Teknik ve İdari Tedbirleri Alma Yükümlülüğü

Aydınlatma yükümlülüğün yerine getirilmemesi, KVKK m. 18’de kabahat olarak nitelendirilmiş ve idari para cezası yaptırımına bağlanmıştır. Buna göre, “KVKK 10.

maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.”

sağlamak zorundadır.

Veri güvenliğine ilişkin önlemlerin alınmaması KVKK m. 18/1/b kapsamında kabahat teşkil eder. Bu hüküm gereği, “KVKK 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” Görüldüğü gibi veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi idari para cezası yaptırımına bağlanmıştır.

Uygulamada ne yazık ki veri güvenliği yükümlülüğünün tam anlamıyla yerine getirildiği söylenememektedir. Bu nedenle Kurul birçok kararında söz konusu yükümlülüğün yerine getirilmemesi sebebiyle veri sorumluları hakkında idari para cezasının uygulanmasına karar vermiştir. Kurul’un “bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında”ki kararında veri güvenliği yükümlülükleri yerine getirilmediğinden veri sorumlusu hakkında idari para cezasına hükmedilmiştir⁴⁸⁵. Yine bir başka Kurul kararına yansıyan somut olayda veri sorumlusu; bir müşterisine, başka bir müşteriye ait faturaları göndermiştir. Söz konusu olayda Kurul, veri sorumlusunun gereken teknik önlemleri almadığını belirterek para cezası yaptırımı uygulanmasına karar vermiştir⁴⁸⁶.

485 Kurul Kararı, 27.01.2020 T., 2020/58 K. https://kvkk.gov.tr/Icerik/6716/2020-58 (E.T.: 02.04.2020). Başka bir Kurul kararında da bankada gerçekleşen veri ihlalinde, veri sorumlusunun teknik ve idari tedbirleri alma yükümlülüğüne riayet etmediği saptanmıştır. Kurul Kararı, 26.11.2019 T., 2019/352 K.

https://kvkk.gov.tr/Icerik/6656/2019-352 (E.T.: 02.04.2020).

486 Kurul Kararı, 07.11.2019 T., 2019/333 K.

https://www.kvkk.gov.tr/Icerik/6712/2019-333 (E.T.: 02.04.2020).

Veri güvenliğinde alınması gereken idari tedbirler kapsamında öncelikle risk ve tehditlerin saptanması gerekmektedir. Bunun yanı sıra çalışanlara veri güvenliği konusunda eğitimler verilmelidir. Çalışanlarda farkındalık yaratılması, sadece dışarıdan gelecek saldırılarla mücadele için değil aynı zamanda kişisel verilerin hukuka aykırı şekilde kullanılmaması için de önem arz etmektedir. Veri sorumluları, veri güvenliğiyle ilgili politikalar hazırlamalı ve bu politikalar çerçevesinde, sistematik bir şekilde, belirli periyotlarda kontrol ve denetimler yapılmalıdır. Kişisel verilerin minimal miktara indirilmesine gayret edilmelidir. Zira kişisel veri sayısı arttıkça güvenlik açısından risk ve tehditler de o oranda artacaktır. Bu nedenle artık gereksinim duyulmayan verilerin imha edilmesi gerekmektedir. Veri sorumluları, veri işleyenlerle birlikte müştereken sorumlu olduklarından; veri sorumluları, veri işleyen tarafından gerekli güvenlik önlemlerinin alındığını kontrol etmelidir. Zira veri işleyenin yeterli önlemleri almaması durumunda veri sorumlusu gereken her türlü önlemi alsa da müştereken sorumluluk gereği sorumluluğu devam edecektir⁴⁸⁷.

Veri güvenliğinde alınması gereken teknik tedbirler kapsamında siber güvenliğin sağlanmasına gayret edilmelidir⁴⁸⁸. Örneğin antivirüs programı yüklenmesi, SSL⁴⁸⁹ sertifikasıyla korumanın sağlanması gibi. Ayrıca kişisel veri hangi ortamda muhafaza

487 Kurum, Veri Güvenliği, s. 8-14.

488 Kurul kararına yansıyan bir olayda veri sorumlusunun sistemine siber saldırı gerçekleştirilmiş ve birtakım kişisel verilere erişilmiştir. Kurul yaptığı inceleme sonucu şirket nezdinde idari ve teknik yetersizlik olduğuna kanaat getirmiştir. Kurul Kararı, 27.08.2019 T., 2019/255 K. https://kvkk.gov.tr/Icerik/5537/2019-255 (E.T.: 02.04.2020).

489 SSL (Secure Sockets Layer) (Güvenli Giriş Katmanı): “Sunucu ile istemci arasında akan veri güvenliğini ve bütünlüğünü mümkün kılan sertifika”dır. Kurum, Veri Güvenliği, s. 4.

ediliyorsa o ortam güvenli tutulmalıdır. Verilerin kağıt, CD gibi fiziksel ortamlarda tutulması durumunda bu ortama girişin sadece belli kişilerde bulunan kartla yapılması örnek olarak verilebilir. “Bulut depolama hizmet sağlayıcıları” ile verilerin saklanması konusunda sözleşme akdedilirse, bu sağlayıcının veri işleyen konumunda olacağından söz ettik. Bu şekilde verilerin bulutta depolanması veri sorumlusu açısından kolaylık sağlasa da bazen güvenlik riski teşkil edebilmektedir. Bu nedenle veri sorumlusu, anlaştığı bulut şirketinin yeterli önlemleri almasına dikkat etmelidir⁴⁹⁰.

Uygulamada sıklıkla karşılaşılan veri güvenliğini tehdit sebebi veri sızıntısıdır.

Veri sızıntısı, 3. kişiler tarafından verilere erişilerek kişilere ait bilgilerin elde edilmesidir.

3. kişiler tarafından yapılan bu erişim genellikle kötü amaçlarla yapılmaktadır. Veri sorumlusu verilerin dışarı sızmasını önlemek için gerekli teknik önlemleri almalıdır.

Buna veri sızıntısını önleme yazılımı olan DLP örnek olarak verilebilir⁴⁹¹. Veri sızıntısı özellikle veri sorumlusu bakımından ekonomik kayba yol açabilir. Bu nedenle veri sorumlusu sızıntıya karşı önlemleri öncelikle kendisi için almalıdır. Daha da önemlisi veri sızıntısı durumunda çok ciddi biçimde temel hak ihlalleri söz konusu olabilir. Söz konusu tehlikelerin en az düzeyde olumsuz sonuca yol açması amacıyla veri sorumluları öncelikle veri ihlalinden etkilenen ilgili kişilere bu ihlali bildirmelidir. Veri sorumluları zararların en alt düzeyde tutulması için ayrıca Kurul’a bildirimde bulunmalıdır⁴⁹². Veri sorumlusunun söz konusu bildirim yükümlülüğü aşağıda ayrıca incelenecektir. Kurul kararlarına yansıyan veri sızıntısının söz konusu olduğu birçok somut olayda veri

490 Kurum, Veri Güvenliği, s. 18-27.

491 Kurum, Veri Güvenliği, s. 5.

492 Küzeci, s. 358-359.

sorumluları gereken önlemleri almadıklarından yaptırımla karşılaşmışlardır⁴⁹³. Kurul’un Facebook hakkında verdiği kararda, sistem hatasından kaynaklı veri ihlali olduğu tespit edilmiştir. Bu hatadan kaynaklı binlerce kullanıcının verilerine yetkisiz erişim sağlanmıştır. Kurul bu nedenle veri güvenliği yükümlülüğünün yerine getirilmediğinden bahisle para cezasına karar vermiştir⁴⁹⁴.

Yine uygulamada sıklıkla karşılaşılan veri güvenliğini ihlal tehlikesi, müşterilerin sıraya girerek vs. toplu olarak bulunduğu ortamda (banko, gişe gibi) kişilerin birbirleriyle ilgili kişisel verileri öğrenmesidir. Örneğin kargo hizmetinin sunulduğu bir şubede bir müşterinin ad, soyad veya T.C. kimlik numarası bilgileri işlenirken başka bir müşterilerin bu bilgileri duyması veri güvenliğinin ihlal edilmesi anlamına gelecektir. Bu nedenle Kurul “banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunmasına yönelik ilke kararı”nı yayınlamıştır⁴⁹⁵. Karara göre, “Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait

493 Kurul Kararı, 27.08.2019 T., 2019/254 K. https://kvkk.gov.tr/Icerik/5535/2019-254 (E.T.: 03.04.2020).

494 Kurul Kararı, 18.09.2019 T., 2019/269 K. https://kvkk.gov.tr/Icerik/5534/2019-269 (E.T.: 03.04.2020).

495 Kurul İlke Kararı, 21.12.2017 T., 2017/62 K.

https://www.kvkk.gov.tr/Icerik/4114/2017-62 (E.T.: 04.04.2020).

kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına karar verilmiştir.” Kurulun bu kararı sıklıkla karşılaşılan ihlallerle ilgili aldığı ilke kararına güzel bir örnektir. Buna göre söz konusu ortamlarda veri sorumlusunun gerekli idari ve teknik önlemleri alması gerekmektedir. Özellikle müşterilerinin birbirlerinin verilerini öğrenmesinin önüne geçilmelidir. Aksi halde veri sorumlusunun Kurul tarafından yaptırımla karşılaşacağı kuşkusuzdur.

Kişisel verilerin veri işleyen tarafından işlenmesi durumunda; yukarıdaki önlemlerin alınmasında veri işleyen ve veri sorumlusu müştereken sorumlu olacaklardır.

Yani veri işleyenlerin de veri güvenliğine ilişkin önlemleri alma yükümlülükleri vardır.

Bu müştereken sorumluluk hali KVKK m. 12/2’de hüküm altına alınmıştır. Buna göre

“Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” Örneğin veri sorumlusu bir limited şirketin bazı belgelerinin, muhasebe şirketi tarafından işlenmesi konusunda anlaşma yapılmış olsun. Bu durumda her iki şirketin de güvenliği sağlamak amacıyla gerekli önlemleri alması gerekmektedir.

Bu nedenle limited şirket, muhasebe şirketi ile beraber müştereken sorumludur⁴⁹⁶.