Kişisel Verileri Koruma Kurumu[1] web sitesinde 13 Mayıs 2020 tarihinde yayımlanan, Kişisel Verileri Koruma Kurulu[2]’nun 12 Mart 2020 tarih ve 2020/213 sayılı kararı[3] kapsamında veri sorumlusu sıfatını haiz internet sağlayıcısına[4], veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almamasından ötürü 300.000 TL idari para cezası verilmiştir. İşbu yazı kapsamında Kurul Kararı’nın detaylarının paylaşılmasını takiben 6698 sayılı Kişisel Verilerin Korunması Kanunu[5] kapsamında veri sorumlusunun veri güvenliğine ilişkin yükümlülüğü de irdelenecektir.  

1. Kurul Kararına Konu Veri İhlal Bildirimi Nedir?

Kurul Kararı kapsamında ismi açıklanmayan bir servis sağlayıcı tarafından Kurum’a yapılan ihlal bildiriminde,

• Şirket’in müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabildikleri bir “Online İşlem Merkezi” bulunduğu,
• Şirket’in fatura ödeme sisteminde online işlemlerde fatura ödemesi yapılamadığı ve sorunun müşteriler tarafından şirkete bildirildiği,
• Müşterinin ödeme yaptığı sırada ekranda “fatura seçilmesi gerektiği” uyarısının çıktığı,
• Sorun giderilmek üzere çalışma yapılırken bir güvenlik açığının ortaya çıktığı,
• Güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği,
• İhlalin kök nedeninin, log üreten özelliklerin eklenmesi suretiyle debug işlemi ile diğer bir ifadeyle hata ayıklama yöntemiyle düzeltilmesi girişiminin olduğu

belirtilmiştir.

Söz konusu ihlalden ötürü 649 adet şirket müşterisi tarafından 69 kişiye ait kart bilgisinin görüntülendiğinin tespit edildiği ifade edilmiştir. 

2. Kurul Tarafından Tespit Edilen Hususlar ve Kurul Değerlendirmesi

Kurul tarafından,

• Yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin gerçek/çalışır ortama alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu,
• Veri sorumlusunun kendisi tarafından belirtilen test süreçlerinin yetersizliği uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu,
• Sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu

değerlendirilmiştir.

Bunun yanı sıra veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu tespit edilmiştir.

• III. Kurul Ne Karar Vermiştir?

Kurul, üst başlıkta değindiğimiz tespit ve değerlendirmeleri ışığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar vermiştir

4. Veri Sorumlularının Veri Güvenliğine İlişkin Yükümlülükleri

1. Kişisel Verilerin İşlenmesine İlişkin Tedbirler Alınması

Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri 6698 sayılı Kanun’un 12. maddesinin birinci fıkrasında sıralanmıştır. Buna göre veri sorumlusu, i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Görüldüğü üzere veri sorumlusunun kişisel verilerin güvenliğine ilişkin tedbirlerin alınması noktasında yasal yükümlülüğü bulunmaktadır. Veri sorumlusunun işbu yükümlülüğü sabit olmakla beraber veri sorumlusu adına veri işleme faaliyetinde bulunan veri işleyen olması durumda 6698 sayılı Kanun’un 12. maddesinin ikinci fıkrası uyarınca veri sorumlusu ile veri işleyen müştereken sorumlu olacaktır. Kurum tarafından yayımlanan Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü[6]’nde, veri sorumlusunun şirketine ilişkin kayıtların bir muhasebe şirketi tarafından tutulması örneğinde 6698 sayılı Kanun m.12/1’de düzenlenen kişisel verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu ile birlikte veri işleyen konumundaki muhasebe şirketinin müştereken sorumlu olacağı belirtilmiştir. Bununla birlikte, veri sorumlusu ile veri işleyen arasında akdedilecek bir sözleşme ile iç ilişkide bu sorumluluğun detayları düzenlenebilecektir. Fakat bu durumun veri sorumlusu ile veri işleyenin 6698 sayılı Kanun’dan kaynaklanan yükümlülüğünü bertaraf etmediğini iç ilişkilerinde anlam ifade edeceğini vurgulamak isteriz. Bunların yanı sıra 6698 sayılı Kanun’un 12. maddesinin üçüncü fıkrası kapsamında veri sorumlusunun kendi kurum veya kuruluşunda, 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma/yaptırma zorunluluğu bulunmaktadır.

Kurul, 31 Ocak 2018 tarihli ve 2018/10 sayılı kararında[7] ise özel nitelikli kişisel verilerin işlenmesi durumunda veri sorumlularınca alınması gereken yeterli önlemleri belirlemiştir. Belirlenen önlemelere değinmeden, özel nitelikli kişisel verilerin neler olduğunu açıklamak yerinde olacaktır. Özel nitelikli kişisel veriler, 6698 sayılı Kanun’un 6. maddesinin birinci fıkrasında “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmıştır. Aynı maddenin gerekçesinde ve Kurum tarafından yayımlanan 100 Soruda Kişisel Verilerin Korunması Kanunu[8] adlı yayında bazı kişisel verilere özel nitelikli denilmesinin sebebinin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları olduğu vurgulanmıştır. 6698 sayılı Kanun’un 6. maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu düzenlenmiştir. İşte bu hüküm kapsamında Kurul, özel nitelikli kişisel verilerin işlenmesinde veri sorumluları tarafından alınması gereken yeterli önlemleri belirlemiştir. Karar kapsamında özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerektiği vurgulanmış ve bunun yanı sıra genel hatlarıyla,

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara,
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara (elektronik/fiziksel),
• Özel nitelikli kişisel verilerin aktarılması çeşitlerine ilişkin uygun önlemler alınması gerektiği belirtilmiştir.  

Belirtilen hususların yanı sıra Kurum tarafından yayımlanan Kişisel Veri Güvenliği Rehberi[9]’nde belirtilen, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiği vurgulanmıştır.

2. Kişisel Veri İhlal Bildirimi

Veri sorumlusunun veri ihlalini bildirim yükümlülüğü 6698 sayılı Kanun’un 12. maddesinin beşinci fıkrasında düzenlenmiştir. Bu düzenleme uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilmektedir. Veri sorumlusunun en kısa sürede bildirim yükümlülüğündeki en kısa sürenin ne kadar olduğu hususu ve bildirimin usul ve esasları Kurul’un 24 Ocak 2019 tarih ve 2019/10 sayılı kararı[10] ile açıklığa kavuşturulmuştur. İşbu karar kapsamında veri ihlal bildirimin usul ve esaslarına dair dikkat çeken hususlar,

• 6698 sayılı Kanun m.12/5’te belirtilen kısa sürede ifadesinin 72 saat olarak yorumlanması,
• Kurum’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu’nun kullanılması,
• Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması,
• Veri ihlalinin gerçekleşmesi durumunda yapılacaklara ilişkin olarak veri ihlali müdahale planı hazırlanması ve belirli aralıklarla bu planın gözden geçirilmesi,
• Yurt dışında yerleşik veri sorumlusu nezdinde Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda aynı esaslar çerçevesinde Kurul’a bildirimde bulunulması

şeklindir. Bu kararın yanı sıra Kurul’un 18.09.2019 tarih ve 2019/271 sayılı kararı[11] ile Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar belirtilmiştir. Buna göre ihlal bildiriminde,

• İhlalinin ne zaman gerçekleştiği,
• Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
• Kişisel veri ihlalinin olası sonuçları,
• Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
• İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerekmektedir. Karar kapsamında ilgili kişilere yapılacak bu bildirimin açık ve sade bir dille yapılması gerektiği vurgulanmıştır.

5. Sonuç

Yazı kapsamında paylaşılan bilgiler ışığında, veri sorumlularının kişisel veri güvenliğinin sağlanması amacıyla gerekli idari/teknik tedbirleri almadığı; veri ihlali bildirimini Kurul’un belirlediği usul ve esaslara uygun yapmadığı veya hiç yapmadığı durumda nasıl bir yaptırımla karşılaşabileceği akıllara gelecektir. Böyle bir durum olması halinde veri sorumlularına 6698 sayılı Kanun’un 18. maddesinin birinci fıkrasının (b) bendi uyarınca 27.037 Türk Lirası’ndan 1.802.640 Türk Lirası’na kadar[12] idari para cezası verilebilecektir. İşbu yazı kapsamında detaylı olarak incelenen Kurul Kararı’na baktığımızda Kurul’un, veri sorumlusunun bir veri güvenliği politikasının bulunduğunu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğunu tespit ettiğini ve bu duruma kararında yer verdiğini görmekteyiz. Bu noktada 6698 sayılı Kanun’a, ikincil düzenlemelere, Kurul tarafından alınan kararlara uygun hareket edilmesi gerektiği sonucuna ulaşılmaktadır. Son olarak veri sorumluların kanuni yükümlülüklerini, bünyelerinde veri ihlali gerçekleşmeden yerine getirmeleri gerektiğini aksi durumda Kurul Kararı’nda Şirket’e verildiği gibi idari para cezası verilebileceğini vurgulamak isteriz.

Av. Volkan ALKILIÇ & Av. Eren Can KAPMAZ