Günümüzde gelişen teknoloji ile birlikte, siber saldırı yöntemleri de gelişmekte ve bu durum kişisel verileri savunmasız kılmaktadır. Veri sorumlularının kişisel verilerin güvenliğini sağlaması her geçen gün daha çok önem kazanmakta olup bu çalışmada veri güvenliği ilkesi kavramı, veri güvenliğini sağlamaya yönelik alınabilecek tedbirler ve Kurul’un yaklaşımı değerlendirilecektir.
Veri Güvenliği İlkesi
Veri güvenliği ilkesi, kişisel verilerin korunmasının esasını teşkil eden temel ilkelerden biridir. Ancak kişisel verilerin korunmasının temel gayesi ilgili kişinin temel hak ve özgürlüklerinin korunmasıyken; veri güvenliği ilkesinin temel gayesinin bizzat verilerin her türlü tehlikeden korunmasını sağlamak olduğunu kabul etmek mümkündür1.
Veri güvenliği ilkesi ilk kez, 28.01.1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinde; kişisel verilerin kaybolmasına veya izinsiz olarak elde edilmesine, değiştirilmesine ya da dağıtılmasına karşı uygun güvenlik önlemlerinin alınması olarak tanımlanmıştır2.
2. Veri Güvenliğine İlişkin Yükümlülükler
Veri güvenliğine ilişkin yükümlülükler KVKK madde 12’de düzenlenmektedir. Veri güvenliğine ilişkin iş ve işlemleri takip etmek görevleri ise, Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığına aittir.
Veri güvenliğine ilişkin yükümlülükleri ana yükümlülükler ve destekleyici yükümlülükler olmak üzere ikiye ayırmamız mümkündür.
2.1. Ana Yükümlülükler
Veri sorumluları temel olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile yükümlüdürler. Veri sorumlusu bu amaçlar doğrultusunda uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.
Bu noktada belirtmemiz gerekir ki, kanun koyucu veri güvenliğini sağlamak adına alınması gereken teknik ve idari tedbirleri belirtmekten kaçınmıştır. GDPR’da sınırlı sayıda olmamak kaydıyla yer verilen örneklendirmelerin aksine, KVKK’da herhangi bir örneklendirmeye gidilmemiştir. Bu eksiklik, yazımızın ilerleyen bölümlerinde değineceğimiz üzere, Ocak 2018 tarihli Kişisel Veri Güvenliği Rehberi ile giderilmeye çalışılmıştır. Aynı zamanda Kurul’un 31.01.2018 tarih ve 10 sayılı kararı ile de “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” asgari ölçüde belirlenmiştir.
Veri güvenliği ilkesi doğrultusunda gerekli tedbirleri alması gereken yükümlüler arasında, veri sorumlularının yanı sıra, veri işleyenler de yer almaktadır. Veri sorumlusunun kendi adına veri işlemesi için yetkilendirdiği kişiler, veri işleyen sıfatını haizdir. Kişisel verilerin veri işleyenler tarafından işlenmesi halinde, veri işleyen ve veri sorumlusu müştereken sorumlu olacaklardır. Veri güvenliğine yönelik tedbirler alınmasının KVKK’da veri işleyene yüklenen tek yükümlülük olması, veri güvenliğine verilen önemi ortaya koymaktadır.
2.2. Destekleyici Yükümlülükler
KVKK’da veri güvenliğine ilişkin ana yükümlülüklerin yanı sıra, işbu yükümlülükleri destekler bir takım yan yükümlülükler de mevcuttur.
2.2.1 Denetim Yükümlülüğü
Veri sorumlusunun yükümlülüklerinden biri de veri güvenliğini sağlamak adına kendi içerisinde gerekli denetimleri yapmaktır. Veri sorumlusu bu denetimi kendisi yapabileceği gibi üçünxü kişilerce yapılmasını da sağlayabilir.
2.2.2. Açıklamama ve Amaca Uygun İşleme Yükümlülüğü
Veri sorumluları ile veri işleyenlerin, işleme faaliyeti sırasında eriştikleri kişisel verileri KVKK hükümlerine aykırı olarak açıklaması veya işleme amacına aykırı şekilde kullanması da açıkça yasaklanmaktadır.
2.2.3. İhlal Bildirim Yükümlülüğü
Kişisel verilerin başkaları tarafından hukuka aykırı yollarla ele geçirilmesi durumunda, veri sorumlusu en kısa sürede hem ilgilisine hem de Kurul’a veri ihlalini bildirmelidir. GDPR’da işbu en kısa süre açıkça 72 saat olarak belirlenmiştir. KVKK’da ise açık bir süre düzenlemesi olmamakla birlikte, Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararı ile bu sürenin 72 saat olması öngörülmüştür.
Veri ihlali bildirimi, yalnızca veri sorumlusu tarafından başvurulabilecek bir yoldur. Veri sorumlusunun Kurum’un internet sitesi üzerinden Veri İhlali Bildirim Formunu doldurulması yoluyla gerçekleştirilir. Bu noktada veri sorumlusu ile müştereken sorumlu olan veri işleyenin doğrudan veri ihlali bildiriminde bulunamıyor olması eleştirilmektedir.
Veri ihlal bildirimi kapsamına girmeyen başvuruların ise, ancak şikayet ve ihbar içerikli başvurular olarak değerlendirilmesi mümkün olup Kurum’a yazılı olarak veya https://sikayet.kvkk.gov.tr adresi üzerinden iletilmesi gerekmektedir.
2.3. Yükümlülüklere Aykırılığın Yaptırımları
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması öngörülmüş olup işbu idari para cezası aralığı 2022 yılı için 40.179 – 2.678.863 Türk lirası olarak güncellenmiştir. Bunun dışında ihlalden etkilenen kişilerin genel hükümler kapsamında tazminat talebinde bulunması da söz konusu olabilecektir.
3. Veri Güvenliğine İlişkin Tedbirler
Günümüzde kişisel verilerin daimi bir risk altında olduğunu kabul etmek doğru olup veri sorumlularının teknolojik yöntemlerin de yardımıyla kişisel veriler açısından işlevsel ve güvenilir bir koruma mekanizması geliştirmek için gerekli bütün önlemleri alması beklenmektedir3.
Bu doğrultuda KVKK’da veri sorumluları ve veri işleyenler tarafından bir takım idari ve teknik tedbirler alınması gerektiği belirtilmişse de söz konusu tedbirler örneklendirilmemiştir. İşbu eksiklik Ocak 2018 tarihli Kişisel Veri Güvenliği Rehberi ile giderilmeye çalışılmış olup Rehber’in sadece tavsiye niteliğinde olduğu ve emredici olmadığını vurgulamakta fayda vardır. Yine 15.02.2022 tarihli Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu da benzer öneri ve tavsiyeler içermektedir.
Uygun tedbir belirlemesinin her bir somut durum özelinde ayrıca yapılması doğru olacaktır. Tedbirlerin belirlenmesinde, veri sorumlusunun yaptığı iş ve korunan kişisel verilerin niteliği gibi çok sayıda farklı faktör etkili olacaktır.
3.1. İdari Tedbirler
3.1.1. Risk ve Tehditlerin Belirlenmesi
Kurum tarafından belirtilen temel tedbirlerin başında mevcut risk ve tehditlerin belirlenmesi gelmektedir. Bu noktada yapılması gereken risk analizinde, kişisel verilerin türünün ve sayısının tespiti oldukça büyük önem taşımaktadır. Örneğin büyük sayıda ve özel nitelikli kişisel veri ağırlıklı bir veri işleme faaliyeti söz konusuysa, veri sorumlusunun alması gereken tedbirler de bu ölçüde farklılık teşkil edecektir.
3.1.2. Eğitim ve Farkındalık Çalışmaları
Kişisel verilere yönelik bir saldırı halinde, eğitimli ve bilgi çalışanlar tarafından yapılacak bir müdahale oldukça büyük bir öneme sahip olabilecektir. Yine çalışanlara verilecek eğitimler ile çalışanların veri ihlaline sebebiyet verebilecek birtakım hatalarda bulunmalarını önlemek mümkün olacaktır. Örneğin bir çalışan tarafından görüntülenecek spam içerikli bir elektronik posta, söz konusu şirkette çok ciddi bir veri sızıntısı yaşanmasına sebep olabilir.
Çalışanlara yönelik tedbirler kapsamında, gizlilik sözleşmesi imzalatılması da faydalı olabilecek olup bu noktada belirtmemiz gerekir ki, Kurul’un 31.01.2018 tarih ve 10 sayılı kararı uyarınca özel nitelikli kişisel verileri işleyen çalışanlar ile gizlilik sözleşmesi yapılması zorunluluktur4.
3.1.3. Politika ve Prosedürlerin Belirlenmesi
Doğru şekilde tespit edilmiş risklere paralel bir şekilde kişisel verilerin güvenliği için çeşitli politika ve prosedürlerin oluşturulması oldukça önemlidir. Her bir kişisel veri kategorisi için farklı senaryolar öngörülerek politikalar oluşturulması faydalı olacaktır. İlgililer tarafından işbu politika ve prosedürler güncel tutulmalı ve takip edilmelidir.
3.1.4. Kişisel Verilerin Azaltılması
Veri minimizasyonu ilkesi ile paralel olan bu tedbir uyarınca, veri sorumlularının yalnızca gerekli miktarda veriyi, yasal düzenlemeler ile belirlenmiş veya işleme amacı için gerekli olan süre boyunca saklamaları gerekmektedir. Çok sayıda verinin kontrolünün daha güç olacak olması nedeniyle, ihtiyaç duyulmayan kişisel verilerin mevzuata uygun şekilde imha edilmesi gerekmektedir.
3.1.5. Veri İşleyenler ile İlişkilerin Yönetimi
Veri sorumlularının, birtakım ihtiyaçlarını karşılamak adına veri işleyenler yoluyla kişisel veri işlemesi oldukça yaygındır. Ancak bu noktada veri sorumlusunun veri işleyen ile ilişkilerini doğru yönetmesi büyük önem taşımaktadır. Zira veri işleyenler de veri güvenliği tedbirlerin alınmasından müştereken sorumludur. Bu noktada veri işleyen ile yazılı sözleşme yapılması ve sorumluluklarının hüküm altına alınması oldukça faydalı olacaktır.
3.2. Teknik Tedbirler
3.2.1. Siber Güvenlik
Rehber’de öncelikli olarak yer verilen tedbirler, güvenlik duvarı ve ağ geçididir. Çalışanlara sınırlı erişim verilmesi, güçlü parolalar kullanılması, anti-virüs & anti-spam programları kurulması ve internet siteleri için SSL sertifikası temin edilmesi de etkili siber güvenlik önlemlerindendir.
3.2.2. Kişisel Veri Takibi
Kişisel verilerin yer aldığı sistemler içerisindeki giriş-çıkış ve hareketlerin takibi ve kayıt altına alınması, gerek veri ihlallerinin önlenmesi gerekse mevcut veya geçmiş veri ihlallerinin tespiti ve giderilmesi noktasında destek sağlayacaktır. Bu kapsamda sistemlerdeki hareketlere yönelik logların tutulması, sızma testleri gerçekleştirilmesi ve periyodik olarak raporlamalar yapılması önemlidir.
3.2.3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veri içeren elektronik ortamların; şifreleme, sistemin kullanılmaması halinde bir süre sonra kendiliğinden kapanması gibi yöntemlerle korunması mümkün olabilir. Ancak aynı zamanda kişisel veri içeren fiziki ortamların da korunması gerekmektedir. Örneğin bir şirketin insan kaynakları biriminin dokümanlarının korunaklı bir yerde tutulması alınabilecek tedbirlerden biridir. Yine verilerin bulunduğu ortamların çeşitli doğal afetlere karşı sigortalanması sağlanabilir5.
3.2.4. Bulutta Depolama Hali
Kişisel verilerin bulutta depolanması halinde, işbu veriler, veri sorumlusunun bilgi sistemlerinden ayrılmaktadır. Söz konusu veriler, bulut depolama hizmeti sağlayıcıları tarafından işlenmektedir. Bu durum veri güvenliği bakımından risk teşkil etmektedir. Bu nedenle veri sorumlusunun, bulut depolama hizmeti sağlayıcısı seçiminde çok dikkatli olması ve kontrol mekanizmaları geliştirmesi gerekmektedir.
3.2.5. Bilgi Sistemlerinin Tedariği, Geliştirme ve Bakımı
Veri sorumlusu, kişisel verilerin yer aldığı sistemlerin tedariği noktasında özenle hareket etmeli ve tedarikçinin gerekli önlemleri alıp almadığını kontrol etmelidir. Veri sorumlusu söz konusu sistemlerin geliştirme ve bakım aşamalarında da güvenliğinin sağlandığından emin olmalıdır.
3.2.6. Kişisel Verilerin Yedeklenmesi
Kişisel verilerin yedeklenmesi; kişisel verilerin herhangi bir sebeple zarar görmesi, çalınması veya kaybolması gibi hallerde faydalı olacaktır. Veri sorumlusu yedeklenen verileri kullanarak daha büyük zararların doğmasını engelleyebilecektir.
4. Veri Güvenliğine Yönelik Örnek Kararlar Işığında Kurul’un Yaklaşımı
4.1. Yemeksepeti Kararı
Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi (Yemeksepeti) uygulama sunucusu üzerinden gerçekleşen veri sızıntısı sonucu 21.504.083 Yemeksepeti kullanıcısı etkilenmiştir. Kurul, ihlale ilişkin yürüttüğü soruşturma sonucunda, üst limitten 1.900.000 Türk lirası tutarında idari para cezası vermiştir. Kararın özüne baktığımızda dört temel unsurun Kurul’un üst limitten verdiği cezaya dayanak teşkil ettiği görülmektedir: ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu.
Kurul’un bu kararını ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği noktasında yaptığı değerlendirmelere dayandırdığı görülmektedir. Kurul, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağını vurgulamış ve Yemeksepeti tarafından sızıntının 8 gün boyunca fark edilmemiş olmasının kusurun varlığını ortaya koyduğunu belirtmiştir. Kurul kararında sızma testlerinin etkin bir şekilde yapılmamasını da bir eksiklik olarak vurgulamıştır. Yemeksepeti gibi büyük miktarda kişisel veri işleyen bir veri sorumlusunun bu boyutta bir ihlal yaşamasının aynı zamanda mevcut risk ve tehditleri iyi belirlemediğini gösterdiği belirtilmiştir.
4.2. Marriott Kararı
Marriott International Inc’in (Marriott) bildirimi üzerine gerçekleştirilen inceleme sonucu Kurul tarafından Marriott’a hem veri güvenliğine yönelik gerekli tedbirleri almaması hem de en kısa sürede bildirimde bulunmaması nedeniyle idari para cezaları uygulanmıştır.
Somut olayda truva atı saldırısı ile gerçekleşen ihlal dört yıl sürmüş olup Kurul bu durumu çok ciddi bir veri açığı olarak değerlendirilmiştir. Kurul log kayıtlarının varlığına rağmen ihlalin dört yıl boyunca tespit edilememiş olmasını fahiş bir hata olarak değerlendirmiştir. Kurul aynı zamanda ihlalden etkilenen kişilerin tespit dahi edilemeyecek sayıda olmasının da etkisiyle üst sınırdan ceza vermiştir.
SONUÇ
Kişisel verilerin güvenliğinin sağlanması kişisel verilerin korunması hukukunun temel ilkelerinden biri olup bu doğrultuda alınabilecek teknik ve idari tedbirler her bir somut olay özelinde farklılık gösterecektir. Bu nedenle kanun koyucu tarafından söz konusu tedbirlere yönelik sınırlayıcı düzenlemeler yapılmamış olması yerindedir. Ancak GDPR’da yer alan düzenlemelere paralel bir şekilde, sayılanlarla sınırlı olmamak kaydıyla, birtakım tedbirlerin doğrudan mevzuatımızda düzenlenmesi ilgililer için yol gösterici ve faydalı olabilecektir.
KAYNAKÇA
ÇEKİN Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu, İstanbul 2018
ERARSLAN TÜRKMEN Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, On İki Levha Yayıncılık, Eylül 2019
ERTURAN Ela, Veri Sorumlusunun Siber Tehditleri ve İnternet Dolandırıcılığını Önlemek Amacıyla “Başkalarının” Kişisel Verilerini İşlemesinin “Meşru Menfaat” Kapsamında Değerlendirilmesi Meselesi, Prof. Dr. Sabih Arkan’a Armağan, On İki Levha Yayıncılık, Ocak 2019
ÖZCAN Göknil, Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması, On İki Levha Yayıncılık, Ocak 2020
ZOR Abdülhamid, Veri Sorumlusunun Yükümlülükleri ve Bu Yükümlülükleri İhlalinden Doğan Özel Hukuk Sorumluluğu, On İki Levha Yayıncılık, Ekim 2020