Veri Güvenliğinin İhlal Edilmesi
7 Nisan 2016 tarihinde yayımlanan Kişisel Verilerin Korunması Kanunu (KVKK) ile işletmelerin veri güvenliğine yönelik tedbirler alması öngörülmekte olup, veri güvenliğini sağlamaya yönelik yapılması gerekenlerden bir önceki yazımızda bahsetmiştik. Bu yazımızda ise veri güvenliğinin sağlanamaması durumunda oluşan veri ihlalinden bahsedeceğiz.
Veri İhlali nedir?
Veri ihlali, kişisel verilerin kanuna aykırı bir şekilde elde edilmesi, hukuka aykırı bir şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.
Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak değerlendirilir.
- Kişisel veri içeren fiziki belgelerin veya elektronik cihazların çalınması veya kaybolması
- Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi ve nihayetinde sisteme erişilmesi
- Kişisel veri içeren gizli bilgilerin hukuka aykırı şekilde ifşası
- Kişisel veri ve/veya gizli bilgi içeren e-postaların yanlışlıkla şirket dışında ilgisiz kişilere iletilmesi, gönderimi
- Bilgisayar ekipmanlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (örneğin siber saldırı) gerçekleşmesi suretiyle kişisel verilere hukuka aykırı olarak erişim sağlanması
Veri İhlali öncesinde ne yapılmalıdır?
Veri ihlali öncesinde işletme, kişisel veri içeren ortamlarda veri güvenliğini sağlamaya yönelik riskleri analiz etmeli, bu risklerin gerçekleşmesini önlenmek için tedbirler almalı ve işletmenin tüm süreçlerini göz önüne alarak veri güvenliğini sürekli olarak sağlamaya çalışmalıdır. Bununla ilgili bir önceki yazımıza ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan Veri Güvenliği Rehberi’ne göz atabilirsiniz.
Veri ihlali durumunda ne yapılmalıdır?
Öncelikle şirket içinde oluşturulan Kişisel Veri Komitesi veya şirketin irtibat kişisi koordinasyonunda ihlale konu olan departman ve bilgi işlem departmanı ile birlikte ihlale ilişkin ön bir değerlendirme yapılmalıdır. Ön değerlendirme sonrası yapılacak inceleme ile tespitler neticesinde, ihlalin büyümesini engelleyecek aksiyonlar alınmalı ve verilerin kurtarılması çalışmaları yürütülmelidir.
Yürütülen çalışmalar esnasında Kişisel Verileri Koruma Kurulu’nun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca işletme, kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapmalıdır. Diğer taraftan, ihlalin olası etkilerini azaltmak amacıyla kişisel verileri ihlale uğrayan kişiler bilgilendirilmelidir.
Veri İhlali Bildirimi
Kurul’a yapılacak bildirim, Kişisel Verileri Koruma Kurumu’nun (Kurum) internet sitesi (https://ihlalbildirim.kvkk.gov.tr/) üzerinden ihlalin öğrenildiği andan itibaren en geç 72 saat içinde bildirim oluşturmak suretiyle gerçekleştirilir. Kişisel veri ihlali bildirim formunun doldurulmasında Kurum, yayımladığı kılavuzu esas almaktadır.
Haklı bir gerekçe ile 72 saat içerisinde Kurul’a bildirim yapılmaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.
Veri ihlalinin gerçekleşmesi durumunda, ihlal öncesi ve ihlal sonrasında gerekli idari ve teknik tedbirleri almayan işletmelere idari para cezaları düzenlenmektedir. Bunun yanı sıra, ihlalin yukarıda belirtilen süre içerisinde Kurul’a ve ilgili kişilere bildirilmemesi durumunda düzenlenen idari para cezaları artış göstermektedir.
Veri ihlalinin kapsamının tam olarak tespit edilmesi, veri ihlali öncesinde işletmenin aldığı tedbirler ile ihlalin hemen sonrasında ihlal yönetimine dair profesyonel yaklaşım sergilenmesi, veri ihlalinin bildiriminde işletme lehine bir durum olarak öne çıkacak olup, işletmenin olası yüksek idari para cezalarına maruz kalmasını engelleyebilecektir.
Veri ihlaline maruz kalmadan önce işletme ölçüsüne uygun bir KVKK uyumu yürütmek ve bu konuda her türlü bilgi ve hizmet için bize ulaşabilirsiniz.
Diğer Blog Yazılarına Göz Atın
Apsis Editör Ekibi
2019 yılından bugüne kadar devlet teşvikleri alanında faaliyet gösteren Apsis Danışmanlık Hizmetleri, sağlık turizmi, imalat sanayi, ihracatçı işletmeler ile çeşitli KOSGEB ve TÜBİTAK projelerinde terzi usulü anlayışı profesyonel bir yaklaşımla yerine getirerek milyonlarca lira devlet desteğini işletmelere kazandırmaktadır.