img-01

Haber & Etkinlikler

Bilgi Arama

Kişisel Verilerin Başkaları Tarafından Ele Geçirilmesi Halindeki Bildirim Yükümlülükleri

2023-04-28

SAYI   : ÖZDERİN 2023/11

 

Bu bülten yazımız, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde, veri sorumlusu ve veri işleyen sıfatı ile veri işleme faaliyetine taraf olan kişilerin yükümlülüklerinin takibi ve denetimi amacıyla kurulmuş olan Kişisel Verileri Koruma Kurulu’nun 24.04.2023 tarihinde yayınlamış olduğu[1] muhtelif kararlarındaki önem arz eden detayları paylaşmak amacıyla hazırlanmıştır.

Söz konusu kararlarda[2] dikkat çeken hususlardan birisi de Kanun’un 12. maddesinin 5. fıkrasında[3] yer alan bildirim yükümlülüğüne ilişkindir. Bilindiği üzere, Kanun kapsamında veri işleme faaliyetinde bulunan veri sorumlularına; işlemekte oldukları kişisel verilerin hukuka aykırı şekilde başkaları tarafından ele geçirilmesi halinde, söz konusu durumu gerek Kurul’a gerekse verisi ele geçirilen ilgili veri sahibi kişiye bildirme mecburiyeti getirilmiştir. Getirilen bildirim yükümlülüğü ile ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesinin veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamanın amaçlandığı açıklanmıştır. Madde hükmünde, hukuka aykırı şekilde kişisel verilerin başkaları tarafından ele geçirilmesinde, ihlalin boyutunun büyüklüğü veya otomatik sistemlerde bir sızıntı veya otomatik sistemlere “saldırı” şeklinde gerçekleşmesine dair bir ayrım bulunmamaktadır. Bu bağlamda ihlalden tek bir kişinin etkilenmiş olması veya çok sayıda kişinin etkilenmesine dair de bir farklılık getirilmemiştir. Öte yandan uygulamada veri sorumluları tarafından bu husustaki bildirim yükümlülüklerine siber saldırı olması ve çok sayıda kişinin etkilenmesi hallerinde dikkat edildiği, diğer hallerde bildirim yükümlülüğünün yerine getirilmediği gözlemlenmektedir.

Bültene konu Kurul kararı incelendiğinde bahsi geçen bildirim yükümlülüğünün geniş yorumlanması gerektiği açıkça anlaşılmaktadır. Öyle ki karara konu somut olayda, kargo taşımasına konu kişisel veri içeren eşyanın, alıcısı yerine yanlış bir kişiye teslim edilmiş olması halinde, eşyayı gönderen veri sorumlusu tarafın bildirim yükümlülüğünün doğacağı kanaat ve sonucuna varılmıştır.

Başvuruya konu olayda, ilgili kişinin şikayetinde özetle;

  • İlgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin AVM’deki şubesine teslim ettiği, mağaza yetkililerinin de kulaklığı distribütör firmaya iletilmek üzere kargo şirketine teslim ettiği ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir şahsa teslim edildiği, ilgili kişinin kargonun teslim edildiği üçüncü şahsın kendisine ulaşması üzerine konudan haberdar olduğu,
  • Elektronik perakende zinciri yetkililerinin konu kapsamında herhangi bir suçlarının olmadığını ve hatanın tamamen kargo şirketinde olduğunu ileri sürdükleri, ancak taşınan kargonun içine ilgili kişiye ait isim, soy isim, cep telefonu numarası, e-posta adresi, ikamet ettiği il ve ilçe ile ödeme yaptığı kredi kartının ilk altı hanesi gibi bilgileri haiz belgelerin koyulduğu,
  • Karşı tarafın art niyetli olması durumunda rahatça kötüye kullanılabilecek mezkûr bilgilerin konuyla ilgisiz üçüncü bir şahsın eline geçtiği, bu durumda ilgili kişinin maddi-manevi bir zarar görmemesinin tamamen o şahsın insaniyetine ve vicdanına kaldığı, elektronik perakende zinciri yetkililerinin bu durumun tamamen prosedür gereğince yapıldığını beyan ettikleri ve hatanın mesuliyetini kabul etmedikleri

belirtilmiş ve konu hakkında Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir. İlgili kişinin şikayetine istinaden başlatılan inceleme çerçevesinde eşyanın göndericisi konumundaki veri sorumlusu sıfatını haiz olduğu anlaşılan elektronik perakende zincirinden ve kargo taşıma firmasından savunması istenilmiştir.

Onarım yapılmak üzere teslim edilen eşya ile birlikte içerisinde bulunan belgelerdeki kişisel verilerin, söz konusu onarım faaliyetini gerçekleştirmek için gerekli olan bilgiler olduğu, bu bağlamda Kanun’un 4. maddesinde belirtilen genel ilkelere açık bir aykırılık tespit edilmediği belirtilmiştir. Öte yandan Kurul, içerisinde kişisel veriler bulunan eşyanın alıcısı yerine başka bir 3. kişiye teslim edilmesi nedeniyle bildirim yükümlülüklerine aykırılıklar bulunduğundan bahisle somut olaydaki gönderici konumundaki elektronik perakende zinciri olan veri sorumlusunun bundan sonraki benzer ihlallerde bildirim yükümlülüklerine dikkat edilmesi için talimatlandırılmasına karar vermiştir.

“Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden haberdar olan veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan bildirim yükümlülüğü” :

  • Somut olayda ilgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinde herhangi bir hukuka aykırılığın bulunmadığı sonucuna ulaşılmış olsa da; kargo paketinin kargo şirketi tarafından hatalı bir şekilde teslim edilmiş olmasından dolayı ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesini müteakip veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca konu hakkında ilgili kişiye ve Kurula bildirimde bulunma yükümlülüğünün doğduğu,
  • Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen veri ihlal bildirimleri kapsamında Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu, bununla birlikte mezkûr hükmün bir şekilde meydana gelmiş olsalar da ortaya çıkan her türlü veri ihlali vesilesiyle veri sorumlularını mutlak surette cezalandırmak olamayacağı”, “somut olayda ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesinin üzerinden ortalama 72 saat geçmemişken –ilgili kişi tarafından yapılan başvuruya cevaben de olsa- ilgili kişiye bilgi verildiği”, “yaşanan hatalı kargo teslimatından ilgili kişi dışında herhangi bir kişinin etkilenme ihtimalinin bulunmadığı”, “olay sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmaksızın düşünülemeyecek ilave bir önlemin bulunup bulunmadığı konusunun tartışmalı olduğu” ve “konu hakkında veri sorumlusunca Kurula bildirim yapılmamış olmasının ilgili kişinin kişisel verilerinin korunması bağlamında somut nitelikte bir tehlikeye yol açmayabileceği” hususları göz önünde bulundurulduğunda; gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca ilgilisine ve Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasının uygun olacağı, … değerlendirilmiştir.

 

Özetle, Kanun’un yukarıda açıklanan 12. maddesinin 5. fıkrasındaki bildirim yükümlülüklerinin her somut olayda; ihlalin boyutu, kasten saldırı şeklinde gerçekleşip gerçekleşmediği, kaç kişinin etkilendiği fark etmeksizin dikkate alınması gerektiği, hukuka aykırı şekilde kişisel veri içeren bilgi veya belgelerin 3. bir kişinin eline geçmesi halinde veri sorumlusu konumundaki gönderici şirketlerin bildirim yükümlülüklerinin doğacağı unutulmamalıdır. Son olarak belirtmek isteriz ki somut olaydaki bildirim yükümlülüğü doğan taraf, kararın detaylı gerekçesinde de açıklandığı üzere taşıyıcı kargo şirketi değil veri sorumlusu gönderici taraf olacaktır.

Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz.

 

Saygılarımızla,

 

Av. Senem Nimet ÇETİN                Av. İrem Can TANIŞ

Danışmanlık Departmanı Yöneticisi       Dava Departmanı


[3] İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

marsbahis adresi marsbet flughafentransfer şişli escort sweet bonanza bahsegel bahsegel sweeet bonanza oyna şişli escort bayan sweet bonanza