KİŞİSEL VERİ İHLALİ BİLDİRİMİ VE İNCELEME SÜREÇLERİ HAKKINDA MEVZUATIMIZ VE UYGULAMAYA İLİŞKİN BİLGİLER

KİŞİSEL VERİ İHLALİ BİLDİRİMİ VE İNCELEME SÜREÇLERİ HAKKINDA MEVZUATIMIZ VE UYGULAMAYA İLİŞKİN BİLGİLER

Günümüzün en yaygın sorunlarından biri olan özel verilerimizin izinsiz olarak işlenmesi KVKK ile birlikte düzenlenerek ortadan kaldırılmaya çalışılmıştır. Bunun yanı sıra kanunumuzun uygulanmasında meydana gelen boşluklar pek çok soruyu da beraberinde getirmiştir. Öncelikle bilinmelidir ki 6698 Sayılı Kanunumuz gerçek kişilerin kişisel verilerinin kanuni olmayan yollarla ele geçirilmesi lafzı ,kazara veya kasten olmak üzere, her türlü girişimi kapsamaktadır. Dolayısıyla kişiler kasten yapmadıkları ihlallerden dolayı da kanunen sorumlu tutulabilmektedirler. Ancak pratikte kanunumuzda veri ihlallerine ilişkin olarak kişisel verilerin elde edilmesi kriteri geçtiğinden imha olması, kayba uğraması, değiştirilmesi olarak GDPR da düzenlenen ihlal biçimleri yer almamaktadır. Bu durum kanuni boşluğu oluşturmak ile birlikte gri alan meydana getirmektedir. Hukuki ihtilafın konusuna göre ihlal sayılma ihtimalleri var olan fiillerdir.

 

Ancak savunma hakkı kullanılırken ihlalin olmadığı çünkü üçüncü kişilerin eline herhangi bir verinin geçmediği noktası öne sürülebilir.

 

İhlal biçimleri incelendiğinde pek çok yöntem karşımıza çıkmaktadır. Bunlar sabotaj, kaza/ihmal, güvensiz depolama ile olabileceği gibi bilgi doldurma yöntemi ile de karşımıza çıkabilir.

 

Bilgi doldurma yöntemi ile kişisel verilerin ihlali (credential stuffing) :

 

Kişisel verilere ilişkin ihlaller pek çok yöntem ile gerçekleşebilir. Bunlardan biri de bilgi doldurma yöntemi ile yapılan veri ihlalleridir. İhlali gerçekleştiren kişiler, gerçek kişi hakkında ulaştıkları bilgileri pek çok başka sitede de deneyerek daha kapsamlı bilgilere ulaşabilmektedir. Bahse konu ihlal türü daha çok kullanıcı adı ve şifresini aynı olarak belirlemiş kişilerin başına gelmektedir. Bu durumda ihlalin gerçekleşmiş ve ihlal eden kişiler yeni başka bir mecrada gerçek kişinin bilgilerine ulaşmış ise burada yeni organizasyonun veri sorumlusunun da yükümlülüğü doğar.

 

Vatan Bilgisayar ve Gratis üzerinden konuya ilişkin gerçekleşen ihlal durumu Kişisel Verileri Koruma Kurumu üzerinden de duyurulmuştur.

 

(Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/789 sayılı Kararı)

(Kişisel Verileri Koruma Kurulunun 09.03.2020 tarih ve 2020/211 sayılı Kararı)

 

Organizasyon içerisindeki yetkisiz kişinin aynı organizasyon içindeki başka bir kişinin verisine ulaşması durumunda ihlalin gerçekleşmiş sayılıp sayılmadığı noktasında netlik bulunmamaktadır. ICO (İnformation Comisser Office) bu durumun ihlal sayılabileceğini söylemektedir. Konuya ilişkin kararlar verildiğinde netlik kazanacaktır.

 

 

 

 

 

 

Veri ihlali gerçekleştiğinde süreç nasıl yürütülüyor ?

 

ilgili kişi (kişisel verisi kanuni olmayan yollarla ele geçirilen) ihlalin gerçekleştiğini veri sorumlusuna, bilgilerinin ulaşıldığı mecranın veri kayıtlarını tutan veya tutulma sürecini yönetene, yazılı olarak veya kurumca belirlenen yollar vasıtası ile başvurmalıdır.

 

Başvuru üzerine veri sorumlusu talebi en çok 30 gün içinde ücretsiz olarak sonuçlandırır. Bu işlemin ayrıca maliyet getirdiği haller saklıdır. Başvurunun kabulü halinde veri sorumlusu gereken yükümlülüklerini yerine getirir.  Başvuru değerlendirilirken ücret alınmış ve veri sorumlusunun hatası kaynaklı başvuru yapıldığı ortaya çıkmış ise alınan ücret iade edilir.

 

 

Veri sorumlusuna yapılan başvuru reddedilir ise ne yapabiliriz ?

 

KVKK m.13 gereğince başvuru sonucu reddedilen, başvuruya verilen cevabı yeterli bulmayan veya süresinde başvurusuna cevap verilmeyen gerçek kişiler veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve herhalde başvuru tarihinden itibaren 60 gün içinde şikayette bulunabilir.

 

Kurula şikayet hakkının kullanılabilmesi için veri sorumlusuna öncesinde başvurulmuş olması gerekmektedir.

 

Kurul hareket etmek için şikayete bağlı değildir. İhlali öğrenmesi halinde kendiliğinden (re’sen) harekete geçebilir. Kurul yapmak istediği inceleme için veri sorumlusundan belge talep eder. Veri sorumlusu talep edilen belgeleri 15 gün içerisinde kuruma teslim etmek zorundadır. Her ne kadar mevzuatta açık bir düzenleme mevcut değilse de 15 günün yeterli olmaması halinde ve geçerli nedenler mevcut ise ek süre talep edilebilir.

 

Kurul incelemesinde genel olarak yetersiz gördüğü teknik ve idari tedbirlerle ilgili soru ve belge talep eder. Bunlara örnek sızma testinin yapılıp yapılmadığı veya yurt dışına aktarımın olup olmadığı gibi sorular olabilir.

 

Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmez ise talep reddedilmiş sayılır.

 

Veri ihlali meydana geldiğinde veri sorumlusunun yükümlülükleri nelerdir?

 

Veri sorumlusu ihlali öğrendiği anda gecikmeksizin ilgilisine ve en geç 72 saat içinde kurula bildirim yapmak zorundadır.

 

İlgili kişiye bildirim iletişim adresine yapılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılabilir. (KVKK m.12/5)

 

Bahse konu 72 saat tatil günlerinde de işlemeye devam eder. 72 saatin başlangıç anı ihlalin veri sorumlusunca tespitinden itibaren başlar. Tespit veri sorumlusunca ihlal edilen verinin kişisel veri olup olmadığı ve ihlalin gerçekleşip gerçekleşmediğinin sorgulanması üzerine belirlenir. Veri sorumlusu bunun için organizasyon içi bilgileri toplar. Veri ihlal formunu doldurması akabinde kurula bildirimini yapar. Bu bildirimde veri sorumlusunun aldığı güvenlik önlemlerini göstermesi gerekmektedir. Veri sorumlusunun bildirimi akabinde kurum tarafından yapılacak inceleme için istenecek evrakların içerisinde yazılı savunmasının da  ek olarak yer alması önem arz etmektedir.

 

Veri sorumlusu 72 saat içerisinde ihlali tam olarak belirleyemediyse dahi  kademeli bildirimde bulunabilir. Bu olası hak kayıplarının önüne geçmesinde etkili bir yöntemdir.

 

Veri sorumlusu sadece bir kişiyi etkileyen önemli içeriği olmayan bir ihlalde dahi bildirim yapmak zorunda mıdır?

 

KVKK gereğince veri

 sorumlusunun bilginin önemi konusunda GDPR’ın aksine takdir yetkisi bulunmamaktadır.  Veri sorumlusu her halde bildirim yapmak zorundadır. Ancak uygulamaya bakıldığında GDPR a uyumluluk gözlenmekte ve yalnızca bir kişinin önemsiz bir bilgisi yani gerçek kişilerin hak ve özgürlükleri için risk teşkil etmeyen bilgileri ihlal olunmuş ise bu bildirilmiyor.

 

Eğer kişiler veri sorumlusuna başvurmadan doğrudan kuruma başvurur ise veri sorumlusunun öncelikli olarak kendisine başvurulması gerektiğine ilişkin itirazı olabilir mi?

 

Kanunune kişilerin öncelikli olarak veri sorumlusuna başvurmaları gerektiği ön görülmüştür. Ancak kurumun kendisinin de re’sen inceleme yetkisi olduğu için veri sorumluların olası ihtilaflarda yararlanamabilmesi için kurumun şikayet sonrası yapacağı inceleme için istediği belgelerin yanında veri sorumlusunca sunulacak savunmanın içerisinde kişinin veri sorumlusuna başvurmadan doğrudan  şikayet yoluna başvurduğu belirtilebilir.

 

 

 

 

                                                                                                                                              Av.Aysu YURDAKUL

Benzer Yazılar

MİRAS HUKUKU VE ÖLÜME BAĞLI TASARRUFLAR
21.11.2022

MİRAS HUKUKU VE ÖLÜME BAĞLI TASARRUFLAR
MURİS MUVAZAASI VE MİNNET SATIŞI ( MİNNET DUYGUSUYLA YAPILAN TEMLİK)
21.11.2022

MURİS MUVAZAASI VE MİNNET SATIŞI ( MİNNET DUYGUSUYLA YAPILAN TEMLİK)
BOŞANMA DAVASI VE BOŞANMA DAVASININ KONUSUNUN KATKI PAYINA ETKİSİ
21.11.2022

BOŞANMA DAVASI VE BOŞANMA DAVASININ KONUSUNUN KATKI PAYINA ETKİSİ
KİRA TESPİT DAVASI
21.11.2022

KİRA TESPİT DAVASI
KİRALANANIN TAHLİYE SEBEPLERİ VE TAHLİYE DAVASI
21.11.2022

KİRALANANIN TAHLİYE SEBEPLERİ VE TAHLİYE DAVASI