A-

A+

Kişisel Verileri Koruma Kurulu Tarafından İhlal Kararları Gelmeye Devam Ediyor: 4 Ekim 2019 Tarihinde İki Yeni Karar Özeti Yayınlandı!

Kişisel Verileri Koruma Kurulu (“Kurul”), bir önceki gün yayınlamış olduğu ve büyük ses getiren Facebook kararından hemen sonra iki yeni karar özeti daha yayınladı. Açıkçası Kurul’un Ekim ayına hızlı bir giriş yaptığını söyleyebiliriz.

Yeri gelmişken, Kişisel Verilerin Korunması Kanunu (“Kanun”)’nun Nisan 2016’da yürürlüğe girdiğini ve geçiş hükümleri de dahil Kanun’a uyum için belirlenen sürelerin uzun zaman önce geçmiş olduğunu hatırlatalım. Bunun da Kurul’un kararlarında vereceği ihlal kararlarında hem nitelik hem de nicelik olarak büyük artışlara neden olabileceğini unutmamak gerekir. Bu yazıda da Kurul tarafından son yayınlanan iki karar özetini değerlendirerek bu özet kararlardaki Kurul tespitleri çerçevesinde veri sorumlularının dikkat etmesi gerek hususları değerlendirmeye çalışacağız.

  1. Kurul’un S Şans Oyunları A. Ş. Hakkında 27.08.2019 Tarih ve 2019/254 Sayılı Kararı

Hakkında ihlal kararı verilen S Şans Oyunları, yasal olarak almış olduğu izinler çerçevesinde sanal bayi olarak faaliyet gösteren bir veri sorumlusudur. Veri ihlalinin konusu ise kullanıcıların telefon numaraları ile şifrelerini kaybetmeleri halinde SMS firması tarafından kendilerine gönderilen üye numaralarının yer aldığı bir Excel tablosudur. Şirket üyelerinden birinin, söz konusu Excel tablosunun yasa dışı sitelerde dolaştığı bilgisini 14.09.2018 tarihinde paylaşmasıyla, veri sorumlusu ilgili sızıntıdan haberdar oluyor ve bunun üzerine Kurul’a 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2018 tarihlerinde olmak üzere dört farklı yazı gönderiyor.

  • Kurul, veri ihlalinde bulunan belirsizliklerin üzerinde önemle durmakta ve buna göre bir sonuca gidebilmektedir.

Söz konusu veri ihlalinde iki temel belirsiz nokta vardır: İlk olarak, veri sorumlusu, ihlalin gerçekleşme tarihini belirleyememiştir. Kurul’a göre bu durum, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının bir göstergesidir.

İkinci olarak, her ne kadar ihlalden etkilenen kişi gruplarının müşteri ve üyeler olduğu anlaşılmışsa da etkilenen kişi sayısı ve ihlale konu olan Excel listesinde yer alan verilerin sistemden çekilme ve veri işleyene aktarılma zamanının belirlenememiş olması da yine önemli bir noktadır. Kurul, bu durumu da veri sorumlusunun teknik ve idari bir kusuru olarak nitelendirmiştir.

Bu noktada Kurul’un, teknik ve idari tedbirlerin alınmış olmasının söz konusu tedbirlerin uygulanmasını da kapsadığı anlamına gelecek şekilde, veri sorumlusu tarafından tedbirlerin alınmadığı veya uygulanmadığını belirtmiş olması dikkat çekicidir. Kurul’un “Kişisel Veri Güvenliği Rehberi”nde de kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği belirtiliyor. Buradan Kurul’un veri sorumlusundan veri güvenliğine ilişkin gerekli idari ve teknik tedbirleri aldığını ve uyguladığını da gösterebilmesini aradığı sonucunu çıkarmamız mümkün. Bu da bize GDPR uygulamasında yer aldığı şekilde, veri sorumlusunun, gerekli yükümlülükleri alması ve aldığını gösterme bakımından da “hesap verilebilir (accountability)” durumda olması gerekliliğini hatırlatmakta.

  • Kurul, veri işleyenin, veri sorumlusunun yükümlülüklerini ortadan kaldırmadığını net bir biçimde ortaya koydu!

Kararın üzerinde durulması gereken en önemli noktalarından biri de, Kurul’un veri sorumlusu ile veri işleyen arasındaki ilişkiye değinmiş olmasıdır. Somut olayda kimin veri sorumlusu kimin veri işleyen olduğu sorularının yanı sıra, kimin hangi yükümlülüklerden ne derece sorumlu olacağı da önemlidir. Bu kararla, ortaya konulan önemli bir husus ise, veri işleyenin olması veri sorumlusunun yükümlülüklerini hiçbir şekilde ortadan kaldırmadığıdır. Uygulamada karşılaştığımız büyük bir problem, veri sorumlusunun veri işleme faaliyetlerini bir işleyen aracılığıyla gördürmesi ve bunun sonucunda gerçekleştirilen işleme faaliyetinden hiçbir şekilde sorumlu olmayacağını zannetmesidir.

Nitekim karar özetinde açıklandığı kadarıyla bu olayda da aynı böyle olmuş ve veri sorumlusu, ihlalin veri işleyen nezdinden gerçekleşmiş olma ihtimaliyle kendini savunmuştur. Ancak Kurul’un, veri sorumlusunun Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma hususunda hala yükümlü olduğunu açıkça belirtmesi, oluşan bu yanlış algıyı kaldırabilecek olması bakımından önemlidir.

Kurul’un bu yaklaşımını değerlendirirken Kişisel Veri Güvenliği Rehberi’nde bahsedildiği şekliyle veri sorumlusu-veri işleyen ilişkilerine değinirsek, rehberde, “Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12’nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” şeklinde belirtilmektedir. Bu bağlamda Kanun’un 12. maddesinde yer alan “müştereken” ifadesinin veri işleyenin güvenlik ihlallerinden veri sorumlusunun bizzat sorumlu olacağı anlamına geldiğini söylemek mümkün.

Veri sorumlularının da bu doğrultuda, veri güvenliğini sağlamak üzere alınması gereken teknik ve idari tedbirlere uyma yükümlülüğün sadece kendiyle sınırlı olmadığını, onun adına veri işleyen kişilerin de teknik ve idari tedbirlere uymasını sağlamakla yükümlü olduğunu kabul etmeleri ve buna göre yükümlülüklerine uygun hareket etmek için çaba göstermeleri gerekir.

Sonuç olarak, veri sorumlusu hakkında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması gerekçesiyle (m.12/1-b) 150.000 TL idari para cezası kararı verilmiştir.

  • Veri sorumlusunun, ihlali Kuruma bildirme yükümlülüğünün yanı sıra ilgililere bildirme yükümlülüğü de unutulmamalıdır.

Kuruma yapılması gereken veri ihlal bildirimlerinin önemi nedeniyle üzerinde durulması, bu bildirimin ilgili kişilere de yapılması gerekliliğinin göz ardı edilmesi tehlikesine neden olabilir. Ancak, Kanun’un 12. maddesinin 5. fıkrası bu noktada oldukça açıklayıcı; buna göre veri sorumlusunun herhangi bir ihlali Kurum ile beraber ilgili kişiye de bildirme yükümlülüğü bulunur.

Nitekim Kurul’un, veri sorumlusunun, veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçememesinin; veri sorumlusu tarafından idari tedbirlerin alınmadığı veya uygulanmadığının göstergesi olarak nitelendirmesi de bunu çok açık gösteriyor.

İlgili kişilere bildirim yapılmadığı gerekçesiyle, Kanun’un 18 (1) (b) bendi kapsamında 30.000 TL idari para cezası kararı verilmiştir.

  1. Kurul’un Turizm Şirketi Hakkında 27.08.2019 Tarih ve 2019/255 Sayılı Kararı

Kurul’un aynı gün yayınladığı diğer bir karar özeti ise; bir turizm şirketi veri sorumlusu nezdinde gerçekleşen siber saldırı ile ilgilidir.

Kararın konusu, şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri sonucunda şirketin Yerel Alan Ağı (Local Area Network – LAN) üzerinde gerçekleşen bir siber saldırı ile ilgilidir. Buna göre, şirketin genel alanlarında bulunan bir çalışanın bilgisayarı üzerinden çalışan ağına sızılarak ağ üzerinden ele geçirilen şifrelerle yetkisiz şifre girişi ile siber saldırı düzenleniyor.

  • Şirketin genel alanlarında gerçekleştirilen ihlaller açık bir idari tedbirsizliktir!

Bu kararda ilk dikkat çekmek istediğimiz husus, veri sorumlusunun idari tedbir alma yükümlülüğünün önemidir. Söz konusu olayda, şirket çalışanı olmayan bir üçüncü kişi tarafından şirketin genel alanlarda bulunan bir çalışanın bilgisayarına yetkisiz olarak erişilmesi şeklinde gerçekleşen eylem, Kurul’a göre idari bir tedbirsizliktir. Kurul’un, gerçekleşen ihlalden sonra çalışanlara yönelik güvenlik eğitiminin yapılmadığı yönündeki tespiti de bunun bir göstergesi.

İşte tam da bu noktada Kanun’a uyum süreçlerinde üzerinde önemle durduğumuz insan faktörü, eğitim, bilinç ve farkındalık kavramlarına tekrar değinmekte fayda var. Kanun’a uyum süreçlerinin ezbere dayalı bir şekilde herhangi bir kanun hükmünü uygulamaya koymaktan çok daha öte bir yanı vardır ki, o da konuyu kurallar bütünü olmaktan çıkarıp veri sorumlusu nezdinde olağan bir düzen haline getirmektir. Bu düzenin oluşması için, kişisel verileri koruma hukukunun bir bütün olarak anlaşılması ve veri sorumlusu bünyesinde çalışan kişiler tarafından bu bilinç doğrultusunda hareket edilmesi gerekir.

Verileri korumaya neden ihtiyaç duydulduğundan başlayan, verileri korumak için almamız gereken önlemlerin neler olduğuna uzanan bir farkındalık oluşmalıdır. Çalışan kişi, veriyi koruması gerektiğinden önce, neden bu veriyi koruması gerektiğini bilebilmelidir.

İşte bu bakış açısıyla oluşturulacak bir eğitim, güvenlik önlemlerinin nasıl alınacağını da kapsayacak şekilde veri işleyen kişiye mutlaka sağlanmalıdır. Aksi takdirde insan faktörünün başrolde olduğu bir veri işleme faaliyetinde, hangi tedbirler alınırsa alınsın, ihlallerin gerçekleşme riski yüksektir.

Uygulamada yaşanan veri ihlallerinin büyük çoğunluğunda, başlangıçta küçük gibi görünen güvenlik önlemlerinin alınmamış olmasının büyük sonuçları olabileceğini belirtmeliyiz.

  • Kurul, ihlalden etkilenen kişisel verilerin niteliğinin altını çizmeye devam ediyor.

Daha önce de belirttiğimiz gibi, ihlalin boyut ve kapsamı, ihlalden etkilenen kişisel verilerin elde edilmesi halinde ilgili kişiler üzerinde gerçekleşecek etkilerle yakından ilgilidir. Özel nitelikli kişisel veri içermesi ise ilgili kişilerin hak ve özgürlüklerinin daha büyük oranda zarara uğramasına sebep olabilir. Bu sebeple Kurul, bu kararında da ihlalden etkilenen kişisel veri kategorilerini belirttikten sonra, özel nitelikli kişisel veri barındırmadığının altını çizerek; bunun önemini ortaya koymuştur.

Bu, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında da belirttiği üzere özel nitelikli kişisel verilerin korunmasında azami dikkat ve özen gösterilmesi anlamına gelmekte olup; Kurul’un hükmedeceği olası bir idari para cezasında, cezanın miktarı bakımından dikkate alınacağına işaret olabilir.

  • İhlalin gerçekleşme şekli ve tespit edilmesinde bilgi işlem birimlerinin rolü

Kararda, ihlali gerçekleştiren kişinin, ilk olarak veri sorumlusu içindeki sunuculara erişim sağladığı, ancak daha sonra dikkat çekmemek için buradan ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirerek sunucu üzerindeki verileri geri getirilemez şekilde yok ettiği belirtiliyor. Bütün bunlar, sistem üzerinde alınacak teknik tedbirlerle, öncelikle bilgi işlem birimleri tarafından fark edilmesi gereken çeşitli hareketler niteliğindeyken, uzmanlarca bunun fark edilememesi tedbir eksikliği olarak değerlendiriliyor. Kurul, özellikle, bilgi işlem birimine diğer birim çalışanları tarafından bildirildiğini vurguluyor. Nitekim Kurul’a göre bu hareketlerin fark edilmemesi teknik bir eksiklik olduğu gibi; bildirimin, diğer çalışanlar tarafından yapılması da bilgi işlem birimi ve sistemlerinin düzgün olarak çalışmadığı ve işlemediği anlamına gelmektedir.

Olayın ihlal gerçekleştikten sonraki boyutuna da değinmek gerekir. Veri sorumlusu her ne kadar sunuculara erişimi olan ağ bağlantılarını kapatsa da mevcut teknik yetersizlikten dolayı bu sefer de sunucu güvenliği noktasında bir aksaklık yaşanıyor. Veri sorumlusunun diğer bir teknik tedbir eksikliği ise, güvenlik duvarının güncel durumda bulunmaması ve ancak ihlalden sonra yenilenmesi olarak belirlenmiştir.

Unutmamak gerekir ki, ihlal gerçekleştiğinde önlem almak için artık geçtir. Sonraki ihlalleri önleyebilir; fakat gerçekleşmiş olan ihlalin sonuçlarını ve uygulanacak yaptırımları azaltmaz.

Veri sorumlusu, buradan hareketle bilgi sistemleri ile teknik ekibin kişisel verilerin korunmasına ilişkin veri güvenliğini sağlamada yeterli seviyede ve yetkinlikte olup olmadığına dikkat etmelidir.

Buraya kadar sayılan tüm gerekçeler Kurul’a göre veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması (m.12/1-a-b-c) demektir. Bu tedbirleri almayan veri sorumlusu hakkında Kanun’un 18 (1) (b) bendi uyarınca 400.000 TL idari para cezası uygulanmıştır.

  • İhlalin ilgili kişilere bildirilmemiş olması ve Kurum’a yapılan bildirimin de en kısa sürede yapılması koşuluna uygun olarak gerçekleştirilmemesi temel ceza sebebidir.

Bu kararda da yukarıda verilen kararla aynı doğrultuda gerekli bildirimlerin yapılmaması tek başına bir idari para cezası gerekçesi olarak ele alınmıştır. Kurul’a göre Kanun’un 12. maddesinin 5. fıkrası uyarınca bildirim yapılmaması yükümlülüklerin ihlali anlamına geliyor. Bu kararda ayrıca Kuruma yapılan bildirimin de süresinde yapılmadığı tespiti yapılmıştır. Ancak kararda ihlalin tespit ile bildirim tarihlerine ilişkin detaylar mevcut değildir.

Bildirimlerin yapılmaması nedeniyle veri sorumlusu hakkında Kanun’un 18 (1) (b) bendi kapsamında 100.000 TL idari para cezasına hükmedilmiştir. Yukarıda incelenen 1. kararda verilen idari para cezasıyla karşılaştırıldığında, aradaki fark Kuruma yapılan bildirimin de süresinde yapılmamış olmasından kaynaklanmış olabilir.

Sonuç

Yukarıda değerlendirme konusu edilen iki kararın, veri sorumlusunun veri güvenliğine ilişkin alması gereken yükümlülükler bakımından önemli olduğunu düşünüyoruz. Bu kapsamda özellikle Kurul’un üzerinde durduğu dikkati çeken kavramlar bakımından şu temel sonuçlara ulaşıyoruz:

  • Her şeyden önce veri sorumlusunun veri güvenliğine yönelik olarak alması gereken teknik ve idari tedbirlerin farkında olması gerekiyor.
  • Teknik tedbirler, bir veri ihlalinin gerçekleşmemesi için “alınması gereken yeterli düzeydeki güvenlik önlemleri”nin yanında, yaşanan “bir veri ihlalini en kısa sürede fark edebilme”yi ve “gerekli aksiyonları derhal gösterebilme”yi de içerisinde barındırır. Ayrıca bir ihlal halinde, “ihlalin başta gerçekleşme tarihi ve etkilenen kişi sayısı olmak üzere tüm detayları” mümkün olduğunca belirlenebilir durumda olmalıdır. Aksi takdirde Kurul, gerekli gözetim, denetim ve kontrolleri yapmadığınıza ve teknik kusurunuz olduğuna karar verebilir.
  • Uyum sürecinin idari boyutunda özellikle veri sorumlusu bünyesinde bulunan herkesin veri koruma hukukuna ilişkin yeterli farkındalığa sahip olmasına dikkat edilmelidir. Bu kapsamda küçük büyük ayırt etmeksizin gerekli tüm idari tedbirler tespit edilmeli ve ona göre hareket edilmelidir.
  • Kurul’un bu kararında veri sorumlusundan, veri güvenliğine ilişkin gerekli idari ve teknik tedbirleri aldığını ve aldığı tedbirleri uyguladığını da gösterebilmesini beklemesinin çok ciddi bir sorumluluk olduğunu hatırlatmak istiyoruz.
  • Veri sorumlusu, veri işleme faaliyetlerini bir işleyen aracılığıyla gördürmesi halinde dahi yükümlülüklerinin hiçbir şekilde ortadan kalkmadığını kabul etmelidir. Zira Kurul’un buna ilişkin kararı, veri sorumlusunun yükümlülüklerinden kurtulamayacağını somut bir şekilde ortaya koyuyor.
  • Veri sorumlusunun bir ihlal karşısında alması gereken aksiyonlardan ilki, Kuruma yapılacak bildirim ile ilgili kişilere yapılacak olan bildirimlerin bir an önce usulüne uygun olarak yerine getirmesidir. Bunun Kurul tarafından tek başına bir idari para cezası sebebi olarak ele alındığı unutulmamalıdır.