SAYI : ÖZDERİN 2025/03
Bilindiği üzere gerek Türkiye’de veri işleme faaliyetinde bulunanların uymakla yükümlü olduğu 6698 sy. Kişisel Verilerin Korunması Kanunu’nun 12 maddesi 5. Fıkrası gerekse Avrupa’ya veya Avrupa’da mal veya hizmet sunarak veri işleme faaliyetinde bulunanların uymakla yükümlü oldukları Avrupa Genel Veri Koruma Tüzüğü (“GDPR”/General Data Protection Regulation) Verilerin Güvenliği Başlıklı 2.bölümünün 33. maddesi gereğince, veri sorumlusu ile veri işleyenlerin işlemiş oldukları kişisel verilerle ilgili herhangi bir veri ihlali, kanuni olmayan yollarla başkaları tarafından ele geçirilmesi, siber saldırı gibi durumlarda, bu ihlal durumunu, ihlalden etkilenen ilgili kişi veri sahipleri ile ilgili maddelerde belirtilen veri koruma otoritelerine 72 saat geçmeden bildirmeleri gerekmektedir. Bu bildirimin hiç yapılmaması veya geç yapılması halinde veri güvenliği yükümlülüklerine aykırılık nedeniyle idari para cezası uygulanacaktır. Ayrıca ilgili veri koruma otoritesi böyle bir veri ihlali durumunda, kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak üzere bir soruşturma yürütecektir. Bu bültenimizde Türk veri koruma otoritesi olan Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) bu durumda yapacağı araştırma ve soruşturma için incelemek istediği ve talep edeceği bilgilerin neler olabileceğine güncel Kurul kararları ve uygulamalar neticesinde kısaca değinilecektir.
Öncelikle veri ihlali durumunda bu bildirimi takiben Kurul söz konusu ihlali Kurul sitesinden ve uygun göreceği şekillerde ilan edilmesine karar verebilecek, bir dosya oluşturarak veri ihlaline yönelik bir inceleme başlatacaktır.
Bahsi geçen inceleme kapsamında;
- veri ihlali yapılan sistemlerde, sunucularda, yerlerde hangi bilgilerin yer aldığı,
- bu bilgilerde yer alan kişi sayısı, ilgili kişi gruplarının kimler olduğu ve listelenmesi (çalışan, müşteri, tedarikçi, vb.),
- bu ilgili kişi gruplarının ihlalden etkilenen kişisel ve/veya özel nitelikte verilerinin neler olduğu,
- ihlalin etkisi, ihlali kaynağı ve nasıl gerçekleştiği,
- ihlalin tespit edildiği, başladığı ve sona erdiği tarihler,
- ihlalden etkilenen ilgili kişi veri sahiplerine bildirim yapılıp yapılmadığı,
- ihlalden önce ve sonra alınan teknik ve idari tedbirlerin neler olduğu,bunlara ilişkin ekran görüntüleri, raporlar, tutanaklar, diğer açıklayıcı bilgi ve belgeler,
- ihlalin gerçekleşmesine sebep olan teknik ve idari eksikliklerin neler olduğuna dair rapor, ekran görüntüsü ve diğer açıklayıcı bilgi ve belgeler
öncelikle araştırılacak olup, bu hususta Kurul’un https://kvkk.gov.tr/SharedFolderServer/CMSFiles/369d954a-aaee-44ca-9ca6-105e8b4102f9.pdf yayınlamış olduğu kılavuz doğrultusunda da belirtildiği üzere kullanılacak olan formda yer alan soruların bildirim anında iletilmesi talep edilecektir.
Yukarıda belirtilenlere ilave olarak Kurul ayrıca bir yazı ile şirketin genel yapısı (çalışan sayısı, mali durumu, veri numarası vb.), kişisel veri güvenliğine ilişkin uygulanan ve yayınlanarak yürürlüğe alınan politika ve prosedürleri, yetki matrislendirmeleri, risk analizine yönelik yürütülen çalışmalar, çalışanların bilgi güvenliğine ilişkin koruma eğitimi alıp almadıklarına dair eğitim dokümanları, eğitim katılım tutanakları, en son yapılan sızma testi raporu örneği ile raporların referans bilgileri, sızma raporuna yönelik iyileştirici faaliyetlerin ispatlandırılması, kişisel veri işleme envanterinin örneği, adli bilişim incelemesine yönelik detaylar, DLP, Firewall konfigrasyonu, veri silmeye yönelik faaliyetler, bilgi güvenliğine ilişkin yayınlanan tüm prosedür ve politikaları gibi şirketin uyum politikalarını yürütüp yürütmediğini de inceleyecektir. Gerek bildirim anında talep edilen formlarda yer alan sorulara verilecek cevapların bildirim anında gerekse ayrıca bir Kurul yazısı ile talep edilen hususların en geç 15 gün içerisinde cevaplandırılması gerekeceğinden, her an olası bir ihlal durumunda şirketin nasıl hareket edileceğine yönelik plan ve prosedür geliştirilmesi oldukça önem arz etmektedir. Verilerin korunmasına dair uymakla yükümlü olunan yasalar dikkate alınarak uyumluluğu ispat edecek şekilde kişisel veri güvenliğine dair yapılan tüm iş ve işlemlerin kayıt ve ispatlandırılması hususunun önemini dikkatinize sunar, bu gibi durumlara hazırlıklı olmayan şirketlerin yaptırımla karşılaşma riskinin oldukça yüksek olduğunu dikkatinize sunarız.
Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz.
Saygılarımızla,
Av. Senem Nimet ÇETİN
Danışmanlık Departmanı ve Uyum Yöneticisi