Kişisel Veri Güvenliği İhlalleri ve KVKK Bildirimleri

kvkk-veri-ihlali

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 2016 yılında kabul edilmesi ile birlikte, hayatımıza “kişisel veri güvenliği”, “kişisel veri güvenliği ihlali” , “veri güvenliği rehberi”, “kurul bildirimi”,veri sorumluları” ve “ihlal bildirimi” gibi yeni kavramlar  girmiştir. 

Veri sorumluları,kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini, ayrıca söz konusu verilerin korunması amacıyla uygun güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbirleri almak (12. madde 1. fıkra), işlenen kişisel verilerin kanuna aykırı yollarla başkaları tarafından elde edilmesi durumunda, bu durumu en kısa sürede ilgilisine (kişisel veri sahibi ilgili kişi) ve Kişisel Verileri Koruma Kurulu’na (Kurul) bildirmek (12. madde 5. fıkra) ile yükümlü kılınan kişilerdir.

Bir başka kavram Veri Güvenliği Rehberi’dir.  Veri sorumlularının veri güvenliği için alacağı önlemlerin, teknik ve idari boyutlarıyla açıklandığı, Kurul tarafından yayımlanmış bir kılavuzdur.

Bildirimler için ise, “en kısa sürede” ifadesi ile yapılması gereken Kurul bildirimi, Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı Kararı ile “öğrenildiği tarihten itibaren en kısa sürede ve en geç 72 saat içerisinde” ifadesi ile sınırlandırılmıştır. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde (https://www.kvkk.gov.tr/) ya da uygun göreceği başka bir yöntemle ilan edebilmektedir.

Söz konusu ihlalden etkilenen kişilerin belirlenmesi ile, ilgili kişilerin, makul en kısa süre içinde doğrudan (iletişim bilgileri varsa) ya da veri sorumlusunun kendi internet sitesi gibi uygun bir ortam üzerinden bilgilendirilmesi öngörülmüştür.

KVKK veri ihlali bildirimi nasıl yapılır?

Kurul’a yapılacak bildirimler https://ihlalbildirim.kvkk.gov.tr/ adresinde yer alan “Bildirim Oluştur” bağlantısı üzerinden gerçekleştirilmektedir. Form içinde yer alan alanların azami düzeyde ya da bilgi edinildikçe aşamalı olarak doldurulması talep edilmektedir. Formda ayrıca,

  • ihlal olayı,
  • ilgili kişi ve Kurul İhlal bildirimleri,
  • ihlalin ilgili kişiler ve kurumun kendi nezdindeki olası sonuçları,
  • mevcut ve ihlal sonrası alınan önlemler için bilgi giriş alanları ve bütün bu aşamalara delil oluşturan belgelerin yüklenmesine yönelik
  • Ekler kısımları bulunmaktadır.

Formun doldurulmasında veri sorumlularını yönlendirme amacıyla aynı adreste Kurul tarafından oluşturulmuş “Kişisel Veri İhlal Bildirimi Formu Kılavuzu” yer almaktadır. Aynı Kurul Kararı’nda ek olarak,

  • tüm delillerin olası Kurul incelemesi için kurum bünyesinde hazır bulundurulması,
  • veri işleyenler nezdinde (veri sorumlusu adına kişisel verileri işleyen tedarikçi/iş ortakları) yaşanan kişisel veri ihlallerinde en kısa sürede veri sorumlusuna bildirim yapılması,
  • yurt dışı yerleşik veri sorumlularında yaşanan veri ihlallerinde ihlal konusu kişilerin Türkiye’de yerleşik olması ve ürün ile hizmetlerden Türkiye’de faydalanılması durumlarında aynı bildirim hususlarının geçerli olduğu,
  • veri ihlali olayları ile ilgili tespit, müdahale, bildirim vb. hususların yönetilmesi için kurum bünyesindeki rol ve sorumlulukların da belirlendiği bir Veri İhlali Müdahale Planı oluşturulması ve bu planın belirli aralıklarla gözden geçirilerek güncel tutulması öngörülmektedir.

KVKK bildirim yükümlülüğü nasıl yerine getirilir?

Bildirim yükümlülüğünün etkili şekilde yerine getirilebilmesi için üç önemli husus belirlenmiştir:

  • Kurum bünyesinde işlenen kişisel verilerin güvenliğini sağlamaya yönelik yeterli düzeyde önlemlerin alınmış olması,
  • Bir veri ihlali müdahale sürecinin yapılandırılması,
  • Veri ihlaline ilişkin gerekli delillerin toplanması için doğru kaynakların belirlenmesi/kullanılması.

Yazımızın başında bahsettiğimiz bilgi güvenliği alanında farklı düzeyde bilgi ve tecrübe sahibi olan kişi, kuruluş ve organizasyonlar, süreç ve uygulamalarını kişisel veri güvenliğini de kapsayacak ve özelleştirecek şekilde genişleterek ve derinleştirerek KVKK bildirim yükümlülüklerine uyum sağlayabilirler.

Bu alanda tecrübesi olmayan veri sorumluları için ise, ilk olarak fiziksel ve elektronik ortamda işlenen kişisel verilerin güvenliğini sağlamaya yönelik süreç ve kontrol sorgulamalarının yapılması gerekmektedir:

  • Biz kişisel verileri hangi ortamlarda işliyoruz, saklıyoruz?
  • Ofislerimiz/arşivlerimiz yeterince güvenli mi?
  • Deprem, yangın vb. doğal afet ve etkenlere karşı yeterli önlemimiz var mı?
  • Kişisel verilerin bulunduğu dolap/odalara işi olmayan kişiler de erişebiliyor mu?
  • Kart okuyucu vb. elektronik geçiş sistemlerini doğru şekilde kullanıyor muyuz?
  • Sistem üzerindeki erişim yetkilendirmelerimiz doğru şekilde mi yapılandırılmış?
  • Kişisel bilgilerimizi sakladığımız elektronik alanlar iç ve dış ağlardan gelebilecek tehlikelere karşı güvende mi?
  • Kişisel veri işlenen sistemler üzerinde log tutuyor muyuz?
  • Tesisimiz 7/24 kamerayla  izleniyor mu?
  • Ziyaretçi kayıtları tutuluyor mu?
  • Sistemsel ve fiziksel güvenlik ihlallerine yönelik otomatik bildirimlerimiz var mı?

Bunlar ve benzeri sorgulamalar yapılarak, eksikler ve gelişime açık noktalar belirlenmeli, KVKK gereklerini karşılayacak süreçler ile kontroller tasarlanmalı ve uygulanması sağlanmalı, uygulamaya ilişkin kayıtlar da oluşturularak takip edilmelidir. Dikkat edilmesi gereken bir diğer husus ise bu sorgulamalar sırasında ek kişisel veri üretiminin asgari derecede gerçekleştirilmesidir.

Veri sorumlusu olarak bizim için bu noktada önemli olan, KVKK uyumu ve ilgili kişilerin verilerinin korunması yönünde gösterdiğimiz iyi niyet ve olanaklarımız göz önünde bulundurularak aldığımız önlemlerdir.

Kişisel Veri Güvenliği ve İhlal Bildirimleri, KVKK mevzuatı ve bilgi güvenliği konularıındaki tecrübe ve uzmanlığımızla şekillenen süreç ve uygulama alanlarındaki danışmanlık hizmetlerimizle ilgili bilgi almak için bize ulaşabilirsiniz.