
c) bildirimin ölçüsüz bir çaba gerektirecek olması. Bu durumda, bunun yerine, veri sahiplerinin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır.
Veri ihlal bildirimi ne kadar sürede yapılmalıdır ?
2019/10 sayılı Karar uyarınca, artık, veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması şarttır.
Kurul, Kanun’da yer alan “en kısa sürede” ifadesini GDPR ile uyumlu olarak en geç 72 saat olarak yorumlamış ve böylece konuya dair belirsizliği (ve muhtemel bir çelişkiyi) de ortadan kaldırmıştır.
Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.
Burada websitesi ya da sair mecralar üzerinden veri ihlalinden etkilenen kişilerin bilgilendirilmesi yönteminde, ilgili kişilerin isimlerinin açıklanması gibi bir yol izlenmesi gerekmediğini düşünmekteyiz. Zira bu şekilde verileri ihlal edilmiş olma ihtimali olan ilgililerin kişisel verilerinin kamuya açık hale getirilmesi ayrıca bir veri ihlali sorunu / riski yaratabileceği (ya da riski arttırabileceği) gibi, bu şekilde bir ifşa da farklı bir süreçte kişisel verilerin işlenmesi anlamına gelecektir. Kanun açıkça veri ihlaline konu olmuş olabilecek kişilerin isim ve soyadlarını kamuya açık şekilde ifşa edilmesine dair bir düzenleme içermiyor olduğundan, verilerin işlenme şartları açısından ayrıca sorunlu bir durum da ortaya çıkabileceği düşünülmektedir.
Kişisel Veri İhlal Bildirim Formu nedir?
2019/10 sayılı Karar uyarınca, Kurul’a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formu”unun kullanılması gereklidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak Kurul’a gönderilmesi gerekir. Varsa formda yer verilen bilgileri destekleyici dokümanların da (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir.
Form oldukça kapsamlı bir bildirimin yapılmasını öngörmektedir. Format olarak Avrupa Veri Koruma Otoritelerinin bildirim formlarında istenen bilgiler düzeyinde bilgiler istendiği dikkate alınırsa, Kurul’un veri ihlalleri açısından veri sorumlularından GDPR düzeyinde veri işleme faaliyetlerine hakimiyet beklediği anlaşılmaktadır.
Elbette bu düzeyde bilginin sağlanabilmesi için veri sorumlularının 3. kişi veri işleyenleri de dahil olmak üzere veri işleme faaliyetleri ve risklerine karşı gerekli uyum çalışmalarını yapmış olmaları ve süreçlerine üst düzeyde hakim olmaları gerekecektir.
Yeri gelmişken, ihlal bildirim formunda yer alan bazı hususlara dair düşüncelerimiz için ayrıca Kişisel Veri ihlal Bildirimi Formu’nun İçeriğine Dair Bazı Düşünceler yazımıza bakabilirsiniz.
Kurul’a yapılacak bildirim hangi yöntemle gönderilmeli?
Kurul’a yapılacak bildirimler aşağıdaki şekilde yapılabilir:
gereklidir.
Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirimin içeriği ne olmalı?
Gerçek kişilere yapılacak bildirimin içeriği hakkında ilgili mevzuatta veya Kurul kararında bir hüküm bulunmamakla birlikte, GDPR’daki düzenlemeler dikkate alınırsa, bildirimde
Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirim hangi yöntemle yapılmalı?
İlgili kişinin iletişim adresine ulaşılabiliyorsa iletişim adresine doğrudan bildirimin alındığını ispat edebilecek bir yöntemle bildirmek (iadeli taahhütlü mektup, öncelikle kayıtlı elektronik posta adresi (KEP) yoksa e-mail gibi gönderinin ispatlanabileceği bilgi iletişim sistemleri yoluyla, noter vasıtasıyla)
Eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa, veri sorumlusunun kendi web sitesi üzerinden ihlalden etkilenen kişisel verilerin bilgilendirme yapılabilir.
Peki şimdi yapılması gerekenler ve alınması gereken tedbirler nelerdir?
Burada dikkat edilmesi gereken husus, bu karar ile tüm veri sorumlularına (örneğin veri sorumluları siciline kayıt zorunluluğu olmayanlar da dahil) veri ihlali müdahale planının hazırlanması zorunluluğu getirilmiş olduğudur.
Veri ihlali acil eylem planı olarak da adlandırılan müdahale planın hazırlanması için öncelikle ihlal durumunda sürece dahil edilmesi gereken birimlerin/kişilerin kimler olduğunun belirlenmesi gereklidir. Bu kişiler genel olarak uyum komitelerinde görevli kişiler olabilir ancak hukuk, uyum, bilgi teknolojileri, insan kaynakları, finans gibi birimler dışında, duruma göre satış, pazarlama, halka ilişkiler birimlerinin de sürece hızlıca dahil edilmesi gerekecektir. Bu birimlerin bazılarının dahili organizasyon dışında yer alma durumunun da olabileceğini dikkate alarak planlama yapılması gerekir. Örneğin, pek çok şirkette şirket avukatı olmayabilir. Dışarıdan hukuk desteği alındığı hallerde, tercihan ihlal sürecinin yönetimi için hem veri sorumlusunun ve faaliyetlerini bilen hem de kişisel verilerin korunması mevzuatına hakim danışmanların seçilmesi faydalı olacaktır.
Müdahale planı hazırlanması belki de en zor çalışmalardan biridir. Veri sorumlusunun organizasyonel yapısı dikkate alınarak süreçlerin tasarlanmasını ve en çok da, görevlendirilen kişilerin zaman zaman tatbikatlar yaparak muhtemel bir veri ihlali halinde eylem planını uygulayabilmek için hazırlıklı olmalarını öneririz.
bilmesi ve ayrıca raporlaması beklenmektedir.
Bunun için de veri sorumlusu durumu doğru tespit edebilecek altyapı ve donanıma sahip olmalıdır.
İhlalden önce, veri sorumlusunun teknik ve idari tedbirler anlamında gerekli çalışmaları yapmış olması halinde bunları güncellemesi, yapmamış olması halinde ise, ivedilikle bu çalışmaları tamamlaması gereklidir.
Bu nedenle de Kanun uyum çalışmaları kapsamında veri sorumlusuyla veri işleyenin aralarındaki ilişkinin düzenlenmesi çok daha önemli bir hale gelmiştir.
Kurul kararı ile veri işleyenlerin de veri sorumlularına “herhangi bir gecikmeye yer vermeksizin” bildirim yapmaları gerekliliğini hatırlatmıştır. Veri işleyenlerin pek çok kez alt yapı sağlayıcısı/hizmet veren durumunda olduğu düşünülürse, muhtemel bir ihlalin kaynağının onlarda olma ihtimali yüksektir.
Örneğin teknik ve idari tedbirler bakımından dahi (formda açıkça belirtilmese de), salt veri sorumlusunun kendi organizasyonu değil aynı zamanda veri işleyenlerinin organizasyonu açısından da teknik ve idari tedbirlerin alınmış olup olmadığını gözden geçirmesi gereklidir. GDPR uygulamasında bu konu çok detaylı olarak düzenlenmektedir. Veri işleyenle çalışmaya başlamadan önce veri sorumlusunun veri işleyenin kendi bünyesinde gerekli teknik ve idari tedbirleri almış olduğunu denetlemesi ve bunu belgelemesi gerekmektedir.
Her ne kadar, Kanun GDPR’dan farklı olarak veri işleyen-veri sorumlusu ilişkisinin yazılı bir sözleşmeye dayanmasını zorunlu kılmasa da, gelinen noktada, veri sorumlularının veri işleyenleriyle olan ilişkilerinde veri güvenliğine dair tedbirlerin alınmış olup olmadığını araştırması ve hatta kendisinin beklenti, talep ve varsa talimatlarını da veri işleyene iletmiş olması gerektiğini düşünüyoruz.
Zira, Kanun’un 12. maddesi uyarınca , “veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”
Aynı şekilde veri işleyenlerin de, veri sorumlularıyla çalışmaya başlamadan önce veri güvenliği başta olmak üzere veri işleme faaliyetleri açısından veri sorumlusuna sunulan hizmete dair alınan teknik ve idari tedbirleri veri sorumlularıyla mutabık kalarak düzenlemeleri ve veri sorumlularının ilave uyulmasını istediği talimatlarını istemesi ve bunları kayıt altına alması doğru olacaktır.
İdari yaptırımlar nelerdir?
En son, veri ihlalleri ile ilgili olarak Kanun uyarınca,
idari para cezası verilebileceğini unutmamak gerekir.
Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı da saklıdır.
Son olarak; bir kere daha, veri güvenliğini düzenleyen Kanun’un 12. maddesinin, Kurul kararları çerçevesinde çok önemli bir düzenleme olarak karşımıza çıktığını altını çizerek hatırlatalım. 2019 yılında teknik ve idari tedbirlerin alınması tüm veri sorumluları için bir öncelik olmalı. Konuya dair hafızanızı tazelemek isterseniz, teknik ve idari tedbirlerle ilgili, 28 Kasım 2018 tarihli sunumumuzun video kayıtlarına Bölüm 1: https://youtu.be/zP6y39ooYGY ve Bölüm 2: https://youtu.be/-i7p1tn0ndk linklerinden ulaşabilirsiniz.
[1] GDPR’daki düzenlemeleri hatırlamak Kurul’un bu kararını anlamak için önemli, zira Kurul bahsi geçen kararının aynı zamanda “Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini temin” amacını da taşıdığını açıkladı.
Yayınlara dön