Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
[email protected]
05 Mart 2019
A-
A+
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.01.2019 tarih ve 2019/10 sayılı kararının ekinde yayınlamış olduğu veri ihlal bildirimi formuna (“Form”) dair bazı düşüncelerimizi de kısaca paylaşmak istedik.
Özellikle Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan veri ihlal tanımını dikkate aldığımızda, formda talep edilen bazı bilgiler açısından, Kurul’un daha geniş bir “ihlal” tanımı tercih ediyor olup olmadığının netliğe kavuşmasına ihtiyaç olduğunu düşünüyoruz. Bu kapsamda, formda yer alan başlıkları takip ederek notlarımızı iletiyoruz:
İhlalin kaynağı açısından
Formda ihlalin kaynağına dair bilgi istenirken, çoktan seçmeli seçeneklerden
açısından Kanun’daki veri ihlali tanımı dikkate alındığında bildirim yapılması gerekip gerekmediğinin tekrar değerlendirilmesi gerekebilir düşüncesindeyiz.
Zira Kanun işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinden bahsetmektedir. Kişisel verilerin yanlış alıcılara gönderilmesi ve verilerin güvensiz ortamda depolanması her ne kadar veri güvenliği yükümlülüklerinin ihlali olabilse de, Kanun’un lafzı dikkate alındığında bir veri ihlali olarak değerlendirilebilir mi?
Yine bir kaza ve ihmal durumu, ne kadar “kanuni olmayan yollarla başkaları tarafından elde edilme” şartını karşılayacaktır?
İhlalden etkilenen kişisel veri kategorileri açısından
Formda kişisel veri ve özel nitelikli kişisel veri ayrımı yapılarak veri sorumlularının formu kolayca doldurmaları amaçlamıştır. Ancak, kişisel veri kategorisinde yer alan
kategorileri kişisel veri olarak değerlendirilebilir mi? Bu kategorilerden kastedilen şifre gibi veriler ise bunun daha net olarak belirtilmesi Formu dolduracak kişiler açısından daha yararlı olabilir.
Siber Saldırıya Özgü Sonuçlar Açısından
Formda veri sorumlularının siber saldırı sonucu gerçekleşen ihlal unsurunu belirtmeleri de istenmektedir. Ancak burada yer verilen, veri gizliliği, veri bütünlüğü ve veriye erişim kavramları, Avrupa Genel Veri Koruma Tüzüğü (GDPR) madde 5’te yer alan verilerin işlenmesine dair genel ilkelerdir ve ihlalleri halinde en ağır yaptırıma tabi tutulmaktadır. Oysa ki, Kanun’da bu ilkelere yer verilmediğinden, veri sorumlularının örneğin veri bütünlüğüne dair bir açıklama yapmalarının beklenmesi ne kadar amaca uygun olacaktır?
İyileşme zamanı ile ilgili istenen bilgiler açısından
İyileşme zamanı hem (C) Olası sonuçlar bölümünde, hem de (D) Varsa Siber Saldırıya Özgü Sonuçlar bölümünde yer almaktadır.
Ancak burada kastedilenin, silinmiş/kaybolmuş verilerin geri kazandırılması/kurtarılması gibi bir iyileştirme çalışması olduğu ve bunun süresine dair tahminin talep edildiği düşünülmektedir. Bu durumda da esasen bu bilginin salt siber saldırıya özgü olarak istenmesi daha anlamlı olabilir.
Yabancı veri sorumluları açısından
Veri ihlal bildirimlerinin hem yabancı hem de Türkiye’de yerleşik veri sorumluları tarafından yapılması beklendiğinden, Kurul tarafından yurtdışında yerleşik veri sorumluları açısından
netleştirilmesi yararlı olacaktır diye düşünüyoruz.
Diğer yandan, Avrupa’da mukim veri sorumluları açısından GDPR’da düzenlenen veri ihlali tanımının Kanun’daki tanımdan farklı olması ve özellikle veri sahiplerine yapılacak bildirimler açısından öncelikle “ihlalin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olması” şartının aranması nedeniyle düzenlemeler arasındaki farklılıklar dikkate alınarak bir açıklama yapılması da yararlı olacaktır.
Yayınlara dön