İşletmenizde Kişisel Veri İhlali Olduğunda Ne Yapacaksınız?
İşletmenizde saklanan, iletilen veya başka şekilde işlenen kişisel verilerin kazara veya yasadışı yollarla ele geçirilmesine, imhasına, kaybına, değiştirilmesine ya da ifşa edilmesine yol açan güvenlik ihlalleri ile karşılaşabilirsiniz. Kişisel veri ihlali olduğunda yapılması gerekenleri bilmek önemli.
Veri İhlali Olduğunu Saptamak ve Derhal Teknik Müdahaleleri Yapmak
Her türlü önlemleri almış olsanız da hayat bu, asla asla dememeli. Bir ihlal planınız olmalı. Tanımın geniş olmasından da anlaşılabileceği gibi, kişisel veri ihlalleri pek çok şekilde olabilir. Yaygın örnekler; siber saldırıya uğramak, yanlışlıkla gönderilen e-postalar, CV"leri çok uzun süre saklamak, kaybolan bir cep telefonu ya da laptop, kişisel veri ifşa eden bir reklam, bildirim almak istediğini belirtmeyen müşteriye bildirim gönderilmesi...
Hangi verilerin ihlal edilmiş olabileceğini nasıl saptayacaksınız? İhlal yöntemini anlayarak ve veri envanterinizi inceleyerek.
Planınız ilk önce ihlal edildiğini saptadığınız verilere yönelik teknik müdahaleleri içermeli. Örneğin bir siber saldırı durumunda ya da bir cep telefonu veya laptop kaybı saneryosu için, IT sorumlunuz mümkünse cihazı uzaktan devredışı bırakabilmeli, ya da veriler zaten parola korumalı erişim ile korunuyor olmalı. İlgili ise, bankalara haber verilmeli.
Kişisel Veri İhlalinin Sonuçlarını Öngörmek : Risk Analizi
Esasen veri ihlalinin olası sonuçlarına dair risk analizleri; teknik, idari ve hukuki tedbirler kapsamında zaten KVKK uyum sürecinde ihlal gerçekleşmeden önce düzenli olarak yapılageliyor olmalıdır. Eğer önceden yapılmış risk analizleri varsa olası sonuçları saptamak daha kolay olacaktır.
Küçük işletmeler, tek ya da birkaç ortaklı çalışan muayenehaneler, sıkça veri ihlali konusunda saldırılara ya da kazalara hedef olmak için fazla “küçük” olduklarını düşünürler. Oysa küçük işletme, daha kolay hedeftir. İhlalin sonuçlarına karşı daha savunmasız, daha amatör olabilir.
İhlalin kısa vadede sonuçları genelde müşteri şikayetleri, ihlal sebepli başvuran ilgili kişilere cevap verilmesi, işlerin aksaması, kusuru sabit bir şekilde delillendirilen çalışanların iş sözleşmelerinin feshedilmesi ve yeni çalışan istihdamı, veri geridönüşümü için yapılan harcamalar gibidir.
Uzun vadede sonuçlar ise; dolandırılmak, adli soruşturmalar, açılan davalar ve yüksek idari para cezaları ve bunların sonucunda sektörde güven ve itibar zedelenmesi ile müşteri ve iş ortağı kaybı gibi ciddi sorunlar olabiliyor.
İhlal, İlgililere ve Kurula Bildirilmeli
Teknik müdahaleden sonra hukuki gereklilikler var sırada. Kanunun 12/5.maddesine göre; veri sorumlusu, durumu, alınan önlemleri ve ihlalin olası sonuçlarını da açıklayarak hem ilgilisine hem de Kişisel Verileri Koruma Kurulu"na bildirmek zorundadır. Kanunumuzda hangi veri ihlallerinin bildirileceğine dair bir ayrım yok, o yüzden her ihlalin bildirilmesi gerektiği yorumu yapılabilir. Ancak başka bir yaklaşıma göre AB"deki kişisel verileri koruma düzenlemesi olan GDPR"da bir veri ihlalinin temel hak ve özgürlükler bakımından risk yaratması halinde ICO"ya (KVKK"mızı karşılayan kurum), yüksek bir risk yaratması halinde ise ilgili kişiye bildirilmesi gerekli görülmüş olduğundan, GDPR da bizim kanunumuzun kaynağını aldığı düzenleme olduğundan, bizde de böyle bir ayrıma gidilebilir.
Burada şunu düşünmek lazım, uygulamada çok küçük , hatta işletme içinde örneğin departmanlar arasında gerçekleşmiş ve kolay birkaç müdahale ile düzeltilebilecek bir veri ihlalini ilgili kişi olarak bir müşteriye bildirmek ne kadar doğru olur? Böylesine riski çok düşük bir ihlali bildirmek tabiri caizse durgun suyu bulandırmak olabilir, sektörde ticari itibarı sarsabilir ve müşteri kaybına sebebiyet verebilir. Bu anlamda genel bir tavsiye vermek doğru olmaz, ancak işletme yönetimi ve hukukçular ile durum çok iyi incelenmeli, genel anlamda ihlali bildirme eğiliminde olunmalı ancak neticeten somut olaya göre değerlendirme yapılmalıdır. Ceza korkusuyla ihlalleri gizleyen işletmeler bakımından, ihlalin daha sonra bir şekilde saptanması ve incelemeye alınması durumunda Kurum hem ihlali hem de gizlemeyi göz önünde bulundurarak cezayı üst hadden belirlemektedir.
Kurul kararlarına göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kurula, makul olan en kısa süre içerisinde de verisi ihlal edilen ilgili kişilere yapılması gereklidir. Kurula yapılacak bildirimler, Kurulun sitesinde de yer alan kişisel veri ihlali bildirim formu kullanılarak site üzerinden online, e-mail ile ya da iadeli taahhütlü posta yolu ile yapılabilir. İlgili kişilere de KEP, e-mail ya da iadeli taahhütlü posta yoluyla yapılabileceği gibi, eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa veri sorumlusu olan işletmenizin kendi internet sitesi üzerinden ihlale dair duyuru yapılabilir.
Kanunun 18/1-b maddesi uyarınca, ihlalleri bildirmemek de dahil 12. maddede öngörülen yükümlülükleri yerine getirmeyenler hakkında idari para cezası uygulanır. 2021 yılı için miktarlar yaklaşık 30 bin TL ile 2 milyon TL arasında değişmektedir. Bunun haricinde kişilik haklarının ihlal edildiğini iddia eden kişilerin genel hükümlere göre tazminat isteme hakları da vardır.
İhlaller kesin olarak önlenemez. Ama kriz planımızı önceden yaparsak en az hasarla durumu kurtarırız!
Haber Hürriyetindeyiz: İşletmenizde Kişisel Veri İhlali Olduğunda Ne Yapacaksınız?
* İSİMSİZ YORUMLAR YANITLANMAZ.
* Değerli yorumlarınız ve sorularınız onaydan geçtikten sonra yayınlanır ve yanıtlanır. Yorumun aşağıda görünmesi ve altına yanıtın girilmesi birkaç gün sürebilir, ara sıra kontrol ediniz.
* Önemli not: Telefonla soru yanıtlama gibi bir hizmet vermemekteyiz. Whatsapp"tan ya da sosyal medya hesaplarından da danışmanlık vermemekteyiz. Danışmanlık ücreti, doğru yorum ve emeğin karşılığıdır. Yüzyüze görüşmek için randevu alabilirsiniz. İzmir dışında iseniz, ücretli online danışmanlık hakkında sadece bilgi almak için dahi [email protected] "ye mail gönderebilirsiniz. Blog altındaki yorumlarımız genel fikir verme amaçlı olup, olaya özgü danışmanlık değildir. Birkaç defa aynı yönde yanıtlanmış sorular ile tamamiyle aynı sorular sorulduğunda yorumunuz yayınlanmaz.
merhaba, sorum şu olacak. şirketimizde müşterilerden çeşitli kişisel veriler ediniyoruz, bunlardan faydalanarak ancak anonim bir halde anket oluşturup sonuçları reklam yapmak amaçlı tanıtım mecralarında kullansak, veri ihlali oluşturur mu sorun yaratır mı? çok teşekkürler
Merhabalar, Anonim hale getirilmiş veriler kişisel veri niteliğini kaybetmektedir. Kanunda “anonim hale getirme”; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Anonimleştirmeyi doğru şekilde yaparsanız, anket ya da tanıtım oluşturmakta genel bilgiler olarak kullanmanızda hukuki bir sakınca olmaz.
Merhaba, İşverenim tarafından bana iş için temin edilmiş bilgisayarımda kullanmış olduğum Whatsapp Web konuşmaları işveren tarafından arşivlenmiş. İşveren ile maddi anlaşmazlık yaşadığımızda, işveren bu konuşmalarda geçen uyuşturucu madde ile ilgili konuları göstererek beni dava etmekle tehdit etti (Bu konuşmalarda işyeri ile ilgili bir konu yok). Bu konuşmalarda işveren ile ilgili aşağılayıcı bir yazı, direkt işveren ile yapılmış kötü bir konuşma veya iş ortamında huzursuzluk yaratacak bir yazı yok. Ben maddi anlaşmazlıktan dolayı dava açmak isterken, işveren böyle bir delil kullanarak beni zor duruma sokabilir mi ?
Merhaba, çok yönlü ve hassas bir konu , yorum yapmak zor. 1-) Öncelikle, uyuşturucu bir madde ile ilgili herhangi bir konuşma suç oluşması için yeterli değil, konuşma içeriği çok önemli. Hakkınızda bir suç duyurusu yapılırsa, bu sizin tarafınızdan bu içeriğin bir espiri olduğu, ciddi olmadığı iddia edilebilir, içeriği sunup suç duyurusu yapan bunun espiri olmadığını kanıtlamak zorunda, ayrıca savcılık sadece bir whatsapp konuşmasını dava açılmasına yeterli inandırıcı delil olarak görmeyebilir, uyuşturucu kullanma ya da satma konulu dosyalarda tanık ifadeleri, teknik takipler gibi genelde birden fazla delil bulunur. Kaldı ki, diyelim savcı yeterli buldu ve dava açıldı,ceza mahkemelerinde dahi whatsapp konuşmaları doğrudan doğruya tek başına delil olmaz, mahkemeye bir fikir verir ancak yasal anlamda delil niteliği tartışmalıdır. Başınıza ceza anlamında birşey gelmesi içeriğe bağlı, içerik çok detaylı ve suç teşkil edecek bir içerik değilse başınıza birşey gelmez kanaatindeyim. 2-) işveren tarafından iş için temin edilmiş bilgisayar olmasaydı, herhangi bir iş davasında herhangi bir konudaki konuşmaların kullanılamayacağı, konuşmaların işçiye ait kişi,sel cihazdan alınmasının ya da iki kişi arasındaki iletişim olduğu için alınıp orada burada duyurularak kullanılmasının yasadışı olduğuna dair çok karar var, o zaman sorun olmazdı. Ancak işveren tarafından temin edilen cihazda oluşu çok tartışmalı. Bana göre o da kişisel veridir, kullanılamazmalıdır. Ancak en kötü ihtimali düşünelim, bazı mahkemeler bunların işveren tarafından ele geçirilmesini , sunulmasını "işverenin egemenlik ve yönetim hakkı kapsamı" içinde olduğu görüşünde oluyor ve hukuka uygun sayıyor. Eğer mahkeme bu kanaatte olursa, işverenin iş davasında "ben seni haklı sebeple işten çıkardım." diyebilmesi mümkün olur ki haklı sebepten işten çıkarma durumunda işveren bazı maddi alacakları vermek zorunda kalmaz. (Haklı sebep kapsamında olup olmayacağını şu an yorumlamam mümkün değil, tamam iş ile alakalı olmayabilir yazışmalar ancak işveren tarafından kötü niyetli bir senaryo uydurulabilir, sanki siz böyle konuşmaları işverenle yapmak dışında işyerinde arkadaşlarınızla da yapıyormuşsunuz gibi mesela, kötüniyetle hareket edilerek ahlaka aykırılık sebebiyle İş kanunu m.24'e dayanıyoruz ve seni işten çıkarıyoruz diyebilir işveren. Yani kısacası bu yazışmalar ceza hukuku anlamında başınızı yakmayabilir, ancak "seni işte bu yüzden çıkardık" denilerek maddi alacaklarınızı alamamanıza da sebep olabilir.
İşverenim rızamı almadan video kayıt görüntülerimi paylaşabilir mi ? Fabrika ve diğer şubelerinde bünyesinde bulunan tv’lerde 7/24 video kaydımı 3.kişilerle paylaşabilir mi ?
Merhaba Mehmet bey, öncelikle geç yanıt için üzgünüm umarım görürsünüz. İşvereniniz görüntülerinizi aranızdaki bir iş davasında mahkemeye sunabilir, bu hukuka aykırı değil. Ancak mahkeme haricinde üçüncü kişilerle, sosyal medyayla vs paylaşması hukuka aykırıdır. Üçüncü kişilerle bu şekilde görüntülerinizin paylaşıldığından şüpheniz var ise işvereninize bunun kişisel verilerinizin ihlali olduğunu rızanızın olmadığını belirten bir şekilde yazılı olarak ihlal etmelisiniz.. İhlali durdurmaz ise, dava açarak tazminat isteme hakkınız vardır.