KVKK’dan Veri İhlali Bildirimlerinde GDPR’a Uyum Kararı
Ülkemizde kişisel verilerin korunması konusunda yıllarca yasal düzenleme eksikliği ön plandayken, nihayetinde 7 Nisan 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bu eksiklik giderilirken, bu kez de kağıt üzerinde uyum sürecinin devam ettiği AB mevzuatı ile uyum sorunu gündeme gelmişti. Tüm maddeleri itibariyle 2018 yılında yürürlüğe giren 6698 sayılı Kanun’a esas alınan AB kişisel verilerin korunması direktifi yerini 25 Mayıs 2018 tarihinde yürürlüğe giren General Data Protection Regulation’a (GDPR) bırakırken, bizim düzenlememiz daha yürürlüğe girmeden güncelliğini yitirmişti.
Elbette bu noktada, yasanın uygulanması sırasında, yorum yoluyla güncel gelişme ve dinamikleri yaşama geçirmek mümkün, ki olması gereken de bu sanırım. 6698 sayılı Kanun’un pratiğinde de, gerek Kurum yetkilileri gerekse konunun uzmanları bu duruma dikkat çekerek, Kanun uygulamasında GDPR yorum ve ilkelerinin esas alınacağını vurgulamışlardı.
Bu yaklaşımının somut bir örneği, geçtiğimiz günlerde Kurum web sayfasında yayımlanan, Kurul’un kişisel veri ihlali bildirim usul ve esaslarına ilişkin 24.01.2019 tarihli kararda yer aldı.
6698 sayılı Kanun’un 12/5 fıkrasında yer alan “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir” hükmündeki “en kısa sürede” ifadesini, GDPR’da olduğu gibi “72 saat” olarak yorumlayan Kurul, uygulamada standart oluşturulması ve uyumsuzluğa meydan vermemek gerekçesi ile bu yorumu yaptığını vurgulamıştır.
Aynı kararla, veri ihlali bildirimlerinin, Kurum tarafından bu amaçla hazırlanan “kişisel veri ihlali bildirim formu” doldurularak yapılması, form doldurulurken gerekli bilgiler aynı anda sağlanamıyorsa, gecikmeye mahal vermeksizin aşamalı bildirim yapılması, gecikme halinde sebeplerinin Kurum’a açıklanması, gerekli tedbirlerin Kurum denetime açık olacak şekilde belirlenerek uygulanması hususları yer almıştır.
Veri ihlali bildirimi, veri sorumluları açısından büyük önem taşıyor. Veri ihlaline sebep olmak dışında, süresinde Kurum ve ilgilisine bildirimde bulunmamak, ayrıca yaptırımı gerektirir bir fiil olarak tanımlanmış. KVKK uygulaması oturmaya başladıkça, veri ihlali bildirimi örnekleri de çoğalıyor. Son olarak ING Bank tarafından yapılan bildirim oldukça dikkat çekici.
2 Mart 2019 tarihinde KVKK web sayfasında yayımlanan veri ihlali bildirimine konu süreç, Türkiye Bankalar Birliği (TBB) Risk Merkezi tarafından yapılan bir çalışma ile başlıyor. Bir ING Bank çalışanının yapmış olduğu sorguları şüpheli bulan TBB risk birimi, 19 Ekim 2018 tarihinde denetim yapılması isteğiyle durumu bankaya bildirmesi sonrasında Banka tarafından soruşturma başlatılır.
Soruşturma ile ortaya çıkan durum son derece vahim. İlgili personel, yetkisi olmadığı halde, bir şekilde TBB Risk Merkezi web sitesine doğrudan erişim sağlamış, çoğu banka müşterisi olmayan, 1.172 gerçek kişi ticari işletmesine ait çok detaylı kişisel veriler ile tüzel kişilikleri oluşturan 19.055 gerçek kişinin TC kimlik no ile isim bilgilerini banka dışına aktarmıştır.
Yetkisiz personel tarafından erişilen “ticari nitelikli kredi bildirimi ve paylaşımı” (KRM) veri tabanında; sorgu yapılan firmaya ilişkin olarak, Bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorları bilgilerinin yer aldığı ifade edilmiştir.
Açıklamada da belirtildiği üzere, yapılan şüpheli sorgulamalara konu kişi/şirketlerin çoğunluğu ING Bank müşterisi değildir. Buradan da, bu kişilere ait TC kimlik numarası ve vergi numarası bilgilerinin “dışarıdan” temin edildiği sonucuna varılmıştır.
Ortaya çıkan veri ihlali, salt bir bankayı değil, erişilen sistemin Türkiye Bankalar Birliği veri tabanı olması sebebiyle bankacılık sistemini ilgilendirir niteliktedir. Yetkisiz olmasına rağmen, tek bir banka çalışanının bu kadar önemli bir veri tabanına erişiyor olması, son derece düşündürücüdür.
Diğer önemli nokta, veri ihlalinin olası sonuçlarıdır. Yetkisiz banka personelinin davranışı salt iş hukukunu ilgilendirir bir fesihle karşılanamaz. Öncelikle, kişisel verilerine izinsiz erişilen kişiler durumdan haberdar edilmelidir. Bu kişi/kurumların uğradığı zararlardan sorumluluk, teknik çalışmaların sonuçlanmasıyla netleşmek kaydıyla ilgili Banka ve Türkiye Bankalar Birliği’ne ait olacak gibi görünmektedir.
Ötesinde, burada açık bir şekilde Türk Ceza Kanunu madde 135-137’de tanımlanan haller söz konusudur. Açıklamada belirtildiği üzere, banka dışı kaynaklardan ilgili personele, özel bir amaçla verilen bilgiler ile erişilen kişisel verilerin, bir takım kişilere, yasa dışı saiklerle iletildiği açıktır. Yetkisiz banka personelinin bir şekilde iletişim halinde olduğu, bu kişisel verileri hukuk dışı amaçlarla işleyen, bu veri setinden maddi menfaat temin eden kişilerin varlığı açıktır.
Bu veri ihlali bildirimi, ciddi veri işleme faaliyeti içerisinde olan veri sorumlularının karşı karşıya olduğu riskleri bir kez daha göz önüne sermiştir. İnsan unsurunun olduğu her yerde bu tür riskler vardır, bu nedenle veri sorumluları mümkün olan teknik ve idari önlemlerle bu sızıntıları asgariye indirmekle yükümlüdür. Her koşulda KVKK’nun yol gösterici, düzenleyici ve öğretici bir tutum içerisinde olması büyük önem taşımaktadır, geçiş sürecinin iyi bir şekilde atlatılmasında.