Kişisel Veri İhlallerinde Felaket Senaryosu ve Yönetimi

İletişim bölümünden bize ulaşabilirsiniz. E-Bültenimize abone olmak ister misiniz? Hukuk güncesinden gelişmeleri takip edebilirsiniz.

Hukuk Güncesi

18 Şubat 2021 Tarihinde yazıldı

Kişisel Veri İhlallerinde Felaket Senaryosu ve Yönetimi

KVKK İhlali

2016 yılında KVKK yürürlüğe girmiş ve akabinde, başta kişisel veri ihlallerini takip edip karara bağlamak olmak üzere kanunla verilen görevleri yerine getirmek amacıyla Kişisel Verileri Koruma Kurumu kurulmuştu. Böylece 2000 yılından beri sürmekte olan AB kişisel veri müktesebatıyla uyum çalışması neticeye ulaşmıştı.

İkincil düzenlemelerin de tamamlanmasıyla kişisel verilerin korunması meselesi şirket yönetimlerinin en önemli konuları arasına girivermişti. Buna rağmen kişisel verilerin korunması bilincinin tam olarak yerleştiğini söylemek hayli zor. Kurum bu bilincin yayılması için etkin bir çaba gösteriyor.

Değinmek istediğim; bir şirkette ciddi bir KVKK ihlali olduğunda bunun nasıl yönetileceği konusudur.

Unutmamak gerekiyor, bir şirket/veri sorumlusu kişisel veri içeren süreçleri ne kadar iyi yönetirse yönetsin, hangi otomatik yazılımları kullanırsa kullansın, hangi güvenlik tedbirlerini alırsa alsın; nihayetinde bir insanın ihmaliyle, yapacağı yanlış bir işlemle KVKK her zaman ihlal edilebilir. Basit bir örnek vermek gerekirse, şirketin bir çalışanı, iş başvurusu yapan bir adaya bilgi verirken, diğer başvuranları da e-postanın bilgi (cc) kısmına eklerse ve bu şekilde tüm başvuranların e-posta bilgileri birbirlerine iletilmiş olursa bariz bir kişisel veri ihlali gerçekleşmiş olacaktır. Verdiğimiz örnek bir şirketin her an karşılayabileceği basit bir KVKK ihlalidir. Örneği biraz abartırsak; bu epostalara bir de yanlışlıkla başvuranların CV’lerin eklendiğini varsayarsak, ortaya çıkacak kişisel veri ihlal tablosunu düşünmek bile insanı yoracaktır…

Daha karmaşık veri ihlalleri de olabilir. Bazı verilere erişim izni olan bir şirket çalışanının dalgınlıkla harekete geçireceği bir yazılım fonksiyonu istem dışı işlemler yapabilir. Örneğin, bir araç bakım servisi çalışanı bir sigortalama işlemi esnasında, kendinden istenen bilgiyi ilettiğini sanırken, tüm müşteri listesini, TC numaralarını, e-posta adreslerini sigorta şirketine, müşterilerine, hatta ilgisiz üçüncü kişilere gönderebilir. Bu halde çok ciddi bir KVKK ihlal durumu oluşur.

İhlalin olmasının ardından ihlalin fark edilmesi de bir süreçtir. İşlevsel veri koruma politikası olan ve süreçleri iyi kontrol eden ciddi bir firma böyle bir ihlali çok kısa sürede tespit edebilecektir. Ya sonrası?

72 Saatte Bildirim

İhlal, ihlalin öğrenildiği tarihten itibaren 72 saat içerisinde, Kurum’a bildirilmelidir. Bildirim için Kurum’un standart ihlal bildirim formu kullanılmalıdır. Bildirim formunun doldurulması için mutlaka, şirket teknik elemanları, hukuk direktörü ve yöneticilerinin birlikte çalışmaları gerekecektir. Çünkü Kurum, bu tür başvurularda öncelikle KVK hukuku kapsamında, ihlal eden şirketin, emredilen teknik ve idari önlemleri alıp almadığından, ihlalin oluş biçiminden, neticelerinden, çalışanların aldığı KVK eğitimine kadar şirketin tüm KVK detaylarının adeta bir fotoğrafını istemektedir.

Yine unutmamak gerekiyor. Bir KVKK ihlalinde mevcut bir durumu gizlemeye çalışmak doğru bir yöntem olmayacaktır. Tam tersine ihlali tüm gerçekliğiyle belirtmek ve ihlalin kaldırılması için yapılan işlemlerin, neticelerinin çok net ve doğru olarak anlatılması gerekmektedir. Eğer ihlal, ihlalin ortadan kaldırılması gibi konularda kasıtlı veya hatalı olarak yanlış bilgi verilirse Kurum’un ihlal eden firmaya bakışı ve ceza marjı değişebilecektir.

Bir firma, ihlali hemen tespit etmiş, ihlali ortadan kaldırmış, ihlalden etkilenenlere anında bilgi vermiş, fiilden zarar görme eylemini ortadan kaldırmış veya en aza indirgemişse ve verdiği bilgilere göre KVK yükümlülükleriyle ilgili geçmiş ve ihlal sonrası fotoğrafları “temizse”; Kurum’un da buna yapıcı bir tavırla karşılık vereceği, firmanın çabalarını göz önünde bulunduracağı ve bu kapsamda firmaya ihlal nedeniyle, ihlalin ağırlığı da göz önünde bulundurularak, bir yaptırım uygulayacaksa bile bunu minimum düzeyde tutacağı kanaatindeyiz.

KVKK İhlali Felaket Senaryosu

Örneğin ihlal cumartesi sabah 01:00 de olursa, ilgili personellerin ve varsa şirket danışmanlarının acilen bir araya gelmesi, ihlalin hemen ortadan kaldırılması, 72 saatlik bildirim süresi içerisinde başvuru formunun ve eklerinin hazırlaması, önceden bu duruma hazırlanılmamışsa biraz zor olacaktır. Tüm bu tespitler ışığında her firmanın KVKK ihlal ekipleri oluşturmasının, bu ekiplerin önceden felaket senaryoları hazırlamasının, senaryoları ihlal anını şirket mesai saatleri dışındaki zamanlara rast gelecek şekilde de çalıştırmasının yararlı olacağı anlaşılmaktadır.

Av.Haluk İnanıcı

Hukuk Güncesi

Kişisel Veri İhlallerinde Felaket Senaryosu ve Yönetimi

Diğer Yazılar

Fikri Hukuk Fikri Korumaz

Yeni Elektronik Ticaret Yasası Neler Getiriyor?

Bilgisayar Programı Tanımı Değişiyor

ERP Yazılımları Ve Rekabet Hukuku Kapsamında Etkilenen Pazar

ERP Yazılımı Proje İhaleleri

Bulut Sözleşmeleri ile Yazılım Lisans Sözleşmeleri Arasındaki Farklar

Sinema - Televizyon Sözleşmelerinde Cezai Şart

e-İtibar Yönetiminde Arama Motorlarının Sorumluluğu

Unutulma Hakkı ve İfade Özgürlüğü

Darth Vader Nasıl Çocuk Oyuncağına Dönüştü? Sinemada Merchandising (Ticarileştirme) Hakları

Bir Yargıtay Kararı Işığında Tretman - Senaryo ve Türk Telif Hukuku

Film Unsurlarının Sinema Hukuku Açısından Değerlendirilmesi

Kişisel Verilerin Korunması Kanunu Neler Getiriyor?

Türk Hukukunda Portföy Tazminatı

Alman Hukukunda Portföy Tazminatı

Yazılım Startup Projelerinde Freelance Telif Sözleşmeleri

Startuplar için Fikri Mülkiyet Stratejisi Oluşturmanın Önemi

FSEK Değişiklik Taslağında Hazırlık Tasarımı - Bilgisayar Programı İlişkisi Yeniden Tanımlanıyor

FSEK Değişiklik Taslağında Bilgisayar Programlarını “Kişisel Kullanma Amacıyla Çoğaltma Hakkı” Kaldırılmaktadır.

FSEK Değişiklik Taslağında Bilgisayar Programlarının Yeniden Satışına İlişkin Hüküm Değişiyor

FSEK Değişiklik Taslağında Fikirler ve Yöntemlere ilişkin Genel Düzenleme

FSEK Değişiklik Taslağında Teknoloji Alanını İlgilendiren Çeşitli Düzenlemeler

Bir Hukuk Genel Kurulu Kararı Işığında; Boşanma Protokolü Nasıl Yapılmalı?

Reklam Sektöründe Telif Davaları

Reklam Sözleşmeleri ve Telif Hukuku

Mirastan Feragat Sözleşmesi

Fotoğraf ve Telif Hukuku

Edinilmiş Mallara Katılma Rejimi ve Mal Rejiminin Tasfiyesi

Dövizle İşlem Yasağı Getiren 85 Sayılı Cumhurbaşkanı Kararının Bilişim ve Teknoloji Sektörü Açısından Değerlendirilmesi

Ayni Sermaye Olarak Fikri Mülkiyet Hakları

Yatırım Sözleşmelerinde Ad-Hoc ve Kurumsal Tahkim

Yapay Zeka ve Fikri Mülkiyet Hukuku

Üç Boyutlu Yazıcılar ve Hak Sahiplerinin Korunması: CAD Dosyalarının Fikri Mülkiyet Boyutu

Robot Hukukuna Girerken

Sürücüsüz Araç Kazalarının Hukuki İncelemesi

COVID-19 Salgını Yazılım Proje Ve Hizmet Sözleşmelerini Etkiledi Mi? Tarafların Sözleşmeyi Askıya Alma Veya Feshetme Hakkı Bulunuyor Mu?

16.04.2020 TARİHLİ, 7244 SAYILI KANUN İLE GETİRİLEN YENİLİKLERDEN BAZILARI

COVID-19 Salgınının Franchising Sözleşmelerine Etkisi

COVID-19 Salgınının Yazılım Sözleşmelerine Etkisi

Kripto Paraların Mevzuat Açısından Değerlendirmesi

Telif Hukukunda Sözleşmeden Cayma Hakkı

Romanda Görsel Kullanımı

Bir Şirket Kendi Marka ve Logolarının Sahibi midir?

Kitapların Tüm Satış Kanallarında Sabit Fiyatla Satılması, Kitap Satışlarında İndirim Yapılmaması Neden Gereklidir?

Kişisel Veri İhlallerinde Felaket Senaryosu ve Yönetimi

10 Mart 2021 Tarihli Uzaktan Çalışma Yönetmeliği Kapsamında Şirket Yükümlülükleri

Yazılımlara, Web Sitelerine Copyright © İşareti Neden Konulur, Zorunlu mudur?

Türkiye’den Avrupa Birliği Ülkelerine Bulut (Cloud) Hizmeti Satanlara GDPR Hükümleri Doğrudan Uygulanabilir Mi?

Yazılımın Hizmet Olarak Sunulmasında, SaaS Modelinde Veri Sorumluluğu Kime Ait Olmalı?

Akıllı Algoritma Hakları Üzerinde Devir/Lisans Sözleşmeleri Kurulması

Gayri Maddi Malların (Yazılım, Oyun, Marka, Akıllı Algoritma vb.) Veraset ve İntikal Hukuku İçindeki Yeri

Ölümün Eserin Hak Sahipliği Üzerindeki Etkisi

Aile Anayasası ile Aile Değerlerini, Aile Malvarlığını Korumak

Kripto Varlık Olarak Token Dünyası

Hazırlanan Sözleşmelerin, Dava Dilekçelerinin Eser Niteliği, Telif Hakkı

Facebook’un Metaverse'ünden Stanislaw Lem'in Real'ine, Gelecek Üzerine

Vasiyetname Nedir, Neden Yapılmalıdır?

Sanal Gerçeklik Sözleşmelerine Yolculuk

Parmak İzi Okuyucu Cihaz Kullanımının Kişisel Verilerin Korunması Mevzuatı Karşısında Durumu

Eşin Ölümü Halinde Evlilik İçinde Edinilmiş Malların Paylaşımı

Dijital Tek Pazarda Telif Hakları

Şirket Azınlığının, Şirket Yöneticileri Aleyhine Açtığı ve Şirket Yöneticilerinin Şahsi Mal Varlığıyla Sorumlu Olduğu Tazminat Davaları

Fikri Mülkiyet Hukuku Açısından Kültür Mirası Bir Toplantı ve Düşündürdükleri

Yıllık İzin Hakkında Gözden Kaçanlar

Şirket Know-How’larının Ticari Gelire Dönüştürülmesi

Müzecilik Hukuku

Kültür Varlıkları ve Telif Hukuku

Dijital Müze Alanındaki Gelişmeler - Dijital Bellek, Token, NFT, Metaverse, Sanal Müzeler ve Telif Hukuku

Kültürel Mirasa Erişim Hakkı

Özel Müzeler, Özel Sergiler ve Küratör Hakları

Sinema ve Televizyon Opsiyon Sözleşmeleri

Medya ve Eğlence Sektörü’nden Second Life'a Telif Hakları

Gelişen Sinema Sektöründe Ortak Film Yapım Sözleşmeleri

Televizyon Program Format Hakları

Sinemada Senaryo Öncesi Metinler Çerçeve Metinler ve Bu Metinlerin Hukuki Koruma Altına Alınması

Telif Hukuku Açısından Kültür Varlıkları