HUKUK
Dijitalleşme ve globalleşen dünya ekseninde, işlenen veri-
lerin, veri paylaşımının ve doğal olarak veri ihlallerinin de
artmasıyla birlikte kişisel verilerin gizliliğinin/güvenliğinin
her zamankinden daha yoğun şekilde gündem olduğu ve veri
sorumlularının her geçen gün yeni düzenlemelerle/idari otori-
teler tarafından verilen yaptırımlarla karşılaştığı bir gerçek.
Yazı: Av. Didem Kalaycıoğlu Birol, LL.M
16
Görsel www.shutterstock.com sitesinden alınmıştır.
V
eri ihlali gerçekleşmemesi için alınan her türlü tek-
nik ve idari tedbirlere rağmen veri ihlalleri dünyaca
ünlü dev şirketlerin dahi başına geliyor.
Bu çerçevede olası bir veri ihlalinde veri sorumlusunun
hem yerel hem de (yabancı bir otoritenin de görev alanına
giren bir durum olması halinde) yabancı otoriteler tarafın-
dan verilecek para cezalarıyla karşılaşması riski, yönetil-
mesi gereken önemli bir risk olarak karşımıza çıkıyor. Bu
gibi durumlarda veri sorumlularının karşılaşabileceği para
cezaları yanında itibarlarının da zarar göreceği ve hatta bu
konudaki bir itibar kaybının veri sorumlusuna olası bir para
cezasından daha büyük bir zarar verebileceği unutulmamalı.
Bu noktada veri sorumlusunun kişisel veri ihlali gerçekleş-
mesi halindeki sorumluluklarını bilmesi, Kişisel Verileri Ko-
ruma Kurulu’na (“Kurul”) ve ilgililere mevzuata uygun şe-
kilde bildirim yapması, şirket içinde ihlal bildirim ve gözden
geçirme süreçlerini oluşturması son derece kritik.
Bu kapsamda mevzuatımızdaki düzenlemeye baktığımızda
Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri
güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesi-
nin 5 inci fıkrasının, “İşlenen kişisel verilerin kanuni olma-
yan yollarla başkaları tarafından elde edilmesi hâlinde, veri
sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula
bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi inter-
net sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” şeklinde olduğunu görüyoruz.
Burada kısa bir parantez açarak AB’de yürürlükte olan Ge-
nel Veri Koruma Regülasyonunda (“GDPR”) veri ihlali kav-
ramının “…iletilen, saklanan veya işlenen kişisel verilerin
kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi,
yetkisiz şekilde açıklanması veya bunlara erişime yol açan
bir güvenlik ihlali” olarak tanımlandığı dikkate alındığında
Kanun’da daha dar bir tanıma yer verildiğini söylemek ge-
rekir.
Öte yandan Kurul’un 24.01.2019 tarih ve 2019/10 sayılı ka-
rarı (“Karar”) ile, veri ihlal bildirimlerine dair bildirim sü-
resi, yöntemi ve yapılması gerekenler gibi önemli hususlara
açıklık getirilirken bazı yeni yükümlülükler de getirildi.
Bu çerçevede hali hazırda Kanun ile Kurul’un ilgili Kararı
çerçevesinde veri ihlali halinde veri sorumlularının hangi