KİŞİSEL VERİLERİN KORUNMASI HUKUKU
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2023 Temmuz ayında Kurul tarafından VERBİS kayıt yükümlülüğüne ilişkin bir adet kamuoyu duyurusu ve dokuz adet veri ihlal bildirimi yayımlanmış olup veri ihlal bildiriminde bulunan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2023 Temmuz ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede dokuz adet veri ihlal bildirimi yayınlanmıştır.
Veri sorumlusu sıfatını haiz Oden İnşaat Turizm ve Tic. AŞ (Çeşme Ilıca Hotel SPA&Wellness Resort) tarafından Kurula iletilen veri ihlal bildiriminde özetle;
İhlalin veri sorumlusuna e-posta yoluyla oltalama saldırısı gerçekleştirilmesi neticesinde gerçekleştiği, saldırganlar tarafından booking.com booking extranet ekranına erişim sağlandığı, ilgili ekranda veri sorumlusunun müşterilerine ait ad, soyadı, rezervasyon tarihi, telefon numarası, e-posta adresi bilgilerinin yer aldığı, saldırganlar tarafından ilgili ekrandan veri sorumlusunun müşterilerine e-posta gönderildiği ve kredi kartı bilgilerinin elde edilmeye çalışıldığı, ihlalden etkilenen ilgili kişi sayısının ise 155 olduğu ifade edilmiştir.
GRC LEGAL Yorumu:
Veri ihlal bildirimi incelendiğinde, özellikle bulunmakta olduğumuz yaz dönemi içerisinde turistik niteliği haiz kurumların saldırganların girdiği rahatlıkla söylenebilecektir.
Söz konusu ihlalin gerçekleşme şeklinden hareketle çalışanların radarına gelen e-postalardaki bağlantılara tıklamadan önce gerekli kontrolleri sağlamaları konusunda uyarılmaları, veri güvenliğine ilişkin farkındalık ve bilinçlerinin arttırılması son derece önem arz etmektedir. İlaveten, ihlalin booking.com üzerinden gerçekleştirildiği göz önüne alındığında; rezervasyon vb. işlemler için birlikte çalışılan iş ortaklarının da KVKK uyumluluğu süreçlerini takip etmenin ve veri güvenliğini sağlamaları noktasında gerekli kontrollerin gerektiğini görmekteyiz.
-KVKK Madde 12/2-
Kurul tarafından yayımlanan diğer sekiz veri ihlal bildirimine geçmeden önce, KVKK madde 12/2’ye değinmekte fayda olduğu kanaatindeyiz. İlgili madde uyarınca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Aşağıda detaylarına değindiğimiz veri ihlal bildirimlerinin tamamının ortak noktası; bu şirketlerin bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı veri işleyen Mivento Bilişim Hizmetleri ve Ticaret A.Ş. ile çalışması ve bu şirketin sunucularına gerçekleştirilen siber saldırı neticesinde birtakım kişisel verilerin ihlalden etkilenmesidir.
İlan edilen ihlal bildirimleri bu düzenlemenin somut yansıması olmakla birlikte veri işleyen kaynaklı ihlallerde veri sorumlusunun kimliği veya kusuru önem arz etmeksizin veri sorumlularının da ihlalle ilgili bildirimde bulunmak durumunda olduğu görülmekte ve veri sorumlularının Kurul’un internet sitesinde isimlerinin açıkça yayınlanmasının getirebileceği itibar kaybı ihtimalini de bir kez daha gözler önüne sermektedir.
Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi bünyesindeki veri sunucularına siber saldırı gerçekleştirilmesi ile birlikte ihlalden etkilenen veri sorumlularının veri ihlal bildirimleri incelendiğinde:
Vestel Ticaret Anonim Şirketi çalışanlarına ait “TCKN, ad, soyadı, e-posta ve telefon numarası” verilerinin etkilendiği,
Anadolu Isuzu Otomotiv Sanayi Ticaret Anonim Şirketi çalışanlarına ait “TCKN, ad, soyadı ve telefon bilgileri” verilerinin etkilendiği,
Çelik Motor Ticaret Anonim Şirketi çalışanlarına ait “TCKN, ad, soyadı ve e posta” verilerinin etkilendiği,
Geberit Tesisat Sistemleri Ticaret Limited Şirketi çalışanlarına ait “ad, soyadı, e-posta, telefon, cinsiyet, doğum tarihi” verilerinin etkilendiği,
Mais Motorlu Araçlar İmal ve Satış Anonim Şirketi çalışanlarına ait “TCKN, ad, soyadı, e posta ve telefon” verilerinin etkilendiği,
Schneider Elektrik Sanayi ve Ticaret Anonim Şirketi çalışanlarına ait “TCKN, ad, soyadı, e posta ve telefon” verilerinin etkilendiği,
Toyota Türkiye Pazarlama ve Satış Anonim Şirketi çalışanlarına ait “ad, soyadı ve telefon” verilerinin etkilendiği,
Vodafone Dağıtım Servis ve İçerik Hizmetleri Anonim Şirketi çalışanlarına ait “şifrelenmiş TCKN, ad, soyadı ve işe başlama tarihi” verilerinin etkilendiği ifade edilmiştir.
Bu kapsamda, veri işleyen sıfatıyla iş birliği içinde olunan yapılarla akdedilecek sözleşmelere ek Veri İşleyen Protokolü imzalanması, imzalandı ise güncellik kontrolünün sağlanması, her yeni veri işleyen tedarikçide İş Ortağı Farkındalık Formu gibi araçlarla veri güvenliği olgunluk değerlendirmesinin yapılması veri işleyen kaynaklı ihlallerde riski minimize edecek ve gerektiği hallerde rücu ilişkisini dahi gündeme getirecek tedbirler alınmasını sağlayacaktır.
Veri sorumluları tarafından yapılan ihlal bildirimleri incelendiğinde, sızdırılan verilerin şirketlerin kendi bünyesinde çalışan personellere ait olduğu görülmektedir. 4857 sayılı İş Kanunu m. 75/2’de açıkça düzenlendiği üzere, “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlü” olup edindiği bu bilgilerin muhafaza edilmesinde de gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda, veri sorumluları bünyesindeki çalışan verilerinin aktarım kanalları ve bu kanalların denetim ve değerlendirmelerinin yapılması gerekmekte olup ilgili form ve protokol süreçlerinin yürütülmesi önem arz etmektedir.
KAMUOYU DUYURUSU
25.07.2023 tarihli Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu Kararı (“Karar”) ile Veri Sorumluları Siciline (“VERBİS”) kayıt yükümlülüğüne ilişkin istisna kriterinde, ülkemizdeki ekonomik koşulların yeniden değerlendirilmesi neticesinde değişiklik yapılmıştır. Bu çerçevede, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar ifadesi, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar şeklinde değiştirilmiş olup söz konusu veri sorumluları VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
Karar’ın yayımlanması ile birlikte gerçek veya tüzel kişi veri sorumluları, yıllık mali bilanço hesaplamaları için tamamlanmış bir yıl olması gerektiği için 2023 yılının tamamlanmasını bekleyecek ve 2024 yılı Nisan ayı ile belirlenecek Kurumlar Vergisi Beyannamesinde aktif büyüklüğün 100 milyon Türk lirasından az olması ve diğer kriterlere de takılmaması durumunda VERBİS kayıt yükümlüsü olmayacaklardır.
25.07.2023 tarihinde yürürlüğe giren Karar’ın yarattığı yeni duruma göre yıllık mali bilanço toplamı 25 milyon Türk lirasından fazla olan ve yalnızca aktif büyüklük kriteri sebebiyle VERBİS kayıt yükümlüsü olan şirketler VERBİS kayıtlarını tutmaya devam edebilecek veya kayıtlarını pasife aldırabileceklerdir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri