Teknolojinin gelişmesi ve internet kullanımının yaygınlaşmasıyla birlikte günümüzde şirketlerin sistemlerinin ve barındırdıkları verilerin güvenliğinin tehlikeye girebileceği birçok ihtimal söz konusudur. Kişisel verilerin, Kişisel Verilerin Koruması Kanunu’na (“Kanun”)uygun olarak işlenmesinin sağlanmasında önemli olan noktalardan biri de kişisel verilere 3. kişiler tarafından hukuka aykırı bir yöntemle erişilmesinin engellenmesidir. Aksi halde veri ihlali söz konusu olacaktır.
Kanun’da kişisel veri ihlaline ilişkin özel bir tanım bulunmamakla birlikte, Kanun’un 12. maddesindeki; “…işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde…” ifadesi bir veri ihlali olarak düzenlenmektedir. Dolayısıyla, kişisel veri ihlalinden söz edebilmek için; kişisel verinin kanuni olmayan bir yolla elde edilmesi ve başkaları tarafından, yani 3. kişiler tarafından elde edilmesi gerekir. Yaşanan ihlalinin boyutu ne olursa olsun şirketin veri güvenliği tehdidi ile karşı karşıya kalması ciddi itibar kaybına neden olmaktadır. Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararlarında da çoğunlukla şirketlerin gerekli idari ve teknik tedbirleri almamasından kaynaklanan veri ihlalleri sebebiyle yüklü idari para cezalarına maruz kaldıklarını görüyoruz.
Veri ihlali yaşanması halinde şirketin, iki tarafa bildirim yükümlülüğü bulunmaktadır. Bunlardan biri; Kişisel Verileri Koruma Kurul’u diğeri de ihlalden etkilenen kişilerdir. Şirket bu bildirimlerde bulunmadan önce bir kişisel veri ihlali yaşandığından emin olmalıdır.
Kişisel Veri İhlali Durumunda Şirketlerin Atması Gereken Adımlar
– Tespit: Kişisel verilerin kanuni olmayan bir yolla 3. kişiler tarafından elde edilip edilmediğinin tespiti yapılmalı.
– İhlale ilişkin bilgiler toplanmalı: İhlalin nasıl gerçekleştiği, hangi kişi gruplarının ihlalden etkilendiği, hangi veri kategorilerinin ihlalden etkilendiği gibi bilgiler toplanmalıdır. Burada önemli olan bir nokta; ihlale ilişkin bilgilerin tamamı aynı anda elde edilemeyebilir. İhlalin etkileri zaman içerisinde ortaya çıkabilir fakat ihlalin tespitinin ardından gecikmeden Kurul’a ilk bildirim yapılmalı daha sonra bilgi edindikçe Kurul ara formlarla bilgilendirilmelidir.
– Veri ihlali bildirim formunun doldurulması: Kişisel veri ihlali gerçekleştiği tespit edildiyse ihlal bildirim formu doldurulmalı.
– Bildirimin yapılması: İhlalin tespit edildiği andan itibaren en geç 72 saat içinde Kurul’abildirim yapılmalı ve ihlalden etkilenen veri sahiplerinin tespit edilmesinden itibaren en kısa sürede veri sahiplerine bildirim yapılmalı.
Veri ihlali bildirimi, Kişisel Verileri Koruma Kurumu’nun internet sitesindeki “İhlal Bildirim” butonuna basıldıktan sonra çıkan “Veri İhlali Bildirim Formu’nun internet üzerinden doldurulup gönderilmesiyle yapılabilmektedir. Aynı zamanda bu formun PDF formatındaki versiyonu da doldurularak [email protected] adresine gönderilebilir.
Kurum’un adresinden yazılı bildirim yapılması da mümkündür.
Farklı sektörlerde yer alan birçok şirketin kişisel verilerin gizliliğine ve korunmasına gerekli özeni gösterememesi nedeniyle idari para cezaları ile karşılaşılmakta ve bu durum aynı zamanda itibar kaybına yol açmaktadır. Bu şirketler özelinde itibar kaybının oluşmaması, marka değerinin kaybolmaması ve müşteri kayıplarının yaşanmaması için şirketin kendi ve şirket adına veri işleyenin bünyesinde gerekli güvenlik alt yapısını kurduğundan, idari ve teknik tedbirleri uygulandığından emin olmadır ve bunu özenle takip etmesi gerekmektedir.