Single Blog Title

This is a single blog caption

Veri İhlali Durumunda Şirketlerin Hukuki Sorumluluğu

Giriş

Dijitalleşme ile birlikte şirketlerin en önemli varlıklarından biri artık yalnızca sermaye, marka değeri veya ticari sırlar değildir. Müşteri verileri, çalışan verileri, tedarikçi bilgileri, ödeme kayıtları, kamera görüntüleri, IP kayıtları, üyelik bilgileri, sağlık verileri, finansal bilgiler ve kullanıcı davranış verileri de şirketlerin faaliyetlerinin merkezine yerleşmiştir. Bu nedenle bir şirketin veri ihlali yaşaması, yalnızca teknik bir siber güvenlik sorunu değil; aynı zamanda ciddi bir hukuki sorumluluk, itibar krizi, idari yaptırım ve tazminat riski anlamına gelir.

Veri ihlali, kişisel verilerin yetkisiz kişilerce ele geçirilmesi, ifşa edilmesi, kaybolması, değiştirilmesi, erişilemez hâle gelmesi, hukuka aykırı biçimde paylaşılması veya korunması gereken veri ortamlarının güvenliğinin bozulması olarak açıklanabilir. Bir şirketin müşteri veri tabanının hacklenmesi, çalışan maaş bilgilerinin yanlış kişiye e-posta ile gönderilmesi, internet sitesindeki güvenlik açığı nedeniyle kullanıcı bilgilerinin üçüncü kişilerce görüntülenmesi, eski çalışanın sisteme erişmeye devam etmesi, bulut klasörünün herkese açık bırakılması veya fidye yazılımı saldırısı sonucunda verilerin şifrelenmesi veri ihlali örnekleridir.

Türkiye’de veri ihlali durumunda şirketlerin hukuki sorumluluğunun temel dayanağı 6698 sayılı Kişisel Verilerin Korunması Kanunudur. KVKK m.12’ye göre veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde gerekli tedbirlerin alınması bakımından veri işleyenle birlikte müştereken sorumlu olabilir.

Veri İhlali Nedir?

Veri ihlali, kişisel verilerin güvenliğini, gizliliğini, bütünlüğünü veya erişilebilirliğini etkileyen her türlü hukuka aykırı durumdur. Uygulamada veri ihlali çoğu zaman siber saldırı ile özdeşleştirilse de veri ihlali yalnızca hacker saldırısı anlamına gelmez. İnsan hatası, yetkilendirme eksikliği, yanlış e-posta gönderimi, zayıf şifre kullanımı, eski çalışan hesaplarının kapatılmaması, bulut sistemlerinin yanlış yapılandırılması, yedeklerin şifresiz tutulması, tedarikçi hatası veya şirket içi kötüye kullanım da veri ihlaline neden olabilir.

Örneğin bir e-ticaret şirketinin müşteri ad-soyad, telefon, e-posta, adres ve sipariş bilgilerinin internette yayımlanması açık bir veri ihlalidir. Bir hastanenin hasta kayıtlarının yetkisiz çalışanlar tarafından görüntülenmesi veri ihlalidir. Bir sigorta şirketinin hasar dosyalarının URL manipülasyonu ile üçüncü kişilerce erişilebilir hâle gelmesi veri ihlalidir. Bir insan kaynakları şirketinin aday özgeçmişlerini yanlış kişilere göndermesi de veri ihlalidir. Dolayısıyla veri ihlali hem dış kaynaklı siber saldırılar hem de şirket içi organizasyon eksiklikleri nedeniyle doğabilir.

Şirketler açısından önemli olan husus, veri ihlalinin gerçekleştiği anda “bunu kim yaptı?” sorusundan önce “hangi veriler etkilendi, kaç kişi etkilendi, ihlal hâlen devam ediyor mu, ilgili kişilere zarar doğma ihtimali var mı, Kurula bildirim yapılmalı mı, deliller nasıl korunacak?” sorularının hızla cevaplanmasıdır. Veri ihlali yönetimi, teknik müdahale ile hukuki müdahalenin birlikte yürütülmesini gerektirir.

Veri Sorumlusu Olarak Şirketin Temel Yükümlülükleri

KVKK sistematiğinde şirketler çoğu durumda veri sorumlusu sıfatına sahiptir. Veri sorumlusu, kişisel verilerin hangi amaçlarla ve hangi araçlarla işleneceğini belirleyen gerçek veya tüzel kişidir. Bir şirket müşterilerinden üyelik bilgisi alıyor, çalışanlarının özlük dosyalarını tutuyor, internet sitesi üzerinden çerez kullanıyor, ödeme ve sipariş verilerini saklıyor veya CRM sistemi işletiyorsa veri sorumlusu sıfatıyla hareket eder.

Veri sorumlusu şirketin temel yükümlülüğü, kişisel verileri hukuka uygun şekilde işlemek ve güvenliğini sağlamaktır. KVKK m.12 uyarınca şirket; kişisel verilerin hukuka aykırı işlenmesini önlemeli, verilere hukuka aykırı erişimi engellemeli ve verilerin muhafazasını sağlamalıdır. Bu amaçla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır.

Bu yükümlülük yalnızca “gizlilik politikası” veya “KVKK aydınlatma metni” yayımlamakla yerine getirilmiş sayılmaz. Şirketin teknik altyapısı, çalışan yetkileri, veri saklama süreleri, tedarikçi sözleşmeleri, erişim logları, şifreleme uygulamaları, yedekleme sistemi, olay müdahale planı, çalışan eğitimleri ve veri ihlali prosedürü birlikte değerlendirilir.

Teknik ve İdari Tedbir Alma Sorumluluğu

Veri ihlali yaşandığında Kurulun ve mahkemelerin bakacağı ilk sorulardan biri şudur: Şirket bu ihlali önlemek için gerekli teknik ve idari tedbirleri aldı mı? Eğer şirket gerekli önlemleri almamışsa, ihlal doğrudan saldırganın veya kötü niyetli çalışanın eylemiyle gerçekleşmiş olsa bile şirketin hukuki sorumluluğu gündeme gelebilir.

Teknik tedbirler; güçlü parola politikası, çok faktörlü kimlik doğrulama, güvenlik duvarı, antivirüs ve zararlı yazılım koruması, veri tabanı şifreleme, yedekleme, log kayıtlarının tutulması, erişim sınırlandırması, sızma testi, zafiyet taraması, sunucu güvenliği, ağ segmentasyonu, veri maskeleme, yetkisiz erişim alarmı ve düzenli yazılım güncellemeleri gibi önlemleri içerir.

İdari tedbirler ise şirket içi politikalar ve organizasyonel süreçlerle ilgilidir. Çalışan gizlilik taahhütleri, veri işleyen sözleşmeleri, tedarikçi denetimleri, erişim yetki matrisi, saklama ve imha politikası, veri envanteri, personel eğitimleri, işten ayrılan çalışanların hesaplarının kapatılması, veri ihlali müdahale planı ve iç denetim mekanizmaları idari tedbirlere örnektir.

Şirketin büyüklüğü, işlediği verinin niteliği ve faaliyet alanı alınacak tedbirlerin seviyesini etkiler. Örneğin yalnızca genel iletişim formu bulunan küçük bir işletme ile milyonlarca müşterinin finansal verisini işleyen bir ödeme kuruluşundan aynı düzeyde teknik altyapı beklenmez. Ancak her veri sorumlusu, kendi faaliyetinin riskine uygun ve makul güvenlik seviyesini sağlamak zorundadır.

Veri İşleyen ve Tedarikçi Kaynaklı İhlallerde Sorumluluk

Birçok şirket kişisel verileri kendi sistemlerinde değil, üçüncü taraf hizmet sağlayıcılar aracılığıyla işler. Hosting firmaları, bulut servis sağlayıcıları, CRM sistemleri, çağrı merkezi hizmetleri, e-posta pazarlama platformları, bordro şirketleri, yazılım firmaları ve ödeme altyapıları bu kapsamda veri işleyen olabilir.

KVKK’ya göre kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması bakımından veri sorumlusu bu kişilerle birlikte müştereken sorumludur. Bu nedenle şirket, “veri benim sistemimden değil, tedarikçinin sisteminden sızdı” diyerek her durumda sorumluluktan kurtulamaz.

Şirketin tedarikçi seçimi, sözleşmesel güvence alıp almadığı, veri işleyenin teknik ve idari tedbirlerini denetleyip denetlemediği, veri işleme talimatlarını yazılı şekilde belirleyip belirlemediği ve ihlal hâlinde bildirim yükümlülüklerini sözleşmede düzenleyip düzenlemediği önemlidir. Veri işleyen nezdinde ihlal meydana geldiğinde veri işleyenin gecikmeksizin veri sorumlusuna bildirim yapması gerektiği Kurulun veri ihlali bildirim usul ve esaslarında açıkça belirtilmiştir.

Bu nedenle şirketler, tedarikçi sözleşmelerine mutlaka veri güvenliği, gizlilik, alt işleyen kullanımı, yurt dışına aktarım, ihlal bildirimi, denetim hakkı, log saklama, delil koruma ve zarar sorumluluğu hükümleri koymalıdır.

Veri İhlali Öğrenildiğinde İlk 24 Saatte Ne Yapılmalı?

Veri ihlali öğrenildiğinde şirketin ilk reaksiyonu kritik önemdedir. Bu aşamada yapılan hatalar hem delillerin kaybolmasına hem de Kurula geç veya eksik bildirim yapılmasına neden olabilir. İlk aşamada şirket; bilgi işlem, hukuk, üst yönetim, veri koruma sorumlusu/uyum ekibi, iletişim birimi ve gerekiyorsa dış siber güvenlik uzmanlarından oluşan bir kriz ekibi kurmalıdır.

Öncelikle ihlalin kaynağı belirlenmelidir. Saldırı hâlen devam ediyor mu, hangi sistem etkilendi, hangi veri tabanlarına erişildi, kişisel veri içeriyor mu, özel nitelikli veri var mı, kaç kişi etkilenmiş olabilir, veriler kopyalandı mı, sadece erişim mi oldu, yoksa veriler silindi veya şifrelendi mi? Bu sorulara teknik inceleme ile cevap verilmelidir.

Ancak teknik ekip sistemi düzeltirken delilleri yok etmemelidir. Log kayıtları, sunucu imajları, firewall kayıtları, erişim izleri, zararlı yazılım örnekleri, e-posta başlıkları, kullanıcı hareketleri ve yedekler korunmalıdır. Çünkü bu kayıtlar hem Kurula yapılacak bildirimde hem savcılık soruşturmasında hem de tazminat davalarında önem taşıyabilir.

Şirket aynı zamanda hukuk ekibiyle birlikte bildirim yükümlülüğünü değerlendirmelidir. KVKK m.12/5 kapsamında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlüdür. Kurul, “en kısa sürede” ifadesini 72 saat olarak yorumlamaktadır.

Kurula 72 Saat İçinde Bildirim Yükümlülüğü

Veri ihlali durumunda şirketlerin en önemli yükümlülüklerinden biri, ihlali öğrendikleri tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna bildirim yapmaktır. Kurulun 24.01.2019 tarihli ve 2019/10 sayılı kararına göre, 72 saat içinde bildirim yapılamaması hâlinde gecikmenin nedenleri de Kurula açıklanmalıdır. Ayrıca ilk bildirim anında tüm bilgilerin sağlanması mümkün değilse bilgiler aşamalı olarak sunulabilir.

Bu noktada şirketlerin yaptığı en büyük hata, teknik incelemenin tamamen bitmesini beklemektir. Oysa Kurul uygulamasında bildirim için tüm detayların kesinleşmiş olması şart değildir. Şirket ihlali öğrendiğinde makul ilk tespitlerini yapmalı, etkilenen veri kategorilerini, kişi gruplarını, ihlalin olası etkilerini ve alınan önlemleri belirleyerek bildirim yapmalıdır. Eksik bilgiler sonradan tamamlanabilir.

Kurula veri ihlali bildirimi elektronik ortamda da yapılabilmektedir. KVKK, Kişisel Veri İhlal Bildirim Formu’nun internet bağlantısı üzerinden Kurula iletilebilmesini mümkün hâle getirmiştir; ancak bu formun veri sorumlusu tarafından doldurulması gerektiği, şikâyet ve ihbar başvurularının farklı kanallardan yapılacağı belirtilmiştir.

Geç bildirim ciddi yaptırım riski doğurur. KVKK’nın yayımladığı bir karar özetinde, veri sorumlusunun ihlali ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin “en kısa süre”yi aştığı ve bu durumun veri güvenliği ihlali olarak değerlendirilerek idari yaptırım uygulandığı belirtilmiştir.

İlgili Kişilere Bildirim Yükümlülüğü

Veri ihlali durumunda yalnızca Kurula bildirim yapılması yeterli değildir. İhlalden etkilenen ilgili kişilere de makul olan en kısa süre içinde bildirim yapılmalıdır. Eğer ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan bildirim yapılmalı; ulaşılamıyorsa şirketin internet sitesinde duyuru yapılması gibi uygun yöntemler kullanılmalıdır.

İlgili kişilere yapılacak bildirimin açık ve sade bir dille hazırlanması gerekir. Kurulun 18.09.2019 tarihli ve 2019/271 sayılı kararına göre ilgili kişiye yapılacak bildirimde asgari olarak ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında hangi verilerin etkilendiği, ihlalin olası sonuçları, olumsuz etkilerin azaltılması için alınan veya alınması önerilen tedbirler ve ilgili kişilerin bilgi alabileceği iletişim kanalları yer almalıdır.

Bu bildirim, şirketin hukuki savunması açısından da önemlidir. Eksik, yanıltıcı veya gereksiz paniğe yol açan bildirimler şirketin itibarını zedeleyebilir. Buna karşılık hiç bildirim yapılmaması veya ihlalin gizlenmesi daha ağır hukuki sonuçlar doğurabilir. İlgili kişilere bildirimde “şirketimizde küçük bir teknik aksaklık yaşanmıştır” gibi belirsiz ifadeler yerine, ihlalin kapsamı dürüst ve anlaşılır şekilde açıklanmalıdır.

İdari Para Cezası Riski

Veri ihlali durumunda şirketler, KVKK m.18 kapsamında idari para cezası riskiyle karşılaşabilir. Özellikle veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kurul kararlarına uyulmaması, aydınlatma yükümlülüğünün ihlali, VERBİS yükümlülüklerinin yerine getirilmemesi ve veri ihlali bildiriminin geç yapılması idari yaptırım doğurabilir.

KVKK, 6698 sayılı Kanun’un 18. maddesinde düzenlenen idari para cezalarının 5326 sayılı Kabahatler Kanunu uyarınca her takvim yılı başından geçerli olmak üzere yeniden değerleme oranında artırıldığını ve 2017-2026 yıllarına ilişkin güncel tutarların ayrıca yayımlandığını duyurmuştur. Bu nedenle şirketler güncel ceza tutarlarını her yıl ayrıca kontrol etmelidir.

Kurulun yaptırım değerlendirmesinde ihlalin niteliği, etkilenen kişi sayısı, etkilenen veri kategorileri, özel nitelikli kişisel veri bulunup bulunmadığı, şirketin aldığı teknik ve idari tedbirler, ihlalin ne kadar sürede tespit edildiği, Kurula ve ilgili kişilere bildirim süresi, ihlal sonrası alınan aksiyonlar ve şirketin kusur derecesi önem taşır.

Örneğin daha önce benzer güvenlik zafiyetleri yaşanmış olmasına rağmen tedbir almayan, eski çalışanların erişimlerini kapatmayan, şifreleme kullanmayan, log tutmayan, sızma testi yapmayan veya ihlali aylarca gizleyen şirket bakımından idari yaptırım riski artacaktır.

Tazminat Sorumluluğu

Veri ihlali yalnızca idari para cezası riski doğurmaz. İhlalden etkilenen kişiler, maddi ve manevi zararlarının giderilmesini de talep edebilir. KVKK m.11 kapsamında ilgili kişiler, kişisel verilerinin kanuna aykırı işlenmesi sebebiyle zarara uğramaları hâlinde zararın giderilmesini isteme hakkına sahiptir. Ayrıca Türk Borçlar Kanunu kapsamında haksız fiil, sözleşmeye aykırılık veya kişilik haklarının ihlali hükümleri de gündeme gelebilir.

Maddi zarar, ihlal nedeniyle kişinin ekonomik olarak uğradığı zarardır. Örneğin banka bilgilerinin sızması nedeniyle hesabından para çekilen kişi maddi zarar talep edebilir. Kimlik bilgilerinin sızması nedeniyle adına sahte işlem yapılan kişi zararını isteyebilir. Müşteri verileri sızan bir şirketin ticari ilişkileri bozulmuşsa, sözleşmesel sorumluluk veya ticari zarar iddiaları gündeme gelebilir.

Manevi zarar ise kişinin özel hayatının, güvenlik duygusunun, itibarının veya kişilik haklarının zedelenmesiyle ilgilidir. Sağlık verileri, cinsel hayat, biyometrik veriler, çocuklara ait veriler, finansal bilgiler veya özel yazışmalar gibi hassas verilerin sızması hâlinde manevi tazminat talepleri daha güçlü şekilde gündeme gelebilir.

Şirketin tazminat sorumluluğunda kusur, uygun illiyet bağı, zararın varlığı ve ihlalin kapsamı değerlendirilir. Ancak veri güvenliği yükümlülüğü altında bulunan şirketin gerekli tedbirleri aldığını ispat edebilmesi büyük önem taşır. Bu nedenle ihlal öncesi alınan önlemlerin belgelenmesi, eğitim kayıtlarının tutulması, denetim raporlarının saklanması ve tedarikçi sözleşmelerinin düzenli olması şirketin savunmasını güçlendirir.

Ceza Hukuku Boyutu

Veri ihlali durumunda şirketin veya çalışanlarının ceza hukuku sorumluluğu da gündeme gelebilir. Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı kaydedilmesi, verilmesi, yayılması veya ele geçirilmesi ayrı suç tipleri olarak düzenlenmiştir. Bir çalışan müşteri listesini rakibe satmışsa, sağlık verilerini üçüncü kişiye vermişse, eski çalışan sisteme girerek veri indirmişse veya şirket yöneticileri hukuka aykırı şekilde veri paylaşımına bilerek izin vermişse ceza soruşturması söz konusu olabilir.

Şirket tüzel kişiliği hakkında doğrudan hapis cezası uygulanmaz; ancak suçu işleyen gerçek kişiler bakımından ceza sorumluluğu doğabilir. Ayrıca şartları varsa tüzel kişi hakkında güvenlik tedbirleri ve idari yaptırımlar gündeme gelebilir. Veri ihlali siber saldırı sonucu gerçekleşmişse bilişim sistemine girme, sistemi engelleme veya bozma, verileri yok etme veya değiştirme, banka/kredi kartı bilgilerini kullanma ve nitelikli dolandırıcılık gibi suçlar da değerlendirilebilir.

Bu nedenle şirket, veri ihlali yaşandığında yalnızca Kurula bildirim yapmakla kalmamalı; saldırganın tespiti, iç personel kusuru, veri hırsızlığı, ticari sır ihlali veya dolandırıcılık ihtimali varsa Cumhuriyet Başsavcılığı’na suç duyurusu yapmayı da değerlendirmelidir.

Sözleşmesel Sorumluluk ve Ticari İlişkiler

Veri ihlalleri, şirketin iş ortakları ve müşterileriyle yaptığı sözleşmeler bakımından da sorumluluk doğurabilir. Özellikle teknoloji şirketleri, yazılım sağlayıcıları, ödeme kuruluşları, sağlık kuruluşları, çağrı merkezleri, e-ticaret platformları, finans kuruluşları ve bulut servis sağlayıcıları sözleşmelerinde veri güvenliği, gizlilik ve ihlal bildirimi hükümleri taşır.

Bir şirket müşterisinin verilerini koruyamadığında, yalnızca KVKK nezdinde değil, sözleşme tarafı karşısında da sorumlu olabilir. Sözleşmede belirlenen güvenlik standartlarının sağlanmaması, SLA yükümlülüklerinin ihlali, veri işleme talimatlarına aykırı davranılması, alt işleyen kullanımının izinsiz yapılması veya ihlal bildiriminin geç yapılması tazminat ve sözleşmenin feshi sonuçlarını doğurabilir.

Bu nedenle şirketler, veri işleme sözleşmelerini matbu ve genel ifadelerle değil, gerçek iş süreçlerine uygun şekilde düzenlemelidir. Hangi veriler işleniyor, hangi sistemlerde tutuluyor, kimler erişebiliyor, yurt dışına aktarım var mı, alt işleyen kullanılacak mı, ihlal olduğunda kaç saat içinde bildirim yapılacak, deliller nasıl korunacak ve zarar sorumluluğu nasıl paylaşılacak açıkça yazılmalıdır.

Veri İhlali Müdahale Planı

Kurulun veri ihlali bildirim usul ve esaslarında, veri sorumlusunun veri ihlali gerçekleşmesi hâlinde kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ve ihlalin olası sonuçlarının değerlendirilmesi bakımından sorumluluğun kimde olduğunun belirlenmesini içeren bir veri ihlali müdahale planı hazırlaması ve bu planı belirli aralıklarla gözden geçirmesi gerektiği belirtilmiştir.

Veri ihlali müdahale planı, kriz anında şirketin ne yapacağını gösteren yol haritasıdır. Bu planda ihlali kim tespit edecek, kime bildirecek, hukuk ekibi ne zaman devreye girecek, bilgi işlem hangi logları koruyacak, üst yönetime nasıl rapor verilecek, Kurula bildirimden kim sorumlu olacak, ilgili kişilere bildirim metnini kim hazırlayacak, basın açıklaması gerekip gerekmediğine kim karar verecek gibi sorular cevaplanmalıdır.

Planın yalnızca kâğıt üzerinde bulunması yeterli değildir. Düzenli tatbikat yapılmalı, çalışanlara farkındalık eğitimi verilmeli, tedarikçilerle iletişim kanalları test edilmeli ve kritik sistemlerde olay senaryoları oluşturulmalıdır. Veri ihlali anında hızlı ve doğru hareket eden şirketler, hem zararı azaltır hem de Kurul nezdinde daha güçlü bir pozisyona sahip olur.

Şirketlerin Veri İhlali Sonrası Yapmaması Gerekenler

Veri ihlali sonrası şirketlerin yaptığı bazı hatalar hukuki sorumluluğu ağırlaştırabilir. Bunlardan ilki ihlali gizlemektir. Şirket, itibar kaybı korkusuyla Kurula veya ilgili kişilere bildirim yapmazsa, sonradan ihlalin ortaya çıkması daha ağır idari ve hukuki sonuçlar doğurabilir.

İkinci hata, teknik inceleme tamamlanmadan tüm sistem kayıtlarını silmek veya değiştirmektir. Delillerin yok edilmesi, hem saldırganın tespitini zorlaştırır hem de şirketin gerekli önlemleri aldığını ispat etmesini engeller.

Üçüncü hata, ilgili kişilere belirsiz ve eksik bildirim yapmaktır. “Sistemimizde küçük bir sorun yaşandı” gibi genel ifadeler yerine, ihlalin niteliği ve alınması gereken önlemler açıkça belirtilmelidir. Kurul kararına göre ilgili kişiye yapılacak bildirimde ihlalin zamanı, etkilenen veri kategorileri, olası sonuçlar ve önerilen tedbirler gibi asgari unsurlar bulunmalıdır.

Dördüncü hata, tüm sorumluluğu tedarikçiye yüklemektir. Tedarikçi kaynaklı ihlallerde dahi veri sorumlusu şirketin gözetim, sözleşme ve denetim yükümlülükleri devam eder.

Sonuç

Veri ihlali durumunda şirketlerin hukuki sorumluluğu çok yönlüdür. Şirketler yalnızca siber saldırganın eyleminden zarar gören taraf değil; aynı zamanda kişisel verileri korumakla yükümlü veri sorumlusu konumundadır. Bu nedenle veri ihlali yaşandığında idari para cezası, tazminat, sözleşmesel sorumluluk, ceza soruşturması, itibar kaybı ve müşteri güveni kaybı gibi birçok sonuçla karşılaşılabilir.

KVKK m.12 kapsamında şirketler kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verilerin muhafazasını sağlamak ve uygun güvenlik düzeyini temin edecek teknik-idari tedbirleri almak zorundadır. İhlal gerçekleştiğinde ise şirket, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapmalı; etkilenen ilgili kişileri makul olan en kısa sürede bilgilendirmeli; ihlalin etkilerini azaltacak önlemleri almalı ve tüm süreci kayıt altına almalıdır.

Şirketler açısından en doğru yaklaşım, veri ihlali olduktan sonra panikle hareket etmek değil, ihlal meydana gelmeden önce güçlü bir uyum ve güvenlik sistemi kurmaktır. Veri envanteri, erişim yetkilendirmesi, şifreleme, log yönetimi, yedekleme, çalışan eğitimi, veri işleyen sözleşmeleri, sızma testleri, veri ihlali müdahale planı ve düzenli iç denetim mekanizmaları bu sistemin temel unsurlarıdır.

Sonuç olarak veri ihlali, basit bir teknik arıza veya geçici sistem problemi olarak görülmemelidir. Veri ihlali; şirketin KVKK uyumunu, siber güvenlik kapasitesini, kriz yönetimini, müşteri ilişkilerini ve hukuki risk yönetimini aynı anda test eden ciddi bir olaydır. Bu nedenle şirketlerin veri ihlali süreçlerini hem bilişim hukuku hem kişisel verilerin korunması hukuku hem de ticari sorumluluk boyutuyla profesyonel şekilde yönetmesi büyük önem taşır.

Leave a Reply

Call Now Button