INmagazine Sayı 15 | Page 18

HUKUK Dijitalleşme ve globalleşen dünya ekseninde, işlenen veri- lerin, veri paylaşımının ve doğal olarak veri ihlallerinin de artmasıyla birlikte kişisel verilerin gizliliğinin/güvenliğinin her zamankinden daha yoğun şekilde gündem olduğu ve veri sorumlularının her geçen gün yeni düzenlemelerle/idari otori- teler tarafından verilen yaptırımlarla karşılaştığı bir gerçek. Yazı: Av. Didem Kalaycıoğlu Birol, LL.M 16 Görsel www.shutterstock.com sitesinden alınmıştır. V eri ihlali gerçekleşmemesi için alınan her türlü tek- nik ve idari tedbirlere rağmen veri ihlalleri dünyaca ünlü dev şirketlerin dahi başına geliyor. Bu çerçevede olası bir veri ihlalinde veri sorumlusunun hem yerel hem de (yabancı bir otoritenin de görev alanına giren bir durum olması halinde) yabancı otoriteler tarafın- dan verilecek para cezalarıyla karşılaşması riski, yönetil- mesi gereken önemli bir risk olarak karşımıza çıkıyor. Bu gibi durumlarda veri sorumlularının karşılaşabileceği para cezaları yanında itibarlarının da zarar göreceği ve hatta bu konudaki bir itibar kaybının veri sorumlusuna olası bir para cezasından daha büyük bir zarar verebileceği unutulmamalı. Bu noktada veri sorumlusunun kişisel veri ihlali gerçekleş- mesi halindeki sorumluluklarını bilmesi, Kişisel Verileri Ko- ruma Kurulu’na (“Kurul”) ve ilgililere mevzuata uygun şe- kilde bildirim yapması, şirket içinde ihlal bildirim ve gözden geçirme süreçlerini oluşturması son derece kritik. Bu kapsamda mevzuatımızdaki düzenlemeye baktığımızda Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesi- nin 5 inci fıkrasının, “İşlenen kişisel verilerin kanuni olma- yan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi inter- net sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklinde olduğunu görüyoruz. Burada kısa bir parantez açarak AB’de yürürlükte olan Ge- nel Veri Koruma Regülasyonunda (“GDPR”) veri ihlali kav- ramının “…iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlandığı dikkate alındığında Kanun’da daha dar bir tanıma yer verildiğini söylemek ge- rekir. Öte yandan Kurul’un 24.01.2019 tarih ve 2019/10 sayılı ka- rarı (“Karar”) ile, veri ihlal bildirimlerine dair bildirim sü- resi, yöntemi ve yapılması gerekenler gibi önemli hususlara açıklık getirilirken bazı yeni yükümlülükler de getirildi. Bu çerçevede hali hazırda Kanun ile Kurul’un ilgili Kararı çerçevesinde veri ihlali halinde veri sorumlularının hangi