Hukuk Güncesi
18 Şubat 2021 Tarihinde yazıldı
Kişisel Veri İhlallerinde Felaket Senaryosu ve Yönetimi
KVKK İhlali
2016 yılında KVKK yürürlüğe girmiş ve akabinde, başta kişisel veri ihlallerini takip edip karara bağlamak olmak üzere kanunla verilen görevleri yerine getirmek amacıyla Kişisel Verileri Koruma Kurumu kurulmuştu. Böylece 2000 yılından beri sürmekte olan AB kişisel veri müktesebatıyla uyum çalışması neticeye ulaşmıştı.
İkincil düzenlemelerin de tamamlanmasıyla kişisel verilerin korunması meselesi şirket yönetimlerinin en önemli konuları arasına girivermişti. Buna rağmen kişisel verilerin korunması bilincinin tam olarak yerleştiğini söylemek hayli zor. Kurum bu bilincin yayılması için etkin bir çaba gösteriyor.
Değinmek istediğim; bir şirkette ciddi bir KVKK ihlali olduğunda bunun nasıl yönetileceği konusudur.
Unutmamak gerekiyor, bir şirket/veri sorumlusu kişisel veri içeren süreçleri ne kadar iyi yönetirse yönetsin, hangi otomatik yazılımları kullanırsa kullansın, hangi güvenlik tedbirlerini alırsa alsın; nihayetinde bir insanın ihmaliyle, yapacağı yanlış bir işlemle KVKK her zaman ihlal edilebilir. Basit bir örnek vermek gerekirse, şirketin bir çalışanı, iş başvurusu yapan bir adaya bilgi verirken, diğer başvuranları da e-postanın bilgi (cc) kısmına eklerse ve bu şekilde tüm başvuranların e-posta bilgileri birbirlerine iletilmiş olursa bariz bir kişisel veri ihlali gerçekleşmiş olacaktır. Verdiğimiz örnek bir şirketin her an karşılayabileceği basit bir KVKK ihlalidir. Örneği biraz abartırsak; bu epostalara bir de yanlışlıkla başvuranların CV’lerin eklendiğini varsayarsak, ortaya çıkacak kişisel veri ihlal tablosunu düşünmek bile insanı yoracaktır…
Daha karmaşık veri ihlalleri de olabilir. Bazı verilere erişim izni olan bir şirket çalışanının dalgınlıkla harekete geçireceği bir yazılım fonksiyonu istem dışı işlemler yapabilir. Örneğin, bir araç bakım servisi çalışanı bir sigortalama işlemi esnasında, kendinden istenen bilgiyi ilettiğini sanırken, tüm müşteri listesini, TC numaralarını, e-posta adreslerini sigorta şirketine, müşterilerine, hatta ilgisiz üçüncü kişilere gönderebilir. Bu halde çok ciddi bir KVKK ihlal durumu oluşur.
İhlalin olmasının ardından ihlalin fark edilmesi de bir süreçtir. İşlevsel veri koruma politikası olan ve süreçleri iyi kontrol eden ciddi bir firma böyle bir ihlali çok kısa sürede tespit edebilecektir. Ya sonrası?
72 Saatte Bildirim
İhlal, ihlalin öğrenildiği tarihten itibaren 72 saat içerisinde, Kurum’a bildirilmelidir. Bildirim için Kurum’un standart ihlal bildirim formu kullanılmalıdır. Bildirim formunun doldurulması için mutlaka, şirket teknik elemanları, hukuk direktörü ve yöneticilerinin birlikte çalışmaları gerekecektir. Çünkü Kurum, bu tür başvurularda öncelikle KVK hukuku kapsamında, ihlal eden şirketin, emredilen teknik ve idari önlemleri alıp almadığından, ihlalin oluş biçiminden, neticelerinden, çalışanların aldığı KVK eğitimine kadar şirketin tüm KVK detaylarının adeta bir fotoğrafını istemektedir.
Yine unutmamak gerekiyor. Bir KVKK ihlalinde mevcut bir durumu gizlemeye çalışmak doğru bir yöntem olmayacaktır. Tam tersine ihlali tüm gerçekliğiyle belirtmek ve ihlalin kaldırılması için yapılan işlemlerin, neticelerinin çok net ve doğru olarak anlatılması gerekmektedir. Eğer ihlal, ihlalin ortadan kaldırılması gibi konularda kasıtlı veya hatalı olarak yanlış bilgi verilirse Kurum’un ihlal eden firmaya bakışı ve ceza marjı değişebilecektir.
Bir firma, ihlali hemen tespit etmiş, ihlali ortadan kaldırmış, ihlalden etkilenenlere anında bilgi vermiş, fiilden zarar görme eylemini ortadan kaldırmış veya en aza indirgemişse ve verdiği bilgilere göre KVK yükümlülükleriyle ilgili geçmiş ve ihlal sonrası fotoğrafları “temizse”; Kurum’un da buna yapıcı bir tavırla karşılık vereceği, firmanın çabalarını göz önünde bulunduracağı ve bu kapsamda firmaya ihlal nedeniyle, ihlalin ağırlığı da göz önünde bulundurularak, bir yaptırım uygulayacaksa bile bunu minimum düzeyde tutacağı kanaatindeyiz.
KVKK İhlali Felaket Senaryosu
Örneğin ihlal cumartesi sabah 01:00 de olursa, ilgili personellerin ve varsa şirket danışmanlarının acilen bir araya gelmesi, ihlalin hemen ortadan kaldırılması, 72 saatlik bildirim süresi içerisinde başvuru formunun ve eklerinin hazırlaması, önceden bu duruma hazırlanılmamışsa biraz zor olacaktır. Tüm bu tespitler ışığında her firmanın KVKK ihlal ekipleri oluşturmasının, bu ekiplerin önceden felaket senaryoları hazırlamasının, senaryoları ihlal anını şirket mesai saatleri dışındaki zamanlara rast gelecek şekilde de çalıştırmasının yararlı olacağı anlaşılmaktadır.
Av.Haluk İnanıcı