İhlal Yönetimi
Veri İhlalinin Veri Sorumlusu, Veri İşleyen Veya Veri Sahibi Tarafından Tespiti Halinde Olay Yönetimi Nasıl Yapılmalıdır?
Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusu;
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.
|
Veri Sorumlusunun veya Veri İşleyenin;
- KVK Komitesi veya ilgili yetkilisi veya bir çalışanı,
- veya (varsa) Veri Sorumlusu İç Denetçileri,
- veya hukuk, bağımsız denetim, sağlık hizmeti veya sair hizmetler sunan herhangi bir danışman tarafından,
Şirket Çalışanlarınca veya üçüncü kişiler tarafından, Kişisel Verilerin Korunması Politikasına uyumsuz olarak; kişisel veri elde edildiğinin, saklandığının, sızdırıldığının, aktarıldığının, üçüncü kişiler tarafından hukuka aykırı olarak ele geçirildiğinin tespit edilmesi ile süreç başlar.
Bu tespit veri sahibinin veri sorumlusuna başvurusu ile de ortaya çıkabilir bu durumda da bu prosedür uygulanacaktır.
SÜREÇ YÖNETİMİ İŞLEMLERİ NELER OLMALIDIR?
1. Komite veya ilgili yetkili kişi konuyla ilgili ihlal tespitinin kesin olup olmadığını inceler. İhlal tespiti kesin ise, özellikle ihlal nedenleri ile konunun kapsamı hakkında detaylı soruşturma başlatır ve konuyla ilgili üyeler arasından iki kişi görevlendirir. Bu iki kişi tercihen Komite başkanı ile veri ihlalinin nedenine göre o departmanın sorumlusu olmalıdır. Komite olmayan yerlerde bu soruşturmayı yapacaklar ilgili yetkili kişi ile veri ihlalinin gerçekleştiği departman amiri olmalıdır.
2. Konu derhal hukuk danışmanı ve önemine binaen veri sorumlusu yönetim organına iletilir.
İhlal eğer veri sahibi/sahipleri nezdinde zarar doğurabilecek boyutta ise, ihlal hakkında Hukuk Danışmanı ve Veri Sorumlusu yönetim organının nihai görüşleri alınarak durum ilgili kişilere ve 72 saat içinde de KVKK’ya bildirilir.
3. Komite veya ilgili yetkili kişi ile hukuk müşavirinin ortak çalışmaları sonucunda ihlal nedeni ve ihlali gerçekleştiren kişi/kişiler ile ihlalin boyutları tam olarak tespit edilir.
İhlalin gerçekleşme nedenine göre organizasyonda alınacak teknik ve idari tedbirler gözden geçirilir.
Konunun tazminat ve suç hukuku boyutlarının değerlendirilmesi mutlaka yapılmalıdır.
4. Komite veya ilgili yetkili kişi ile hukuk müşaviri, ihlal konusunda organizasyonda alınan tedbirler ile ihlalin/uyumsuzluğun olası sonuçları hakkında veri sorumlusu yönetim organı tüm detaylarıyla bilgilendirilir.
6. İhlal, Veri Sorumlusu çalışanı, çalışanları veya veri işleyen(üçüncü kişi) tarafından gerçekleştirilmiş ise, ihlali gerçekleştiren veya ihlalin önlenmesinde ihmali bulunan kişi veya kişiler konu hakkında detaylı olarak bilgilendirilerek, Komite veya ilgili yetkili ve Hukuk müşavirinin görüşüne ve ihlalin boyutuna göre disiplin cezası veya iş akdinin feshi ile cezalandırılabilir. En azından yazılı olarak ikaz edilirler. İhlal Veri İşleyen bir taraf nezdinde meydana gelmiş ise Veri işleyen hakkında, ilgili ticari sözleşme ve veri işleme hizmet sözleşmesi kuralları çerçevesinde en uygun karar verilir.
5. Uyumsuzluk üçüncü kişilerin haklarını tartışmasız zarara uğratabilecek/uğratacak ve veri sorumlusu tarafından engellenemeyecek sonuç/lar içeriyor ise (örneğin SİBER saldırıya uğranılmış olması) derhal bu sonuçların ortadan kaldırılması için gereken tedbirler de değerlendirilir ve gereken adımlar atılır. Veri işleyen nezdinde bu ihlal gerçekleşmiş ise veri işleyenin de aynı adımları atması sağlanır.
6. Uyumsuzluğun yeniden gündeme gelmemesi için gerekli tedbirler alınır, eğitimler, denetimler yeniden gözden geçirilerek, ihtiyaç halinde ilgili tüm personel yeniden bilgilendirilir.
Mevzuat
1- 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurula şikâyet
MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.