Veri Sorumlularının Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir ? |
KİŞİSEL VERİLERİ KORUMA KURULUNDAN İNTERNET SAĞLAYICISINA 300 BİN TÜRK LİRASI İDARİ PARA CEZASI! VERİ SORUMLULARININ VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜKLERİ NELERDİR?
Kişisel Verileri Koruma Kurumu[1]web sitesinde 13 Mayıs 2020 tarihinde yayımlanan, Kişisel Verileri Koruma Kurulu[2]’nun 12 Mart 2020 tarih ve 2020/213 sayılı kararı[3] kapsamında veri sorumlusu sıfatını haiz internet sağlayıcısına[4], veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almamasından ötürü 300.000 TL idari para cezası verilmiştir. İşbu yazı kapsamında Kurul Kararı’nın detaylarının paylaşılmasını takiben 6698 sayılı Kişisel Verilerin Korunması Kanunu[5] kapsamında veri sorumlusunun veri güvenliğine ilişkin yükümlülüğü de irdelenecektir.
Kurul Kararı kapsamında ismi açıklanmayan bir servis sağlayıcı tarafından Kurum’a yapılan ihlal bildiriminde,
belirtilmiştir.
Söz konusu ihlalden ötürü 649 adet şirket müşterisi tarafından 69 kişiye ait kart bilgisinin görüntülendiğinin tespit edildiği ifade edilmiştir.
Kurul tarafından,
değerlendirilmiştir.
Bunun yanı sıra veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu tespit edilmiştir.
Kurul, üst başlıkta değindiğimiz tespit ve değerlendirmeleri ışığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar vermiştir
Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri 6698 sayılı Kanun’un 12. maddesinin birinci fıkrasında sıralanmıştır. Buna göre veri sorumlusu, i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Görüldüğü üzere veri sorumlusunun kişisel verilerin güvenliğine ilişkin tedbirlerin alınması noktasında yasal yükümlülüğü bulunmaktadır. Veri sorumlusunun işbu yükümlülüğü sabit olmakla beraber veri sorumlusu adına veri işleme faaliyetinde bulunan veri işleyen olması durumda 6698 sayılı Kanun’un 12. maddesinin ikinci fıkrası uyarınca veri sorumlusu ile veri işleyen müştereken sorumlu olacaktır. Kurum tarafından yayımlanan Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü[6]’nde, veri sorumlusunun şirketine ilişkin kayıtların bir muhasebe şirketi tarafından tutulması örneğinde 6698 sayılı Kanun m.12/1’de düzenlenen kişisel verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu ilebirlikte veri işleyen konumundaki muhasebe şirketinin müştereken sorumlu olacağı belirtilmiştir. Bununla birlikte, veri sorumlusu ile veri işleyen arasında akdedilecek bir sözleşme ile iç ilişkide bu sorumluluğun detayları düzenlenebilecektir. Fakat bu durumun veri sorumlusu ile veri işleyenin 6698 sayılı Kanun’dan kaynaklanan yükümlülüğünü bertaraf etmediğini iç ilişkilerinde anlam ifade edeceğini vurgulamak isteriz. Bunların yanı sıra 6698 sayılı Kanun’un 12. maddesinin üçüncü fıkrası kapsamında veri sorumlusunun kendi kurum veya kuruluşunda, 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma/yaptırma zorunluluğu bulunmaktadır.
Kurul, 31 Ocak 2018 tarihli ve 2018/10 sayılı kararında[7] ise özel nitelikli kişisel verilerin işlenmesi durumunda veri sorumlularınca alınması gereken yeterli önlemleri belirlemiştir. Belirlenen önlemelere değinmeden, özel nitelikli kişisel verilerin neler olduğunu açıklamak yerinde olacaktır. Özel nitelikli kişisel veriler, 6698 sayılı Kanun’un 6. maddesinin birinci fıkrasında “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmıştır. Aynı maddenin gerekçesinde ve Kurum tarafından yayımlanan 100 Soruda Kişisel Verilerin Korunması Kanunu[8] adlı yayında bazı kişisel verilereözel nitelikli denilmesinin sebebinin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları olduğu vurgulanmıştır. 6698 sayılı Kanun’un 6. maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesindeKurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu düzenlenmiştir. İşte bu hüküm kapsamında Kurul, özel nitelikli kişisel verilerin işlenmesinde veri sorumluları tarafından alınması gereken yeterli önlemleri belirlemiştir. Karar kapsamında özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerektiği vurgulanmış ve bunun yanı sıra genel hatlarıyla,
Belirtilen hususların yanı sıra Kurum tarafından yayımlanan Kişisel Veri Güvenliği Rehberi[9]’nde belirtilen, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiği vurgulanmıştır.
Veri sorumlusunun veri ihlalini bildirim yükümlülüğü 6698 sayılı Kanun’un 12. maddesinin beşinci fıkrasında düzenlenmiştir. Bu düzenleme uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilmektedir. Veri sorumlusunun en kısa sürede bildirim yükümlülüğündeki en kısa sürenin ne kadar olduğu hususu ve bildirimin usul ve esasları Kurul’un 24 Ocak 2019 tarih ve 2019/10 sayılı kararı[10] ile açıklığa kavuşturulmuştur. İşbu karar kapsamında veri ihlal bildirimin usul ve esaslarına dair dikkat çeken hususlar,
Bu kararın yanı sıra Kurul’un 18.09.2019 tarih ve 2019/271 sayılı kararı[11] ileVeri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar belirtilmiştir. Buna göre ihlal bildiriminde,
unsurlarına yer verilmesi gerekmektedir. Karar kapsamında ilgili kişilere yapılacak bu bildirimin açık ve sade bir dille yapılması gerektiği vurgulanmıştır.
Yazı kapsamında paylaşılan bilgiler ışığında, veri sorumlularının kişisel veri güvenliğinin sağlanması amacıyla gerekli idari/teknik tedbirleri almaması; veri ihlali bildirimini Kurul’un belirlediği usul ve esaslara uygun yapmadığı veya hiç yapmadığı durumda nasıl bir yaptırımla karşılaşabileceği akıllara gelecektir. Böyle bir durum olması halinde veri sorumlularına 6698 sayılı Kanun’un 18. maddesinin birinci fıkrasının (b) bendi uyarınca 27.037 Türk Lirası’ndan 1.802.640 Türk Lirası’na kadar[12] idari para cezası verilebilecektir. İşbu yazı kapsamında detaylı olarak incelenen Kurul Kararı’na baktığımızda Kurul’un, veri sorumlusunun bir veri güvenliği politikasının bulunduğunu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğunu tespit ettiğini ve kararında yer verdiğini görmekteyiz. Bu noktada 6698 sayılı Kanun’a, ikincil düzenlemelere, Kurul tarafından alınan kararlara uygun hareket edilmesi gerektiği sonucuna ulaşılmaktadır. Son olarak veri sorumluların kanuni yükümlülüklerini, bünyelerinde veri ihlali gerçekleşmeden yerine getirmeleri gerektiğini aksi durumda Kurul Kararı’nda Şirket’everildiği gibi idari para cezası verilebileceğini vurgulamak isteriz.
Av. Volkan ALKILIÇ & Av. Eren Can KAPMAZ
Kaynakça;
[1] İşbu yazı kapsamında kısaca “Kurum” olarak anılacaktır. [2] İşbu yazı kapsamında kısaca “Kurul” olarak anılacaktır. [3]İşbu yazı kapsamında kısaca “Kurul Kararı” olarak anılacaktır. Erişim Linki: https://kvkk.gov.tr/Icerik/6743/2020-213, Erişim Tarihi: 14 Mayıs 2020 [4]Kurul Kararı uyarınca idari para cezasına hükmedilen servis sağlayıcısı, işbu yazı kapsamında “Şirket” olarak anılacaktır. [5]07 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanmıştır. İşbu yazı kapsamında kısaca “6698 sayılı Kanun” olarak anılacaktır. [6]İşbu yazı kapsamında “Terimler Sözlüğü” olarak anılacaktır. Terimler Sözlüğü, s.31 Erişim Linki: https://www.kvkk.gov.tr/Icerik/5388/Madde-ve-Gerekcesi-ile-Kisisel-Verilerin-Korunmasi-Kanunu-Bilgi-Notu-ve-Kisisel-Verilerin-Korunmasina-Iliskin-Terimler-Sozlugu (Erişim Tarihi:14.05.2020) [7]Erişim Linki: https://www.kvkk.gov.tr/Icerik/4110/2018-10, Erişim Tarihi: 14 Mayıs 2020 [8]100 Soruda Kişisel Verilerin Korunması Kanunu, s.20. Erişim Linki: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf, Erişim Tarihi: 14 Mayıs 2020) [9]Erişim Linki: https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf, Erişim Tarihi: 14 Mayıs 2020 [10] Erişim Linki: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi, Erişim Tarihi: 15.05.2020 [11] Erişim Linki: https://www.kvkk.gov.tr/Icerik/5547/2019-271, Erişim Tarihi: 15 Mayıs 2020 [12]6698 sayılı Kanun m.18/1-b’de belirtilen rakamlara yeniden değerleme oranları uygulanmış miktarlardır.