Veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesidir. Siber saldırılar, yetkisiz erişim, cihaz kaybı, hatalı yönlendirilen elektronik postalar ya da yetkisiz paylaşımlar veri ihlaline yol açabilir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, böyle bir durumda veri sorumlusuna hem denetim otoritesine hem de etkilenen kişilere bildirim yapma yükümlülüğü getirir. Bildirim yükümlülüğünün zamanında ve usulüne uygun yerine getirilmesi, hem hukuki sorumluluğu sınırlar hem de ilgili kişilerin zararlarını önleme fırsatı yaratır. Bu yazıda veri ihlali bildiriminin süresi, usulü ve Kurul kararlarıyla belirlenen standartları ele alınmaktadır.
Veri ihlali kavramı
Veri ihlalinden söz edilebilmesi için işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişilerce elde edilmesi gerekir. İhlal; verilerin gizliliğinin, bütünlüğünün veya erişilebilirliğinin bozulması biçiminde ortaya çıkabilir. Örneğin bir veri tabanına yetkisiz erişim sağlanması, fidye yazılımı saldırısı sonucu verilere erişilememesi, kişisel veri içeren bir cihazın kaybolması ya da bir elektronik postanın yanlış alıcıya gönderilmesi veri ihlali sayılabilir. Her olay, somut koşulları içinde değerlendirilmelidir.
Bildirim yükümlülüğünün kaynağı
KVKK, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu'na bildirmesini öngörür. Kurul, bu yükümlülüğün nasıl yerine getirileceğini kararlarıyla somutlaştırmıştır.
Kişisel Verileri Koruma Kurulu, veri ihlalinin veri sorumlusu tarafından öğrenildiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki saat içinde Kurul'a bildirilmesi gerektiğini ilke olarak belirlemiştir. Bu süre içinde bildirim yapılamamışsa, gecikmenin gerekçeleri bildirimle birlikte Kurul'a açıklanır.
Bu düzenleme, veri ihlaline hızlı müdahaleyi ve şeffaflığı amaçlar. Süre, ihlalin gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği andan itibaren işlemeye başlar. Öğrenme anının belirlenmesi, veri sorumlusunun iç süreçlerinin ve tespit mekanizmalarının etkinliğine bağlıdır.
Yetmiş iki saatlik bildirim süresi
Veri sorumlusunun Kurul'a bildirimi, ihlalin öğrenilmesinden itibaren en geç yetmiş iki saat içinde yapılmalıdır. Bu sürenin işleyişine ilişkin dikkat edilmesi gerekenler şunlardır:
- Süre, ihlalin veri sorumlusu tarafından öğrenildiği anda başlar; teknik incelemenin tamamlanması beklenmez.
- Yetmiş iki saat içinde tüm bilgiler netleşmemişse, mevcut bilgilerle bildirim yapılıp eksik bilgiler sonradan tamamlanabilir.
- Süreye uyulamaması hâlinde gecikmenin gerekçeleri Kurul'a bildirilir.
- Bildirim, Kurul'un belirlediği Veri İhlali Bildirim Formu doldurularak yapılır.
Bildirim formunda; ihlalin ne zaman ve nasıl gerçekleştiği, etkilenen kişisel veri kategorileri, etkilenen kişi ve kayıt sayısı, ihlalin olası sonuçları ve alınan ya da alınması planlanan tedbirler yer alır. Formun eksiksiz ve doğru doldurulması, Kurul'un ihlali değerlendirmesi bakımından önem taşır.
Yurt dışında yerleşik veri sorumluları
Kurul, yurt dışında yerleşik veri sorumlularının da Türkiye'deki ilgili kişileri etkileyen ihlallerde bildirim yükümlülüğü altında olduğunu kabul etmektedir. Bu nedenle, hizmetlerini Türkiye'deki kullanıcılara sunan yabancı şirketlerin de veri ihlali hâlinde Kurul'a ve etkilenen kişilere bildirim yapması gerekir. Bu yaklaşım, kişisel verilerin korunmasında etkili bir koruma sağlanması amacına hizmet eder.
İlgili kişiye bildirim
Kurul'a bildirimin yanı sıra, ihlalden etkilenen ilgili kişilere de bildirim yapılması gerekir. İlgili kişiye bildirim, ihlalin öğrenilmesinden itibaren makul en kısa süre içinde ve mümkünse doğrudan yapılmalıdır.
İlgili kişiye yapılacak bildirimde bulunması gereken asgari unsurlar şunlardır:
- İhlalin ne zaman gerçekleştiğine ilişkin bilgi.
- Etkilenen kişisel veri kategorileri hakkında açıklama.
- İhlalin olası sonuçları.
- İhlalin etkilerinin azaltılması için alınan veya alınması önerilen tedbirler.
- İlgili kişilerin ihlale ilişkin daha fazla bilgi alabileceği iletişim noktaları.
İlgili kişiye doğrudan bildirim mümkün değilse, veri sorumlusunun internet sitesinde yayımlama gibi uygun yöntemlerle bildirim yapılabilir. Bildirimin açık, anlaşılır ve sade bir dille yapılması gerekir; teknik ayrıntılara boğulmuş, anlaşılması güç bildirimler amaca hizmet etmez. İlgili kişinin, örneğin parolasını değiştirmek ya da kart bilgilerini izlemek gibi koruyucu adımlar atabilmesi için bildirimin yeterli bilgiyi içermesi beklenir.
Kurul kararlarında belirlenen standartlar
Kişisel Verileri Koruma Kurulu, çeşitli kararlarında veri ihlali bildirimine ilişkin standartları belirlemiştir. Bu standartlardan öne çıkanlar şunlardır:
- Veri sorumlusunun, ihlali tespit edebilecek teknik ve idari tedbirleri önceden alması beklenir; ihlalin geç fark edilmesi başlı başına bir kusur oluşturabilir.
- Her bir ihlal ayrı ayrı değerlendirilir; ihlallerin toplu ya da gecikmeli bildirimi uygun görülmez.
- Bildirim yükümlülüğünün ihlali, idari para cezası dâhil yaptırımlara yol açabilir.
- Veri sorumlusunun bir veri ihlali müdahale planı hazırlaması ve ihlalleri kayıt altına alması beklenir.
Kurul ayrıca, ihlalin niteliğine ve etkilenen veri kategorilerine göre risk değerlendirmesi yapılmasını ve bu değerlendirmenin bildirime yansıtılmasını beklemektedir.
Teknik ve idari tedbirler
Veri ihlallerinin önlenmesi, KVKK'nın veri güvenliğine ilişkin yükümlülükleriyle doğrudan bağlantılıdır. Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bu tedbirler arasında erişim yetkilerinin sınırlandırılması, şifreleme, güncel güvenlik yazılımlarının kullanılması, log kayıtlarının tutulması, düzenli sızma testleri, yedekleme ve çalışanların farkındalık eğitimleri sayılabilir. Yeterli tedbir almayan veri sorumlusu, ihlal gerçekleştiğinde ayrıca veri güvenliği yükümlülüğünü ihlal etmiş sayılabilir.
Risk değerlendirmesi ve ihlalin sınıflandırılması
Her veri ihlali aynı düzeyde risk taşımaz. Veri sorumlusunun, ihlalin ilgili kişiler üzerinde doğurabileceği olası sonuçları değerlendirmesi ve buna göre hareket etmesi beklenir. Örneğin şifrelenmiş ve okunması mümkün olmayan verilere yönelik bir erişim ile açık biçimde tutulan kimlik ve finansal bilgilere yönelik bir erişim, farklı risk düzeyleri taşır.
Risk değerlendirmesinde göz önünde bulundurulması gereken başlıca ölçütler şunlardır:
- İhlale konu kişisel verilerin niteliği ve özel nitelikli veri içerip içermediği.
- Etkilenen ilgili kişi ve kayıt sayısı.
- İhlalin ilgili kişiler bakımından doğurabileceği maddi ve manevi zararlar.
- Verilerin üçüncü kişilerce kötüye kullanılma ihtimali.
- Alınan teknik tedbirlerin verileri ne ölçüde koruduğu.
Risk düzeyi yükseldikçe, hem bildirimin içeriği hem de ilgili kişilere sunulması gereken koruyucu öneriler daha kapsamlı olmalıdır. Yüksek riskli ihlallerde ilgili kişilerin doğrudan ve gecikmeksizin bilgilendirilmesi önem taşır.
Veri işleyenin rolü
Uygulamada birçok veri sorumlusu, işleme faaliyetlerinin bir kısmını veri işleyenler aracılığıyla yürütür. Bir veri ihlalinin veri işleyen nezdinde gerçekleşmesi hâlinde, bildirim yükümlülüğü kural olarak veri sorumlusuna aittir. Veri işleyenin, ihlali tespit ettiği anda gecikmeksizin veri sorumlusuna bildirmesi ve bu yönde sözleşmesel bir yükümlülük altında bulunması beklenir. Bu nedenle veri sorumlusu ile veri işleyen arasındaki sözleşmelerde, ihlal bildirimi ve iş birliği yükümlülüklerinin açıkça düzenlenmesi önerilir. Böylece yetmiş iki saatlik süreye uyulması ve ilgili kişilerin korunması sağlanabilir.
İlgili kişilerin hakları ve başvuru yolu
Veri ihlalinden etkilenen ilgili kişiler, KVKK kapsamında çeşitli haklara sahiptir. İlgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerin hukuka aykırı işlenmesi nedeniyle uğradığı zararın giderilmesini isteme ve verilerinin silinmesini ya da düzeltilmesini talep etme haklarına sahiptir. İlgili kişi, taleplerini öncelikle veri sorumlusuna iletir; veri sorumlusu bu talepleri kural olarak en kısa sürede ve en geç otuz gün içinde sonuçlandırmak zorundadır.
Başvurunun reddedilmesi, yetersiz yanıt verilmesi veya süresinde cevaplanmaması hâlinde ilgili kişi, Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilir. Ayrıca ihlal nedeniyle maddi veya manevi zarara uğrayan kişi, genel hükümlere göre tazminat davası açabilir. Bu yollar, ilgili kişinin ihlal karşısında pasif kalmayıp haklarını etkin biçimde araması için öngörülmüştür.
Bildirim yapılmamasının sonuçları
Veri ihlalinin Kurul'a veya ilgili kişilere zamanında bildirilmemesi, veri sorumlusu bakımından idari para cezası riskini doğurur. Ayrıca ihlalden zarar gören ilgili kişiler, uğradıkları maddi ve manevi zararın tazmini için genel hükümlere göre dava açabilir. Bildirim yükümlülüğünün ihmali, hem itibar kaybı hem de artan hukuki sorumluluk anlamına gelir. Bu nedenle veri sorumlularının, ihlal anında hızlı hareket edebilecek bir kriz yönetimi mekanizması kurmaları önerilir.
Sonuç
Veri ihlali bildirimi, kişisel verilerin korunması hukukunda hızlı ve şeffaf hareket etmeyi gerektiren kritik bir yükümlülüktür. Veri sorumlusunun ihlali öğrenmesinden itibaren en geç yetmiş iki saat içinde Kurul'a, makul en kısa sürede de ilgili kişilere bildirim yapması esastır. Önceden hazırlanmış bir müdahale planı, ihlalin hızla tespiti, doğru risk değerlendirmesi ve usulüne uygun bildirim, hem hukuki sorumluluğu sınırlar hem de ilgili kişilerin zararlarını önler.
- 6698 sayılı KVKK m. 12
- 6698 sayılı KVKK m. 18
- Kişisel Verileri Koruma Kurulu 24.01.2019 tarih ve 2019/10 sayılı ilke kararı
- Kişisel Verileri Koruma Kurulu, 24.01.2019 tarih ve 2019/10 sayılı karar
- Kişisel Verileri Koruma Kurulu, 16.05.2019 tarih ve 2019/143 sayılı karar
Sık sorulan sorular
- Veri ihlali Kurul'a ne kadar sürede bildirilmelidir?
- Veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapmalıdır.
- 72 saatlik süre ne zaman başlar?
- Süre, ihlalin gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği andan itibaren işlemeye başlar. Teknik incelemenin tamamlanması beklenmez.
- İlgili kişilere de bildirim yapmak zorunlu mudur?
- Evet. Kurul'a bildirimin yanı sıra, ihlalden etkilenen ilgili kişilere de makul en kısa sürede ve mümkünse doğrudan bildirim yapılması gerekir.
- 72 saat içinde tüm bilgiler netleşmezse ne yapılır?
- Mevcut bilgilerle bildirim yapılır ve eksik bilgiler sonradan tamamlanır. Süreye uyulamamışsa gecikmenin gerekçeleri Kurul'a açıklanır.
- Bildirim yapılmazsa ne olur?
- Zamanında bildirim yapılmaması idari para cezası riskini doğurur. Ayrıca zarar gören ilgili kişiler genel hükümlere göre tazminat davası açabilir.
- Yurt dışındaki şirketler de bildirim yapmak zorunda mı?
- Evet. Kurul, yurt dışında yerleşik veri sorumlularının da Türkiye'deki ilgili kişileri etkileyen ihlallerde bildirim yükümlülüğü altında olduğunu kabul etmektedir.
§Bu platformdaki içerik ve hesaplamalar bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez.