İşletmenizde Kişisel Veri İhlali Olduğunda Ne Yapacaksınız?

İşletmenizde saklanan, iletilen veya başka şekilde işlenen kişisel verilerin kazara veya yasadışı yollarla ele geçirilmesine, imhasına, kaybına, değiştirilmesine ya da ifşa edilmesine yol açan güvenlik ihlalleri ile karşılaşabilirsiniz. Kişisel veri ihlali olduğunda yapılması gerekenleri bilmek önemli.

Veri İhlali Olduğunu Saptamak ve Derhal Teknik Müdahaleleri Yapmak

Her türlü önlemleri almış olsanız da hayat bu, asla asla dememeli. Bir ihlal planınız olmalı. Tanımın geniş olmasından da anlaşılabileceği gibi, kişisel veri ihlalleri pek çok şekilde olabilir. Yaygın örnekler; siber saldırıya uğramak, yanlışlıkla gönderilen e-postalar, CV"leri çok uzun süre saklamak, kaybolan bir cep telefonu ya da laptop, kişisel veri ifşa eden bir reklam, bildirim almak istediğini belirtmeyen müşteriye bildirim gönderilmesi...

Hangi verilerin ihlal edilmiş olabileceğini nasıl saptayacaksınız? İhlal yöntemini anlayarak ve veri envanterinizi inceleyerek.

Planınız ilk önce ihlal edildiğini saptadığınız verilere yönelik teknik müdahaleleri içermeli. Örneğin bir siber saldırı durumunda ya da bir cep telefonu veya laptop kaybı saneryosu için, IT sorumlunuz mümkünse cihazı uzaktan devredışı bırakabilmeli, ya da veriler zaten parola korumalı erişim ile korunuyor olmalı. İlgili ise, bankalara haber verilmeli.

Kişisel Veri İhlalinin Sonuçlarını Öngörmek : Risk Analizi

Esasen veri ihlalinin olası sonuçlarına dair risk analizleri; teknik, idari ve hukuki tedbirler kapsamında zaten KVKK uyum sürecinde ihlal gerçekleşmeden önce düzenli olarak yapılageliyor olmalıdır. Eğer önceden yapılmış risk analizleri varsa olası sonuçları saptamak daha kolay olacaktır. 

Küçük işletmeler, tek ya da birkaç ortaklı çalışan muayenehaneler, sıkça veri ihlali konusunda saldırılara ya da kazalara hedef olmak için fazla “küçük” olduklarını düşünürler. Oysa küçük işletme, daha kolay hedeftir. İhlalin sonuçlarına karşı daha savunmasız, daha amatör olabilir. 

İhlalin kısa vadede sonuçları genelde müşteri şikayetleri, ihlal sebepli başvuran ilgili kişilere cevap verilmesi, işlerin aksaması, kusuru sabit bir şekilde delillendirilen çalışanların iş sözleşmelerinin feshedilmesi ve yeni çalışan istihdamı, veri geridönüşümü için yapılan harcamalar gibidir.

Uzun vadede sonuçlar ise; dolandırılmak, adli soruşturmalar, açılan davalar ve yüksek idari para cezaları ve bunların sonucunda sektörde güven ve itibar zedelenmesi ile müşteri ve iş ortağı kaybı gibi ciddi sorunlar olabiliyor.

İhlal, İlgililere ve Kurula Bildirilmeli

Teknik müdahaleden sonra hukuki gereklilikler var sırada. Kanunun 12/5.maddesine göre; veri sorumlusu, durumu, alınan önlemleri ve ihlalin olası sonuçlarını da açıklayarak hem ilgilisine hem de Kişisel Verileri Koruma Kurulu"na bildirmek zorundadır. Kanunumuzda hangi veri ihlallerinin bildirileceğine dair bir ayrım yok, o yüzden her ihlalin bildirilmesi gerektiği yorumu yapılabilir. Ancak başka bir yaklaşıma göre AB"deki kişisel verileri koruma düzenlemesi olan GDPR"da bir veri ihlalinin temel hak ve özgürlükler bakımından risk yaratması halinde ICO"ya (KVKK"mızı karşılayan kurum), yüksek bir risk yaratması halinde ise ilgili kişiye bildirilmesi gerekli görülmüş olduğundan, GDPR da bizim kanunumuzun kaynağını aldığı düzenleme olduğundan, bizde de böyle bir ayrıma gidilebilir.

Burada şunu düşünmek lazım, uygulamada çok küçük , hatta işletme içinde örneğin departmanlar arasında gerçekleşmiş ve kolay birkaç müdahale ile düzeltilebilecek bir veri ihlalini ilgili kişi olarak bir müşteriye bildirmek ne kadar doğru olur? Böylesine riski çok düşük bir ihlali bildirmek tabiri caizse durgun suyu bulandırmak olabilir, sektörde ticari itibarı sarsabilir ve müşteri kaybına sebebiyet verebilir. Bu anlamda genel bir tavsiye vermek doğru olmaz, ancak işletme yönetimi ve hukukçular ile durum çok iyi incelenmeli, genel anlamda ihlali bildirme eğiliminde olunmalı ancak neticeten somut olaya göre değerlendirme yapılmalıdır. Ceza korkusuyla ihlalleri gizleyen işletmeler bakımından, ihlalin daha sonra bir şekilde saptanması ve incelemeye alınması durumunda Kurum hem ihlali hem de gizlemeyi göz önünde bulundurarak cezayı üst hadden belirlemektedir.

Kurul kararlarına göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kurula, makul olan en kısa süre içerisinde de verisi ihlal edilen ilgili kişilere yapılması gereklidir. Kurula yapılacak bildirimler, Kurulun sitesinde de yer alan kişisel veri ihlali bildirim formu kullanılarak site üzerinden online, e-mail ile ya da iadeli taahhütlü posta yolu ile yapılabilir. İlgili kişilere de KEP, e-mail ya da iadeli taahhütlü posta yoluyla yapılabileceği gibi, eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa veri sorumlusu olan işletmenizin kendi internet sitesi üzerinden ihlale dair duyuru yapılabilir.

Kanunun 18/1-b maddesi uyarınca, ihlalleri bildirmemek de dahil 12. maddede öngörülen yükümlülükleri yerine getirmeyenler hakkında idari para cezası uygulanır. 2021 yılı için miktarlar yaklaşık 30 bin TL ile 2 milyon TL arasında değişmektedir. Bunun haricinde kişilik haklarının ihlal edildiğini iddia eden kişilerin genel hükümlere göre tazminat isteme hakları da vardır.

İhlaller kesin olarak önlenemez. Ama kriz planımızı önceden yaparsak en az hasarla durumu kurtarırız!

Haber Hürriyetindeyiz: İşletmenizde Kişisel Veri İhlali Olduğunda Ne Yapacaksınız?

*  İSİMSİZ YORUMLAR YANITLANMAZ.

*  Değerli yorumlarınız ve sorularınız onaydan geçtikten sonra yayınlanır ve yanıtlanır. Yorumun aşağıda görünmesi ve altına yanıtın girilmesi birkaç gün sürebilir, ara sıra kontrol ediniz.

*  Önemli not: Telefonla soru yanıtlama gibi bir hizmet vermemekteyiz. Whatsapp"tan ya da sosyal medya hesaplarından da danışmanlık vermemekteyiz. Danışmanlık ücreti, doğru yorum ve emeğin karşılığıdır. Yüzyüze görüşmek için randevu alabilirsiniz. İzmir dışında iseniz, ücretli online danışmanlık hakkında sadece bilgi almak için dahi [email protected] "ye mail gönderebilirsiniz. Blog altındaki yorumlarımız genel fikir verme amaçlı olup, olaya özgü danışmanlık değildir. Birkaç defa aynı yönde yanıtlanmış sorular ile tamamiyle aynı sorular sorulduğunda yorumunuz yayınlanmaz.