Kişisel Veri İhlali Nelerdir?
Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) ise veri ihlali, “aktarılarak, depolanarak veya başka şekillerde işlenen kişisel verilerin istem dışı veya hukuka aykırı şekilde imhasına, ifşasına veya ele geçirilmesine yol açan haller” olarak ifade edilmiştir.
Kişisel verilerin kaydedilmesi, aktarılması, silinmesi kadar önemle ele alınması gereken bir diğer husus kişisel verilere hukuka aykırı olarak erişimin engellenmesi yani korunmasıdır. Aksi halde veri ihlalinin varlığı söz konusu olacaktır.
Kişisel verilerin Korunması Kanunu 12. Maddesine göre veri ihlali ; “…işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde…” olarak tanımlanmıştır.
AB mevzuatının Genel Veri Koruma Regülasyonuna (GDPR) veri ihlali; “…iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır.
Bu tanımlara bakıldığında, KVKK ile GDPR arasında farklılık olduğu göze çarpmaktadır.
KVKK, veri ihlali bildirimi için, kişisel verilerin hukuka aykırı şekilde “başkaları tarafından elde edilmesi” eylemini gerekli görmüştür.
GDPR ise,
-verilerin imha edilmesi, kaybedilmesi (yok edilmesi ya da ulaşılamaz hale getirilmesi),
-değiştirilmesi (verinin aslına veya bütünlüğüne zarar verilmesi),
-yetkisiz şekilde açıklanması (gizliliğinin ortadan kaldırılarak ifşa edilmesi),
durumlarında ihlalin varlığı kabul edilecektir.
Burada GDPR ile KVKK arasında ciddi farklılık göze çarpmaktadır.
Bu iki tanım ve örnekler üzerinden KVKK ‘ya dair değerlendirme yapıldığında; verilerin bütünlüğüne zarar gelmesi ve verilere erişilebilmesi hallerinin kanunumuz kapsamında Kuruma bildirimi gereken veri ihlali olarak kabul edilmediği sonucuna varmak mümkündür.
Verilerin başkaları tarafından elde edilmesi; verilerin bilinir olması yani gizliliğinin ortadan kalkması sonucunu doğurmakta olduğundan, veriler şifreli ise, elde edilememiş yani gizliliğinin ortadan kalkmamış olacaktır ki bu da kanuna göre bildirilmesi gereken bir veri ihlalinin olmadığı anlamına gelecektir.
Başka bir durumda da, özel nitelikli kişisel verileri içeren bir sunucuya yapılan saldırı ile verilerin silinmesi ancak buna rağmen üçüncü bir kişilerin eline geçmemiş olması durumunda da KVKK yönünden ”bildirimi gereken bir veri ihlali” gerçekleşmemiş demektir. Kısacası Kurumun bildirim yükümlülüğü için tek kıstasının, verilerin üçüncü bir kişinin eline geçmiş olması olduğunu anlaşılmaktadır.
GDPR’a göre verilere üçüncü kişilerce ulaşılmasa dahi, silinmesi, değiştirilmesi, şifreli dahi olsa erişilmiş olması halleri bir veri ihlalinden söz etmek ve derhal bildirimde bulunmak için yeterlidir.
Her iki uygulama için de bildirimi gereken bir veri ihlali var ise, bildirimin en erken sürede gerçekleştirilmesi gerektiği tartışmasızdır.
Veri ihlal bildirimi ne kadar sürede yapılmalıdır ?
2019/10 sayılı Karar uyarınca, artık, veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması şarttır.
Kurul, Kanun’da yer alan “en kısa sürede” ifadesini GDPR ile uyumlu olarak en geç 72 saat olarak yorumlamış ve böylece konuya dair belirsizliği (ve muhtemel bir çelişkiyi) de ortadan kaldırmıştır.
Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.
Burada websitesi ya da sair mecralar üzerinden veri ihlalinden etkilenen kişilerin bilgilendirilmesi yönteminde, ilgili kişilerin isimlerinin açıklanması gibi bir yol izlenmesi gerekmediğini düşünmekteyiz.
Zira bu şekilde verileri ihlal edilmiş olma ihtimali olan ilgililerin kişisel verilerinin kamuya açık hale getirilmesi ayrıca bir veri ihlali sorunu / riski yaratabileceği (ya da riski arttırabileceği) gibi, bu şekilde bir ifşa da farklı bir süreçte kişisel verilerin işlenmesi anlamına gelecektir.
Kanun açıkça veri ihlaline konu olmuş olabilecek kişilerin isim ve soyadlarını kamuya açık şekilde ifşa edilmesine dair bir düzenleme içermiyor olduğundan, verilerin işlenme şartları açısından ayrıca sorunlu bir durum da ortaya çıkabileceği düşünülmektedir.
Kişisel Veri İhlali Nelerdir?
