KİŞİSEL VERİLERİN KORUNMASI HUKUKU
Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
28 Ocak 1981’de 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme” imzaya açılmış olup Türkiye, bu sözleşmeyi ilk imzalayan ülkeler arasında yer almıştır. 2006 yılında Avrupa Konseyi tarafından 28 Ocak günü Avrupa Veri Koruma Günü olarak ilan edilmiş ve 2016 yılından itibaren Türkiye’de de Veri Koruma Günü olarak kutlanmaktadır.
Veri Koruma Günü’nün hedefi kişisel verilerin korunması konusundaki farkındalığın arttırılmasını ve iyileştirme adımlarının atılmasını teşvik etmektir.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2023 Ocak ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayınlanmıştır.
Okko Sağlık Turizm İnşaat San. ve Tic. A.Ş.
Veri sorumlusu tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusu tarafından personel ve muhasebe işlemleri için kullanılan programın veri sorumlusunun bir şubesine kurulumu sırasında kısa süreli port açıklığı sebebiyle siber saldırıya uğradığı, saldırı sonucu program içeriğindeki verilerin silindiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu, çalışanlara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grupları kişisel verilerinin etkilendiği, hastalara ait fatura bilgilerinin içerisinde yer alan ad, soyad bilgilerinin etkilendiği, programın 2012 yılından beri kullanıldığı ve içeriğinde tahmini 10.000 kayıt bulunduğu, ilgili kişilerin 0226-811-22-44 telefon numarasından ve info@oyh.com.tr adresinden bilgi alabileceği belirtilmiştir.
Reon Sağlık Hizmetleri İnş. Tur. San ve Tic. A.Ş. (Özel Aktif Hastanesi)
Veri sorumlusu tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; veri sorumlusu tarafından personel ve muhasebe işlemleri için kullanılan programın veri sorumlusunun bir şubesine kurulumu sırasında kısa süreli port açıklığı sebebiyle siber saldırıya uğradığı, saldırı sonucu program içeriğindeki verilerin silindiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu, çalışanlara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grupları, hastalara ait fatura bilgilerinin içerisinde yer alan ad, soyad bilgilerinin etkilendiği, programın 2012 yılından beri kullanıldığı ve içeriğinde tahmini 2.000.000 kayıt bulunduğu, ilgili kişilerin 0226-811-22-44 telefon numarasından ve info@oyh.com.tr adresinden bilgi alabileceği ifade edilmiştir.
Yalova Uzmanlar Sağlık Hizmetleri San. Paz. Tic. A.Ş.
Veri sorumlusu tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; veri sorumlusu tarafından personel ve muhasebe işlemleri için kullanılan programın veri sorumlusunun bir şubesine kurulumu sırasında kısa süreli port açıklığı sebebiyle siber saldırıya uğradığı, saldırı sonucu program içeriğindeki verilerin silindiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu, çalışanlara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grupları, hastalara ait fatura bilgilerinin içerisinde yer alan ad, soyad bilgilerinin etkilendiği, programın 2012 yılından beri kullanıldığı, söz konusu programın içeriğinde tahmini 2.000.000 kayıt bulunduğu, ilgili kişilerin 0226-811-22-44 telefon numarasından ve info@oyh.com.tr adresinden bilgi alabileceği ifade edilmiştir.
Tek bir ihlalin birden fazla şirketi etkilediğine şahit olduğumuz bu ayın veri ihlal bildirimleri şirket içerisinde kullanılan hizmet sağlayıcı programlardan kaynaklanıyor. Bu gibi programların ihlalinde sorumluluğu belirleyebilmek için sıfatları konumlandırabilmek önem arz edecektir. Tarafların veri işleyen ve veri sorumlusu sıfatına sahip olmaları halinde sorumluluk ve yükümlülükleri değişiklik göstermektedir.
Veri Sorumlusu ve Veri İşleyen Arasındaki Farklar Nelerdir?
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini, “neden” ve “nasıl” sorularının cevabını belirleyen kişidir.
Nasıl Tespit Edilir?
Veri sorumlusunun tespiti için kişisel verilerin toplanması, toplama yöntemi ve amaçları, türleri, temin edilecek kişi grupları, aktarım kanalları, saklama süreleri gibi hususlara kimin karar verdiği dikkate alınmalıdır. Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, bazı hususlarda karar verme yetkisini veri işleyene bırakabilir.
Veri Sorumlusu ve Veri İşleyen Ayrımı Neden Önemli?
Veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.
Veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan öğelerini tanımlayabilir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur.
Bu müşterek sorumluluk hali dolayısıyla, ihlal veri işleyen nezdinde gerçekleşse dahi, veri ihlal bildiriminde bulunmak veri sorumlusu yükümlülüğüdür.
Ne Yapılabilir?
Veri sorumlusu veri işleyen arasındaki aktarımı konu edinen protokoller, hizmet alınan konuyla ilgili ana sözleşmeye ek olarak imzalanabilir. Bu protokolde veri işleyenin belli sınırlar çerçevesinde hareket etmesi gerektiği taahhüt altına alınabilecek olup veri sorumlusuna denetim yetkisi tanımlanabilir. Denetleme yetkisi bağlamında KVKK uyumluluk seviyesi referans kriterlere bağlı kalarak ölçülebilecek, bu anlamda iş ortağı farkındalık ve denetim formları kullanılabilecektir.
| Formda Yer Alabilecek Soru Örnekleri | |||
| Kanun kapsamında zorunlu olan “kişisel veri saklama imha politikası” ve “özel nitelikli kişisel verilerin işlenmesi yeterli önlemler politikası” oluşturdunuz mu? | Alt taşeronlarınız varsa bunlarla KVKK gizlilik sözleşmesi/ek protokol yapıldı mı? Alt taşeronlarınız da KVKK’da ve ikincil mevzuatta yer alan yükümlülüklere ve Kurul’un ilke Kararlarına, uyacaklarını taahhüt ediyorlar mı? | Bugüne kadar hiç veri ihlali oldu mu? Olduysa ilgili kişileri ve Kurul’u bilgilendirdiniz mi? İhlalin yaşanmasından ve öğrenilmesinden itibaren ne kadar süre sonra bilgilendirdiniz? | İlgili kişi başvurularının cevaplandırılmasına yönelik nasıl bir prosedür veya uygulama işletilmektedir? |
Veri sorumlusunun alınabilecek tüm tedbirleri almak adına özen gösterdiği ispat edilebildiği takdirde ihlale ilişkin sorumluluğunun daha az olacağı, Kurul tarafından yaptırım olarak idari para cezası yerine talimatlandırma ile yetinilebileceği yorumu yapılabilecektir.
