Avrupa

Madde 29 Veri Koruma Çalışma Grubu’nun 2016/679 Sayılı Tüzük Uyarınca Kişisel Veri Güvenliği İhlali Bildirimine İlişkin Rehberi


 

 

Çeviren:  Aden Cennet Kılıç,

                                                                                  Redaktör: Ahmet Haşim ALAGÜNEY]

MADDE 29 VERİ KORUMA ÇALIŞMA GRUBU

 

18/EN

WP250rev.01

 

2016/679 sayılı Tüzük uyarınca kişisel veri güvenliği ihlali bildirimine ilişkin rehber

 

3 Ekim 2017 tarihinde kabul edilmiştir.

6 Şubat 2018 tarihinde son kez gözden geçirilmiş ve kabul edilmiştir.

 

 

 

 

Bu Çalışma Grubu, 95/46/EC sayılı direktifinin 29’uncu maddesi uyarınca kurulmuştur. Veri korunması ve mahremiyeti üzerine bağımsız bir Avrupa danışma kuruludur. Görevleri 95/46/EC Direktifinin 30. Maddesinde ve 2002/58/EC Direktifinin 15. Maddesinde tanımlanmıştır. Bu Çalışma Grubu, 95/46/EC sayılı direktifinin 29’uncu maddesi uyarınca kurulmuştur. Veri korunması ve mahremiyeti üzerine bağımsız bir Avrupa danışma kuruludur. Görevleri 95/46/EC Direktifinin 30. Maddesinde ve 2002/58/EC Direktifinin 15. Maddesinde tanımlanmıştır.

Çalışma grubunun sekreteryası, Genel Adalet Genel Müdürlüğü, B-1049 Brüksel, Belçika, Ofis No: MO-59 02/013” adresinde faaliyet gösteren Avrupa Komisyonu C Müdürlüğü (Temel Haklar ve Birlik Vatandaşlığı) tarafından sağlanmaktadır.

Web sitesi: http://ec.europa.eu/justice/data-protection/index_en.htm

 

 

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİREYLERİN KORUNMASI HAKKINDA ÇALIŞMA GRUBU

 

Avrupa Parlamentosu ve Konseyi’nin 24 Ekim 1995 tarihli 95/46/EC sayılı Direktifi uyarınca kurulan,

 

Direktifin 29 ve 30. maddelerini göz önünde bulundurarak,

 

Direktifin Usul Kurallarını dikkate alarak,

 

MEVCUT REHBERİ KABUL ETMEKTEDİR:

GİRİŞ

Genel Veri Koruma Tüzüğü (bundan sonra “GVKT” olarak anılacaktır), bir kişisel veri ihlalinin (bundan sonra “ihlal” olarak anılacaktır) yetkili denetleyici makama[1] (veya sınır ötesi bir ihlal söz konusu olursa en yetkili otoriteye) bildirilmesi ve belirli bazı durumlarda ihlalin, bu ihlalden etkilenen kişilere haber verilmesini gerektirmektedir. 

Kamuya açık elektronik iletişim hizmet sağlayıcıları gibi bazı kuruluşlar için ihlal durumunda bildirim yükümlülüğü hâlihazırda mevcuttur (2009/136/EC Direktifi ve (AB) No 611/2013 Yönetmeliği’nde belirtildiği üzere)[2]. Aynı zamanda, kendi ulusal ihlal bildirimi yükümlülüğüne sahip bazı AB üye devletleri de bulunmaktadır. Bu düzenlemeler, kamuya açık elektronik iletişim hizmeti sağlayıcılarına ek olarak Veri Sorumlularının da ihlali bildirim yükümlülüğünü (Örneğin Almanya ve İtalya’da) veya kişisel verilerin ihlali dahil tüm ihlalleri ihbar etme yükümlülüğünü içerebilir (Hollanda’da olduğu gibi). Diğer üye devletleri konuyla ilgili uygulama esaslarına sahip olabilir (Örneğin İrlanda[3]).  Bazı AB Veri koruma otoritelerinin veri sorumlularını yaşanan ihlalleri bildirmesi için teşvik etmesine rağmen, GVKT’nin yerini aldığı 95/46/EC[4] Sayılı Veri Koruma Direktifi, belirli bir ihlal bildirim yükümlülüğü içermemektedir ve bu nedenle böyle bir gereklilik pek çok kuruluş için bir yenilik olacaktır. GVKT, yaşanan ihlalin bireylerin hak ve özgürlüklerine yönelik bir riske yol açma ihtimali olmadığı durumlar hariç, bütün veri sorumlularının ihlali bildirimini zorunlu kılmıştır[5]. Veri işleyenler de önemli bir rol oynamaktadır ve herhangi bir ihlali veri sorumlularına bildirmek zorundalardır[6].

Madde 29 Çalışma Grubu, yeni bildirim yükümlülüğünün birtakım faydaları olduğunu değerlendirmektedir. Veri sorumluları, yetkili makama bildirim yaparken, ihlalden etkilenen bireylerin bilgilendirilmesinin gerekip gerekmediği hakkında tavsiye alabilir. Yetkili makam, veri sorumlularına bireylere ihlal hakkında bildirim yapılması emri de verebilir[7]. İhlalin etkilenenlere veri sorumlusunca bildirilmesi, bireylerin ihlal sonucunda ortaya çıkabilecek riskler ve ihlalin potansiyel sonuçlarından kendilerini korumaları için atabilecekleri adımlar hakkında bilgi verilmesine de olanak sağlar. Herhangi bir ihlal müdahale planının odak noktası, bireyleri ve onların kişisel verilerini korumak olmalıdır. Sonuç olarak, ihlal bildirimi, kişisel verilerin korunmasıyla ilgili uyumu geliştiren için bir araç olarak görülmelidir. Aynı zamanda, bir ihlalin ilgili kişilere veya yetkili makama bildiriminde yaşanacak kusurun, 83. madde kapsamında veri sorumlusuna olası bir yaptırım uygulanabileceği anlamına gelebileceği unutulmamalıdır.

Bu nedenle, veri sorumluları ve veri işleyenler, bir ihlali saptamak ve derhal kontrol altına almak, bireylere yönelik riski değerlendirmek[8], ihlalin ardından yetkili makamı bilgilendirmenin gerekip gerekmediğini belirlemek ve gerektiğinde ilgili kişilere durumu bildirmek için süreçleri önceden planlamaya ve uygulamaya teşvik edilirler. Yetkili makama yapılan bildirim, olay müdahale planının bir bölümünü de oluşturmalıdır.

GVTK, ihlalin ne zaman ve kime bildirileceği ve hangi bilginin bildirimin bir parçası olarak sağlanması gerektiğine dair hükümler içermektedir. Bildirim için gerekli bilgiler aşamalı olarak sağlanabilir ancak her halükârda veri sorumluları ihlal halinde zamanında harekete geçmelidir.

Madde 29 Çalışma Grubu, kişisel veri ihlali bildirimi hakkındaki 03/2014 tarihli görüşünde[9], bir ihlal durumunda veri öznelerine (ilgili kişilere) ihlalin bildirilip bildirilmeyeceği hususunda karar vermelerine yardım etmek için veri sorumlularına rehberlik sağlamıştır. Görüşte, elektronik iletişim hizmeti sağlayıcılarının 2002/58/EC sayılı Direktif ile ilgili yükümlülükleri değerlendirilmiş ve o zamanki taslak hâli ile GVKT bağlamında birden fazla sektörden örnekler verilerek tüm veri sorumluları için doğru uygulamaların ne olduğu ortaya koyulmuştur.

Mevcut Rehber, GVKT’nin zorunlu ihlal bildirimi ve iletişim gerekliliklerini ve veri sorumlusu ve veri işleyenlerin bu yeni yükümlülükleri yerine getirmek için atabilecekleri bazı adımları açıklamaktadır. Aynı zamanda, çeşitli şekillerdeki ihlaller hakkında ve farklı senaryolarda kime bildirim yapılması gerekebileceği ile ilgili de örnekler vermektedir.

 

I-           GVKT’ye göre Kişisel Veri Güvenliği İhlali Bildirimi

A-         Temel Güvenlik Hususları

GVKT’nin gerekliliklerinden biri, uygun teknik ve idari önlemleri alarak, yetkisiz veya yasadışı veri işlenmesi ve kazara kayıp, imha veya hasara karşı korunma durumları dahil, kişisel verilerin uygun seviyede güvenliğini sağlayacak şekilde işleme tabi tutulmasıdır[10].

Bu nedenle, GVKT hem veri sorumlularının hem de veri işleyenlerin, işlenen kişisel verilerin maruz kalabileceği riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve idari tedbiri almasını gerektirmektedir. Veri sorumluları ve işleyenler, gerçek kişilerin hak ve özgürlüklerinin değişen olasılık ve ciddiyet riskinin yanında, teknolojideki son gelişmeleri, uygulamaların maliyetini ve işlemenin kapsamını, bağlamını ve amaçlarını da hesaba katmalıdırlar[11]. Ayrıca GVKT, bir ihlal olup olmadığını ve buna bağlı olarak bildirim yükümlülüğü doğup doğmayacağını belirlemek için tüm uygun teknolojik korumayı ve idari önlemleri uygulamaya koymayı gerektirir[12].

Sonuç olarak, herhangi bir veri güvenliği politikasının temel unsurlarından biri, ihlal durumunda bunu önleyebilmek ve eğer ihlal yine de gerçekleşirse buna zamanında tepki verebilmektir.

B-          Kişisel Veri Güvenliği İhlali Nedir?

1.           Tanım

 

 

“Aktarılan, saklanan veya başka şekilde işlenen kişisel verinin, kazara veya yasaya aykırı şekilde imhasına, kaybına, değiştirilmesine, yetkisiz şekilde açığa çıkarılmasına ya da erişilmesine yol açan bir güvenlik ihlali”

 

Bir ihlali ele alabilmek için, veri sorumlusu ilk olarak bir ihlali teşhis edebilmelidir. GVKT “kişisel veri güvenliği ihlali”ni Madde 4(12)’de şu şekilde tanımlamaktadır:

 

 

Örnek:

Kişisel verinin kaybına bir örnek olarak, veri sorumlusunun müşteri veri tabanının bir kopyasını içeren cihazının çalınması veya kaybolması verilebilir. Kayba başka bir örnek olarak, bir grup kişisel verinin tek kopyasının kötü amaçlı bir yazılımcı tarafından şifrelenmesi veya veri sorumlusu tarafından artık kendi elinde olmayan bir anahtar kullanılarak şifrelenmesi verilebilir.

 

Kişisel verinin imhası ile ne kastedildiği açık olmalıdır: Bu, verinin artık var olmadığı veya veri sorumlusunun kullanabileceği bir şekilde var olmadığı durumdur. “Zarar” kavramı da oldukça açık olmalıdır. Bu durum, kişisel verinin değiştirildiği, bozulduğu veya tam olmadığı hallerde mevcuttur. Kişisel verinin “kaybı”, verinin hâlâ var olabilmesi, ancak veri sorumlusunun erişim üzerinde kontrolünü kaybetmesi veya artık kendi hakimiyetinde bulunmaması şeklinde yorumlanmalıdır. Son olarak, yetkisiz veya hukuka aykırı işleme, kişisel verileri almaya (ya da erişmeye) yetkili olmayan alıcılara ifşasını veya GVKT’yi ihlal eden herhangi bir şekildeki işleme biçimini içerebilir. 

Açık olan şey, veri ihlalinin bir çeşit güvenlik vakası olduğudur. Ancak, Madde 4(12)’de belirtildiği gibi, GVKT sadece kişisel veri güvenliği ihlali durumunda uygulanır. Böyle bir ihlalin sonucu, veri sorumlusunun GVKT’nin 5. maddesinde ana hatlarıyla belirtilen kişisel veri işlemesiyle ilgili ilkelerle uyumu sağlayamayacak olmasıdır. Bu husus, güvenlik vakası ve kişisel veri güvenliği ihlali arasındaki farkı vurgulamaktadır. Esas itibariyle, tüm kişisel veri güvenliği ihlalleri güvenlik vakasıyken, tüm güvenlik vakaları kişisel veri güvenliği ihlali olmak zorunda değildir[13].

Bireylerin verilerin ihlal edilmesinin olumsuz etkileri aşağıda ele alınmıştır.

2.           Kişisel Veri İhlalinin Çeşitleri

Madde 29 Çalışma Grubu, ihlal bildirimi ile ilgili 3/2014 sayılı Görüşünde, ihlallerin herkesçe bilinen aşağıdaki üç bilgi güvenliği ilkesine dayanılarak sınıflandırılabileceğini açıklamıştır[14]:

·     “Gizlilik ihlali”- Kişisel verilerin yetkisiz şekilde veya kazara ifşa edilmesi veya kişisel veriye yetkisiz erişilmesi durumunda mevcuttur.

·     “Bütünlük ihlali”- Kişisel verilerin yetkisiz şekilde veya kazara değiştirilmesi durumunda mevcuttur.

·     “Kullanılabilirlik ihlali”- Kişisel verilere erişimin kazara veya yetkisiz şekilde kaybı[15] veya verinin yok edilmesi durumlarında söz konusudur.

Farklı durumlara bağlı olarak, kişisel veri güvenliğinin ihlali, aynı anda kişisel verinin gizliliğiyle, bütünlüğüyle ve kullanılabilirliğiyle ilgili olabileceği gibi, bu üç durumun çeşitli kombinasyonları şeklinde de olabileceği dikkate alınmalıdır.

Verinin gizliliğinin veya bütünlüğünün ihlali nispeten belirgin olsa da kullanılabilirlik ihlali olup olmadığı daha az belirgin olabilir. Kişisel verilerin kalıcı olarak kaybolduğu veya imha edildiği durumlar her zaman kullanılabilirlik ihlali olarak kabul edilecektir.

Örnek:

Kullanılabilirlik kaybına, verinin kazara veya yetkisiz bir kişi tarafından silindiği veya güvenli bir şekilde şifrelenmiş verinin, şifre çözme anahtarının kaybolduğu durumlar örnek olarak verilebilir.

Veri sorumlusunun, örneğin bir yedekten verilere erişimi yeniden sağlayamadığı durumlar, kullanılabilirliğin kalıcı olarak kaybedilmesi olarak kabul edilir.

Bir kuruluşun normal hizmetinde önemli bir kesinti meydana geldiğinde, örneğin kişisel veriyi ulaşılamaz hale getiren bir elektrik kesintisi ya da hizmeti engelleme saldırısı yaşanması durumunda kullanılabilirlik kaybı meydana gelebilir.

Kişisel verilerin kullanılabilirliğinin geçici olarak kaybedilmesinin bir ihlal olarak sayılıp sayılmayacağı sorusu sorulabilir; eğer sayılacaksa, ilgili kişinin bilgilendirilmesi gerekir. GVKT’nin “işleme güvenliği” başlıklı 32. maddesi, riske uygun bir güvenlik düzeyi sağlamak için teknik ve idari tedbirleri uygularken, diğer şeylerin yanında, “süregelen sistem ve hizmetlerin gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlayabilme yeterliliğinin” ve “fiziki veya teknik bir kaza durumunda kişisel verinin kullanılabilirliğini yeniden sağlamak ve kişisel veriye erişilebilirliği zamanında düzeltebilme yeterliliğinin” göz önünde bulundurulması gerektiğini belirtir.

Bu nedenle, veriye erişimin yetersizliği, gerçek kişilerin hak ve özgürlükleri üzerinde büyük bir etki bırakabileceği için, kişisel verileri bir süreliğine ulaşılamaz hale getiren bir güvenlik kazası da bir tür ihlaldir. Açıklayıcı olması bakımından, planlı sistem bakımı nedeniyle kişisel verinin ulaşılamaz hale geldiği durumlar ise, madde 4(12) de belirtilen “güvenlik ihlali” olarak sayılmaz.

Kişisel verinin kalıcı olarak kaybı veya imhasında (veya herhangi bir ihlal durumunda) olduğu gibi, kullanılabilirliğin geçici olarak kaybına yola açan bir ihlal durumu da madde 33(5)’e göre belgelendirilmelidir. Bu belgeleme, veri sorumlusunun, kayıtlı belgeleri görmek isteyebilecek yetkili makama hesap vermesinde yardımcı olur[16]. Ancak, ihlalin yetkili makama bildirimi ve ihlalden etkilenen kişilerin bilgilendirilmesi, ihlal durumlarına bağlı olarak gerekli olabilir veya olmayabilir. Veri sorumlusunun, kişisel verilerin mevcut olmamasının bir sonucu olarak, gerçek kişilerin hak ve özgürlüklerinin üzerindeki etkisinin olasılığını ve şiddetini değerlendirmesi gerekecektir. Madde 33 uyarınca veri sorumlusu, kişilerin hak ve özgürlüklerinin risk altına girmediği durumlar dışında, ihlali bildirmekle yükümlüdür. Elbette, bu hususun somut olaya göre değerlendirilmesi gerekecektir.

Örnekler:

Bir hastanede, hastaların önemli tıbbi verileri geçici bir süre için olsa bile ulaşılamaz haldeyse, bu durum bireylerin hak ve özgürlüklerini tehlikeye atabilir, örneğin ameliyatlar iptal edilebilir ve kişilerin hayatı risk altına girebilir.

Buna karşılık, medya şirketlerinin servislerinin birkaç saatliğine ulaşılamaz hale gelmesi sonucunda (örneğin güç kesintisine bağlı olarak), üyelerine haber bülteni gönderimini sağlayamamışsa, bu bireylerin hak ve özgürlüklerini tehlikeye atmaz.

 

 

 

Örnek:

Bir fidye yazılımının (Bir fidye ödenene kadar veri sorumlusunun verisini şifreleyen kötü amaçlı yazılım) bulaşması, eğer verilerin yedeğinden yeniden yüklenmesi mümkün ise, geçici bir kullanılabilirlik kaybına yol açabilir. Ancak eğer ağa izinsiz bir giriş meydana gelmiş ve olay gizlilik ihlali (yani saldırgan tarafından kişisel verilere erişilmesi) olarak nitelendiriliyorsa bildirim yapılması gerekebilir ve bu durum, bireylerin hak ve özgürlükleri için tehlike teşkil eder.

 

Bir veri sorumlusunun sistemine erişimin mümkün olmadığı durumların geçici olabileceği ve bireylerin üzerinde etki yaratmayabileceği durumlar olsa da başka nedenlerle de bildirimin gerekli olduğu durumlar söz konusu olabileceği için veri sorumlusunun ihlalin bütün olası sonuçlarını dikkate alması gerektiği not alınmalıdır. 

3.           Kişisel veri ihlalinin olası sonuçları

Bir ihlal, potansiyel olarak bireyler üzerinde, fiziksel, maddi veya manevi zararla sonuçlanabilecek bir dizi çeşitli önemli olumsuz etkiye yol açabilir. GVKT, bu durumun, kişisel veriler üzerinde kontrol kaybını, haklarının kısıtlanmasını, ayrımcılığı, kimlik hırsızlığını veya dolandırıcılığı, mali kaybı, takma ad kullanımının yetkisiz şekilde tersine çevrilmesini, itibarın zarar görmesini ve meslek sırrı olarak korunan kişisel verilerin gizliliğinin kaybını da kapsayabileceğini ifade etmektedir. Ayrıca, bu bireyler için önemli ekonomik veya sosyal dezavantajların meydana gelmesi de bu etkilere dâhil edilebilir[17].

Buna göre, GVKT, veri sorumlusunun, böyle bir etkinin meydana gelme ihtimali olmadığı durumlar hariç, ihlali yetkili düzenleyici makama bildirmesini gerektirmektedir. Bu durumların ortaya çıkma ihtimalinin yüksek olduğu durumlarda, veri sorumlusu GVKT’ye göre, ihlalden etkilenen kişilere makul sürede haber vermekle yükümlüdür[18].

 

 

“Bir kişisel veri ihlalinin olup olmadığını en kısa sürede belirlemek ve denetleme makamına ve ilgiliye derhal bildirmek için bütün uygun teknolojik koruma ve idari tedbirlerin uygulanıp uygulanmadığı tespit edilmelidir. Bildirimin gecikmeksizin yapılması durumu, özellikle kişisel veri güvenliği ihlalinin niteliği ve ciddiyeti, bunun ilgili üzerindeki sonuçları ve olumsuz etkileri dikkate alınarak belirlenmelidir. Bu bildirim, yetkili makamın bu Tüzükte belirtilen görev ve yetkilerine uygun olarak müdahalesiyle sonuçlanabilir.”

 

Bir ihlali tespit edebilmenin, bireyler için riski değerlendirmenin ve gerekliyse bildirmenin önemi, GVKT’nin 87 no’lu Gerekçesi’nde vurgulanmıştır:

Bireyler üzerindeki olumsuz etkilerin değerlendirilmesi ile ilgili hazırlanan diğer rehberler, 4. Bölümde ele alınmıştır.

Veri sorumluları, madde 33 ve 34’teki gereklilikleri yerine getirmiş olsalar bile, yetkili makama veya veri öznelerine veya her ikisine birden bildirim yapmayı ihmal ederse, yetkili makama, 58(2) maddesi kapsamındaki veya tek başına uygun bir idari para cezası verilmesini de içeren tasarrufundaki tüm düzeltici tedbirlerin değerlendirilmesini içermesi gereken bir seçenek sunulur. İdari para cezası seçilirse, bu cezanın miktarı GVKT’nin 83 (4) (a) maddesi uyarınca 10,000,000 Euro’ya ya da teşebbüsün dünya genelindeki yıllık cirosu toplamının %2’sine kadar olabilir. Ayrıca bazı durumlarda, ihlal bildirilmemesi sonucunda mevcut güvenlik önlemlerinin eksikliğinin veya yetersizliğinin ortaya çıkabileceği de unutulmamalıdır.

Madde 29 Çalışma Grubu’nun idari para cezası hakkındaki rehberlerinde görüşü şöyledir: “Herhangi bir somut olayda birkaç farklı ihlalin birlikte ortaya çıkması durumunda, yetkili makam para cezalarını[19], en ağır ihlalin sınırı dahilinde, etkili, orantılı ve caydırıcı şekilde uygulayabilir.” Bu durumda, yetkili makam iki ayrı ihlal söz konusu olduğu için, bir yandan ihlalin bildirilmemesi ya da haber verilmemesi durumuna karşı (madde 33 ve 34) bir yandan da yeterli güvenlik önlemlerinin (madde 32) bulunmamasına karşı yaptırım uygulama olanağına sahip olacaktır. 

 

II.          Madde 33: Yetkili makama bildirim

A.          Bildirimin Zamanı

1.           Madde 33 Gereklilikleri

 

 

Kişisel veri güvenliği ihlali durumunda, veri sorumlusu ihlali gecikmeksizin ve mümkünse öğrenme anından sonra 72 saati geçmeyecek şekilde, bu ihlalin gerçek kişilerin hak ve özgürlüklerini riske atmadığı durumlar hariç, madde 55’e göre yetkili makama bildirir. Bildirim yetkili makama 72 saat içinde yapılmazsa, gecikmenin nedeni de açıklanmalıdır.

 

Madde 33(1) e göre:

 

 

Bir kişisel veri güvenliği ihlalinin meydana gelip gelmediğini derhal saptamak ve yetkili makam ile ilgili kişilere gecikmeden bildirmek için uygun teknolojik koruma ve idari önlemlerin uygulanıp uygulanmadığı soruşturulmalıdır. Bildirimin gecikmeksizin yapılıp yapılmadığı; özellikle kişisel veri güvenliği ihlalinin niteliği ve ciddiyeti, bunun ilgili kişi üzerindeki sonuçları ve olumsuz etkileri dikkate alınarak belirlenmelidir. Bu bildirim, yetkili makamın bu Tüzükte belirtilen görev ve yetkilerine uygun olarak müdahalesiyle sonuçlanabilir.

 

87 no’lu Gerekçe’ye göre[20]:

2.           Veri sorumlusu ihlalin ne zaman “farkında” olur?

Yukarıda ayrıntılı şekilde belirtildiği gibi, GVKT’ye göre, kişisel veri ihlali durumunda, veri sorumlusu gecikmeksizin ve mümkünse haberdar olma anından sonra 72 saati geçmeyecek şekilde ihlali bildirir. Burada ihlalin farkında varma ânının ne zaman olduğu sorusu akla gelebilir. Madde 29 Çalışma Grubu, bir veri sorumlusunun, kişisel verilerin tehlikeye girmesine neden olabilecek bir güvenlik olayı meydana geldiğinden makul derecede eminse, ihlali öğrenmiş sayılacağını değerlendirmektedir.

Ancak, daha önce de belirtildiği gibi, GVKT gereğince veri sorumlusu, bir kişisel veri ihlalinin olup olmadığını en kısa sürede belirlemek ve yetkili makama ve ilgiliye derhal bildirmek için bütün uygun teknolojik koruma ve idari tedbirleri uygulamalıdır. Aynı zamanda GVKT, bildirimin gecikmeksizin yapıldığının, özellikle ihlalin niteliği ve ciddiyeti, bunun ilgili kişi üzerindeki sonuçları ve olumsuz etkileri dikkate alınarak tespit edilmesi gerektiğini belirtmektedir[21]. Bu durum, veri sorumlusuna, uygun müdahaleyi yapabilmek için herhangi bir ihlal durumunu zamanında fark etme yükümlülüğü yüklemektedir. Bir veri sorumlusunun belirli bir ihlalin ne zaman “farkında” olacağının kabulü, söz konusu ihlalin durumuna bağlı olarak değişecektir. Bazı durumlarda ihlalin varlığı dışarıdan bakıldığında anlaşılacak kadar açıktır, ancak bazen kişisel veri güvenliğinin tehlikede olduğunu saptamak zaman alabilir. Bununla birlikte, kişisel verilerin gerçekten ihlal edilip edilmediğine karar vermek için olayın ivedilikle araştırılması ve ihlal

 

Örnekler:

1.   Şifrelenmemiş kişisel veriler içeren bir USB anahtarının kaybolması durumunda, yetkisiz kişinin veriye erişim sağlayıp sağlamadığını tespit etmek genellikle mümkün değildir. Bununla birlikte, veri sorumlusu bir gizlilik ihlali meydana geldiğini tespit edemese bile, erişim ihlali olduğuna dair makul şüphenin varlığı durumunda ihlalin bildirilmesi gerekir, veri sorumlusunun USB anahtarının kaybolduğunu fark ettiği an, “farkında olma” ânı sayılacaktır. 

2.   Üçüncü bir taraf, veri sorumlusuna, kazayla müşterilerinden birinin kişisel verisine eriştiğini bildirebilir ve yetkisiz ifşaya dair kanıt sunabilir. Veri sorumlusuna gizlilik ihlali ile ilgili açık kanıt sunulduğu için, veri sorumlusunun “farkında olduğuna” dair bir şüphe kalmaz. 

3.   Veri sorumlusu, ağına (network) yönelik olası bir saldırı tespit etmiştir. Veri sorumlusu, sistemde tutulan kişisel verilerin tehlikeye atılıp atılmadığını tespit etmek için sistemlerini kontrol eder ve durumun böyle olduğunu onaylar. Bir kez daha, veri sorumlusunun elinde açık kanıt bulunduğu için durumun “farkında” olduğuna dair şüphe yoktur. 

4.   Bir siber suçlu, fidye istemek için sistemine gizlice girdikten sonra veri sorumlusuyla iletişime geçer. Bu durumda, veri sorumlusu sistemin saldırıya uğradığını doğrulamak için sistemi kontrol ettikten sonra ihlalin gerçekleştiğine dair kesin kanıta sahip olacaktır ve ihlalin “farkında” olduğuna dair herhangi bir şüphe olmayacaktır.

 

mevcutsa derhal önlem alınması ve gerekirse bildirilmesi gerektiğinin üzerinde durulmalıdır.

Bir kişi, bir medya kuruluşu veya başka bir kaynak tarafından olası bir ihlalin gerçekleştiğine dair bilgilendirildikten veya güvenlik olayını kendisi tespit ettikten sonra veri sorumlusu, ihlalin gerçekten gerçekleşip gerçekleşmediğini tespit etmek için kısa bir süreliğine soruşturma yürütmeyi üstlenebilir. Soruşturma süresi boyunca veri sorumlusu ihlalin “farkına varmış” sayılmayabilir. Ancak, ön soruşturmanın mümkün olan en kısa sürede başlaması ve bir ihlalin olup olmadığına makul bir kesinlikte karar verilmesi beklenir; daha ayrıntılı bir soruşturmaya sonra devam edilebilir.

Veri sorumlusu ihlalin farkına vardıktan sonra, bildirimi zorunlu olan ihlali gecikme olmaksızın, mümkünse 72 saatten daha geç olmayacak şekilde bildirmesi gerekir. Bu süre zarfında veri sorumlusu, bildirimin gerekli olup olmadığını ve ihlali gidermek için gereken eylemleri belirlemek amacıyla bireyler için olası riski hesaplamalıdır.

Bununla birlikte, veri sorumlusu, Veri Koruma Etki Değerlendirmesi (VKED)[22]nin bir gereği olarak, ihlalden kaynaklanan olası riskleri ilgili işleme operasyonunu gerçekleştirmeden önce değerlendirmiş olabilir. Ancak VKED, fiili bir ihlalin özel durumlarıyla kıyaslandığında biraz daha genel kalabilir, bu yüzden bir olay gerçekleştiğinde, bu durumların dikkate alınarak ek değerlendirmelerin yapılması gerekecektir. Risk değerlendirmesi hakkında daha fazla bilgi için IV. Bölüme bakınız.

 

 

Örnek: 

Bir kişi, veri sorumlusunun hizmetini (fiili) kullanımına ilişkin kişisel verileri içeren, veri sorumlusunu taklit eden bir e-posta aldığını, veri sorumlusunun güvenliğinin tehlikede olduğunu öne sürerek veri sorumlusunu bilgilendirir. Veri sorumlusu, kısa süreli bir araştırma yapar ve ağa izinsiz giriş olduğunu ve kişisel verilere yetkisiz erişim gerçekleştiğini tespit eder. Bu durumda veri sorumlusu “ihlalin farkında olmuş” sayılır ve bireylerin hak ve özgürlükleri üzerinde bir tehlikenin mevcut olmadığı durumlar hariç yetkili makama bildirimle yükümlü hale gelir. Veri sorumlusu ihlali gidermek için derhal uygun şekilde harekete geçmelidir.

 

Çoğu durumda, bu ön eylemler, ilk uyarıdan hemen sonra tamamlanmalı (yani veri sorumlusu veya veri işleyen, kişisel verileri içerebilecek bir güvenlik olayı olduğundan şüphelendiğinde) sadece istisnai durumlarda bundan daha uzun sürmelidir.

Bu nedenle veri sorumlusu, bir ihlali tespit edebilmek ve çözebilmek için iç süreçlere sahip olmalıdır. Örneğin, veri işlenmesindeki bazı düzensizlikleri bulmak için veri sorumlusu veya veri işleyen, log kayıtlarıyla ilişkilendirerek olayları ve uyarıları tanımlamanın mümkün olduğu veri akışı ve log analizi gibi bazı teknik önlemleri kullanabilir[23]. Bir ihlal tespit edildiğinde, ihlalin giderilebilmesi ve gerekirse madde 33 ve madde 34’e göre bildirim yapılabilmesi için uygun yönetim seviyesine kadar rapor edilmesi önemlidir. Bu tür önlemler ve raporlama mekanizmaları, veri sorumlusunun olay müdahale planlarında ve/veya idari düzenlemelerinde detaylandırılabilir. Bunlar, veri sorumlusuna etkili bir şekilde plan yapma ve kuruluş içinde ihlalin üstesinden gelmek için kimin fiili olarak sorumlu olduğunu belirlemede ve daha yetkili bir makama iletilip iletilmeyeceğine veya ne şekilde iletileceğine karar vermede yardımcı olacaktır.

Veri sorumlusunun kullandığı ve kendisine bir ihlal durumunda bildirimde bulunma yükümlülüğü bulunan veri işleyenlerle arasında anlaşma olması önem arz etmektedir (aşağıya bakınız).

Bir ihlali önleyebilmek, müdahale edebilmek ve ele alabilmek için uygun önlemleri almak veri sorumlusunun ve veri işleyenin sorumluluğu altında olsa da her durumda atılması gereken bazı pratik adımlar vardır.

·     Güvenliğe bağlı tüm olaylarla ilgili bilgiler, sorumlu bir kişiye veya olayları ele alma, ihlalin varlığını tespit etme ve riski değerlendirmekle görevli kişilere iletilmelidir.

·     Kuruluşun ilgili bölümleri bilgilendirildikten sonra ihlalin bireyler üzerindeki riski değerlendirilmelidir (risk olmaması, risk veya yüksek risk ihtimali).

·     Gerekirse, yetkili makama ve ihlalden etkilenen bireylere bildirim yapılmalıdır.

·     Aynı zamanda veri sorumlusu, ihlali kontrol altında tutmaya ve gidermeye yönelik hareket etmelidir.

·     İhlal, gerçekleştiği zaman belgelenmelidir.

Veri sorumlusunun herhangi bir ilk uyarıda harekete geçme ve ihlalin gerçekte var olup olmadığını tespit etme yükümlülüğü olduğu açık olmalıdır. Bu kısa zaman dilimi veri sorumlusuna, soruşturma yapma, delilleri ve diğer detayları toplama imkânı verir. Ancak veri sorumlusu bir kere ihlalin gerçekleştiğine makul derecede emin olursa ve madde 33’teki şartlar yerine getirildiyse, artık yetkili makama gecikme olmaksızın ve mümkünse 72 saati geçmeden bildirim yapılmalıdır[24]. Veri sorumlusu zamanında hareket etmez ve ihlalin gerçekleştiği açığa çıkarsa, madde 33’e göre bildirim yükümlülüğünü ihlal etmiş sayılır.

Madde 32 veri sorumlusunun ve veri işleyenin, kişisel veriler için uygun bir güvenlik seviyesi sağlamak amacıyla yerinde teknik ve idari önlemleri alması gerektiğini açıkça ortaya koymaktadır. Bir ihlali zamanında tespit etme, ele alma ve raporlama yeteneği, bu önlemlerin temel unsurları olarak görülmelidir.

3.           Ortak veri sorumluları

Madde 26, ortak veri sorumlularıyla ilgilidir ve ortak veri sorumlularının GVKT’ye[25] uygun olarak kendi sorumluluklarını belirleyeceklerini belirtir. Bu aynı zamanda 33. ve 34. maddeler kapsamındaki yükümlülüklere uyma konusunda hangi tarafın sorumluluk alacağını belirlemeyi de içermektedir.

4.           Veri İşleyenin Yükümlülükleri

Kişisel verinin korunması için bütün sorumluluk veri sorumlusuna aittir, ancak veri sorumlusunun yükümlülüklerini yerine getirebilmesi için veri işleyenin önemli bir rolü vardır ve ihlal bildirimi buna dahildir. Madde 28(3)’e göre veri işleyen tarafından yapılan veri işleme faaliyeti, bir sözleşmeye veya hukuki işleme dayanır. Madde 28(3)f, sözleşmenin veya diğer hukuki işlemin, veri işleyeni, işlenmenin özelliğini ve veri işleyene ulaşan bilgiyi dikkate alarak, madde 32 ve 36’daki yükümlülüklerini yerine getirmesinde veri sorumlusuna yardım etmesini gerektirdiğini belirtir.

Madde 33(2), veri işleyenin veri sorumlusu tarafından kullanılıyor olması ve veri işleyenin, veri sorumlusu adına işlediği kişisel verilerin güvenliğinin ihlalinin farkına varması durumunda, durumu “fazla vakit kaybetmeden” veri sorumlusuna bildirilmesi gerektiğini açıkça belirtir. Veri işleyen, bir ihlalden doğan riskin olasılığını veri sorumlusuna bildirmeden önce değerlendirmek zorunda değildir, bu değerlendirmeyi yapması gereken kişi ihlalin farkına varan veri sorumlusudur. Veri işleyen, sadece ihlalin gerçekleşip gerçekleşmediğini tespit etmeli ve veri sorumlusuna bildirmelidir. Veri sorumlusu, veri işleyeni amaçlarına ulaşmak için kullanır, bu yüzden kural olarak veri sorumlusu, veri işleyen onu ihlalden haberdar ettiğinde, ihlali öğrenmiş sayılır. Veri işleyenin, kendi veri sorumlusuna karşı bildirim yükümlülüğü, veri sorumlusuna, ihlali tespit etme ve madde 33(1)’e göre yetkili makama, madde 34(1)’e göre ihlalden etkilenen bireylere bildirimin gerekli olup olmadığını belirleme imkânı verir. Veri sorumlusu da ihlali soruşturmak isteyebilir çünkü veri işleyen olayla ilgili bütün unsurları bilebilecek bir konumda olmayabilir; örneğin, veri işleyen tarafından yok edilen veya kaybedilen kişisel verilerin bir kopyası veya yedeği hâlâ veri sorumlusunun elinde olabilir. Bu, veri sorumlusunun bildirim yapması gerekip gerekmediğini etkileyebilir.

GVKT, veri işleyene, gecikmeksizin bildirilmesi gereken durumlar hariç, veri sorumlusuna uyarıda bulunması için özel bir zaman sınırlaması öngörmemiştir. Bu yüzden Madde 29 Çalışma Grubu, veri işleyene, zaman içinde ihlal hakkında edinilen daha fazla bilgiyle birlikte, veri sorumlusuna gecikmeden bildirimde bulunmasını önerir. Bu, veri sorumlusuna, 72 saat içinde yetkili makama bildirimde bulunma yükümlülüğünü gerçekleştirmesi için yardımcı olmak bakımından önemlidir.

Yukarıda açıklandığı üzere, veri sorumlusu ve veri işleyen arasındaki anlaşma, GVKT’deki hükümlere ek olarak, madde 33(2)de belirtilen gerekliliklerin nasıl yerine getirilmesi gerektiğini belirtmelidir. Veri sorumlusunun 72 saat içinde yetkili makama rapor verme yükümlülüğünü desteklemek amacıyla veri işleyen tarafından erken bildirim için gereklilikler de buna dahil edilebilir.

Veri işleyenin tek bir olaydan etkilenen birden fazla veri sorumlusuna hizmet sunduğu durumda, veri işleyen olayın detaylarını her bir veri sorumlusuna ayrıca rapor etmelidir.

Veri sorumlusu uygun yetkiyi kendisine verdiyse ve bu durum aralarındaki anlaşmadan kaynaklanan düzenlemelerin bir parçasıysa, veri işleyen veri sorumlusu adına bildirim yapabilir. Bu bildirim, madde 33 ve 34’e uygun şekilde yapılmalıdır. Ancak bildirimin hukuki sorumluluğunun veri sorumlusunda kalmaya devam ettiği unutulmamalıdır.

B.           Yetkili makama bilgi sağlama

1.           Sağlanan Bilgiler

 

 

(a) Kişisel veri güvenliği ihlalinin özelliğini ve mümkünse ilgili veri öznelerinin yaklaşık sayısı ve kategorileri ile ilgili kişisel veri kayıtlarının kategorileri ve yaklaşık sayısını belirtmelidir.

(b) Veri koruma görevlisinin ismi ve iletişim bilgileri veya daha fazla bilgi sağlanabiliyorsa diğer iletişim bilgileri bildirilmelidir.

(C) Veri güvenliği ihlalinin olası sonuçları açıklanmalıdır.

(d)  Uygun durumlarda ihlalin olası olumsuz etkilerini hafifletmek için alınan önlemler de dahil olmak üzere, veri sorumlusu tarafından kişisel veri güvenliği ihlalinden söz edebilmek için alınan veya alınması önerilen önlemler tanımlanmalıdır.

 

Veri sorumlusu yetkili makama ihlal bildiriminde bulunduğunda, madde 33’e göre asgari olarak aşağıdaki bilgiler sağlanmalıdır:

GVKT, veri öznelerini (ilgili kişiler) veya kişisel veri kayıtlarını kategorilere ayırmaz. Ancak Madde 29 Çalışma Grubu, kişisel verileri bir ihlalden etkilenen çeşitli gruplardaki kişilerden bahsedebilmek için veri öznelerinin kategorilere ayrılmasını önerir: Kullanılan tanımlayıcılara bağlı olarak bu kategoriler, diğer grupların yanında çocukları ve diğer savunmasız grupları, engellileri, işçileri veya müşterileri içerebilir. Benzer olarak, kişisel veri kayıtlarının kategorileri, veri sorumlusunun işleme koyabildiği sağlık kayıtlarına, eğitim kayıtlarına, sosyal yardım bilgilerine, finansal detaylara, banka hesap numaralarına, pasaport numarası gibi çeşitli tipteki kayıtlara atıfta bulunabilir.

85 no’lu Gerekçe, bildirimin amaçlarından birinin de bireylerin gördüğü zararın sınırlandırılması olduğunu açıkça ortaya koymaktadır. Buna göre, ihlalin sonucunda ilgili kişi grupları veya kişisel verinin türü belirli bir zarar riski ortaya koyuyorsa (Örneğin kimlik hırsızlığı, dolandırıcılık, finansal kayıp, mesleki sırları tehdit) bildirimin bu kategorileri belirtiyor olması önemlidir. Bu durum, ihlalin olası sonuçlarının belirlenmesi gerekliliği ile bağlantılıdır.

Kesin bilginin bulunmadığı durumlar (Örneğin ihlalden etkilenen ilgili kişilerin tam sayısı) zamanında ihlal bildirimi için bir engel teşkil etmemelidir. GVKT, etkilenen birey sayısının ve ilgili kişisel veri kayıtlarının sayısı hakkında yaklaşık tahminlerin yapılmasına izin verir. Kesin rakamlar vermektense ihlalin olumsuz etkilerinin ele alınmasına odaklanılmalıdır.

Bu yüzden, ihlalin varlığı kesinleştiğinde ancak sınırları henüz bilinmediğinde, aşamalı bildirim (aşağıya bakınız), bildirim yükümlülüğünü yerine getirmek için güvenli bir yoldur.

 

 

Örnek:

Yetkili makama yapılan bildirimin bir parçası olarak, ihlalin asıl sebebi veri işleyen ise ve özellikle de bu durum aynı veri işleyeni kullanan birçok diğer veri sorumlusunun kişisel veri kayıtlarını etkileyen bir olaya yol açarsa, veri sorumlusu onun adını vermeyi gerekli görebilir.

 

Madde 33 (3), veri sorumlusunun bu bilgileri “asgari olarak” bir bildirimle sağlayacağını belirtir, dolayısıyla bir veri sorumlusu gerekirse daha fazla ayrıntı vermeyi seçebilir. Farklı ihlal türleri (gizlilik, bütünlük veya kullanılabilirlik), her bir vakanın durumunu tam olarak açıklamak için daha fazla bilgi sağlanmasını gerektirebilir.

Her olayda, yetkili makam, ihlal ile ilgili soruşturmanın bir parçası olarak daha fazla bilgi talep edebilir.

2.       Aşamalı Bildirim

 

 

“Aynı anda bilgi sağlamanın mümkün olmadığı durumlarda ve sağlanamadığı sürece, daha fazla gecikme olmaksızın aşamalı olarak bilgi sağlanabilir.”

 

İhlalin özelliklerine bağlı olarak, olayla ilgili bütün gerçekleri belirlemek için, veri sorumlusu tarafından daha detaylı bir soruşturma yürütülmesi gerekli olabilir. Bu nedenle madde 33(4) şunu ifade etmektedir:

Bu durum, GVKT’nin, olayın tam ve kapsamlı ayrıntılarının bu ilk zaman diliminde mevcut olmayabileceğinden, veri sorumlusunun ihlalden haberdar olduktan sonraki 72 saat içinde ihlalle ilgili bütün gerekli bilgilere sahip olamayabileceğini kabul ettiği anlamına gelir. Bu nedenle, aşamalı olarak bildirime izin verir. Bu durumun, ihlalin niteliğini ve kişisel verilerin ne ölçüde ihlal edildiğini tam olarak belirlemek için derinlemesine bir adli soruşturma gerekebilecek olan bazı siber güvenlik olayları gibi daha karmaşık ihlallerde ortaya çıkma olasılığı daha fazladır. Sonuç olarak veri sorumlusu çoğu durumda daha fazla araştırma yapmak ve ek bilgilerle olayı takip etmek zorunda kalacaktır. Veri sorumlusunun madde 33(1) uyarınca gecikme için nedenler sunması şartıyla buna izin verilebilir. Madde 29 Çalışma Grubu, veri sorumlusunun yetkili makama ilk bildirimi yaptığında, ihlalle ilgili bütün gerekli bilgilere sahip olmadığı durumlarda yetkili makamı bilgilendirmesini ve devamında daha fazla bilgi sunacağını bildirmesini önerir. Yetkili makam, ek bilgilerin nasıl ve ne zaman sunulacağına dair veri sorumlusuyla anlaşmalıdır. Bu durum, ihlalle ilgili ek detayların farkına varılması durumunda, veri sorumlusunun diğer aşamalarda bilgi sağlamasını engellemez.

Bildirim gerekliliğinin odak noktası, veri sorumlularını ihlal üzerine hızlıca harekete geçmeye, ihlali frenlemeye ve eğer mümkünse gizliliği ihlal edilen kişisel veriyi kurtarmaya ve yetkili makamdan görüş istemeye teşvik etmektir. Yetkili makama 72 saat içinde bildirim yapılması, veri sorumlusuna, ihlali bireylere bildirip bildirmeme kararlarının doğruluğu hakkında emin olma imkânı verir.

Ancak yetkili makama bildirimin amacı, yalnızca etkilenen kişilere bildirim yapılıp yapılmaması hakkında rehberlik sağlanması değildir. Bazı durumlarda, ihlalin özelliği ve riskin ciddiyeti nedeniyle, veri sorumlusunun etkilenen kişilere gecikmeksizin bildirim yapmasının gerekli olduğu açıktır. Örneğin, kimlik hırsızlığına dair ani bir tehdit varsa veya özel nitelikli kişisel veri kategorileri[26] çevrimiçi olarak yayınlanıyorsa, veri sorumlusu ihlali durdurmak ve ilgililere bildirmek için gecikmeksizin harekete geçmelidir (III. bölüme bakınız) İstisnai durumlarda bu, yetkili makama bildirimden önce bile gerçekleşebilir. Daha genel ifade etmek gerekirse, yetkili makama bildirim, gerekli olduğu durumda ilgili kişiye bildirim yapılmaması için bir gerekçe olarak sunulamaz.

 

 

Örnek:

Veri sorumlusu, yetkili makama bazı müşterilerinin kişisel verilerinin bir kopyasını içeren bir USB anahtarının kaybolduğu bir ihlali 72 saat içinde bildirir. Daha sonra USB veri sorumlusunun mülkiyetinde yanlış dosyalanmış halde bulunur ve kurtarılır. Veri sorumlusu, yetkili makamı yeniden bilgilendirir ve yapılan bildirimde değişiklik talep eder.

 

Ön ihlal bildirimi yapıldıktan sonra takip eden bir soruşturma neticesinde güvenliğin korunduğuna ve ihlalin aslında gerçekleşmediğine dair kanıtlar ortaya çıkarsa, veri sorumlusunun yetkili makamı güncel gelişmelerden haberdar edebileceği de açıktır. Böylece bu bilgi yetkili makama önceden verilen bilgilere eklenerek olayın güvenlik ihlali olmadığı kaydedilir. Sonuç olarak bir ihlalin olmadığı ortaya çıkan durumlarda, bir olayı bildirmiş olmanın herhangi bir yaptırımı yoktur.

Aşamalı bildirme yaklaşımının halihazırda 2002/58/EC sayılı Direktif, 611/2013 sayılı Yönetmelik ve diğer bildirilen olayların mevcut yükümlülükleri altında zaten var olduğu belirtilmelidir.

3.           Gecikmiş Bildirimler

Madde 33(1), yetkili makama bildirimin 72 saat içinde yapılmaması durumunda, gecikme nedenlerinin belirtilmesi gerektiğini açıkça belirtir. Buna göre, aşamalı bildirim kavramıyla birlikte veri sorumlusunun o zaman zarfında bir ihlali her zaman bildiremeyebileceği ve gecikmeli bir bildirime izin verilebileceği kabul edilir.

Böyle bir senaryo, örneğin bir veri sorumlusunun kısa süre içinde, çok sayıda ilgili kişiyi aynı şekilde etkileyen birden fazla benzer güvenlik ihlali yaşaması durumunda ortaya çıkabilir. Veri sorumlusu ihlalin farkına varabilir ve soruşturmanın başlangıcı sırasında ve bildirimden önce farklı nedenlerden kaynaklanan benzer ihlalleri tespit edebilir. Şartlara bağlı olarak veri sorumlusunun ihlalin sınırlarını tespit etmesi biraz zaman alabilir ve veri sorumlusu her bir ihlali ayrı ayrı bildirmektense olası farklı nedenleri olan birden fazla benzer ihlali belirten anlamlı bir bildirim düzenler. Bu durum yetkili makama bildirimin, veri sorumlusunun ihlali öğrenmesinden sonra 72 saatten daha uzun sürmesine yol açabilir. Doğrusunu söylemek gerekirse her ihlal rapor edilebilir bir olaydır. Ancak aşırı külfetli olmaktan kaçınmak için veri sorumlusu, nispeten kısa bir süre zarfında aynı şekilde ihlal edilen aynı tür kişisel verilerle ilgili olmak kaydıyla, tüm bu ihlalleri temsil eden bir “torba” bildirim yapabilir. Eğer ihlaller dizisi farklı türlerdeki kişisel verileri ilgilendiren, farklı türdeki ihlallerden oluşuyorsa, bildirim normal şekilde yapılmalıdır, her bir ihlal 33. maddeye uygun şekilde rapor edilmelidir.

GVKT gecikmiş bildirime bir dereceye kadar izin verirken, bu durumun düzenli olarak gerçekleştiği varsayılmamalıdır. 72 saat içinde rapor edilen birden fazla benzer ihlal için de torba bildirim yapılabileceği belirtilmelidir.

 

C.      Sınır Ötesi İhlaller ve AB Dışındaki Kuruluşlarda İhlaller

1.           Sınır Ötesi İhlaller

 

 

“Her yetkili makam bu Tüzük uyarınca kendisine verilen görevlerin yerine getirilmesi ve yetkilerin kullanılması bakımından kendi üye devletinin topraklarında yetkilidir.

 

Kişisel verinin sınır ötesi işlenmesi[27] durumunda, bir ihlal birden fazla üye devletteki ilgili kişileri etkileyebilir. Madde 33(1), bir ihlal meydana geldiğinde, veri sorumlusunun yetkili makama GVKT’nin 55. maddesi uyarınca bildirimde bulunması gerektiğini açıkça belirtir[28]. Madde 55(1)’e göre:

 

 

“Madde 55 hükümlerine halel getirmeksizin ana kuruluşun veya veri sorumlusu veya işleyenin tek kuruluşunun yetkili otoritesi, bu veri sorumlusu veya işleyenin madde 60’ta belirtilen prosedüre göre gerçekleştirdiği sınır ötesi işlemlerde en yüksek yetkili makam olarak hareket etmeye yetkilidir.”

 

Ancak madde 56(1) e göre:

 

 

“En yüksek yetkili makam, o veri sorumlusu veya işleyen tarafından gerçekleştirilen sınır ötesi işleme için veri sorumlusu ve işleyenin tek muhatabı olacaktır.”

 

Buna ek olarak, madde 56(6)’ya göre:

Buna göre ne zaman sınır ötesi işlenme kapsamında bir ihlal meydana gelir ve bildirimde bulunmak gerekirse, veri sorumlusunun en yüksek yetkili makama[29] bildirimde bulunması gerekecektir. Bu yüzden, ihlale müdahale planı hazırlarken, veri sorumlusu hangi yetkili makamın kendisinin bildirim yapması gereken en yüksek yetkili makam olduğunu anlamak için bir değerlendirme yapmalıdır[30]. Bu durum veri sorumlusuna ihlale karşı hızlıca cevap verme ve madde 33’den doğan yükümlülükleri yerine getirme imkânı sağlar. Sınır ötesi işlenmeyi içeren bir ihlal durumunda en yüksek yetkili makama bildirim yapılmalıdır, bu bildirimin veri öznelerinin etkilendiği konumda veya ihlalin gerçekleştiği yerde yapılması şart değildir. En yüksek yetkili makama bildirimde bulunurken veri sorumlusu, uygun olduğu durumlarda ihlalin diğer Üye Devletlerde yer alan kurumları içerip içermediğini ve hangi üye devletlerdeki veri öznelerinin ihlalden etkilenmelerinin mümkün olduğunu belirtmelidir. Veri sorumlusu en yüksek yetkili makamı belirlemede şüpheye düşerse en azından ihlalin gerçekleştiği yerdeki yerel yetkili makama bildirimde bulunmalıdır.

2.      AB Dışı Kuruluşlarda İhlaller

 

 

“Bu Tüzük, Birlik içerisinde yerleşik olmayan bir veri sorumlusu veya veri işleyen tarafından Birlik’te bulunan ilgili kişilerin işlenen kişisel verilerinin aşağıda belirtilen işleme faaliyetleri ilişkili olduğu durumlarda uygulanır:

(a) İlgili kişinin ödeme yapmasının gerekli olup olmadığına bakılmaksızın, birlik içerisindeki bu tür veri öznelerine mal veya hizmetlerin sunulması; veya

(b) Faaliyetler AB’de gerçekleştiği sürece bu faaliyetlerin izlenmesi”.

 

3. madde, AB’de yerleşik olmayan bir veri sorumlusu veya veri işleyen tarafından işlenen kişisel verilere uygulandığı durumları da içeren, GVKT’nin bölgesel kapsamı ile ilgilidir. Özellikle madde 3(2) şunu belirtir[31]:

 

 

“Bu tüzük, Birlik içerisinde yerleşik olmayan ancak Uluslararası hukuk gereğince üye devletin hukukunun uygulanacağı bir yerde bulunan bir veri sorumlusu tarafından kişisel veri işleme faaliyetinde uygulanır.”

 

Madde 3(3) de bu konuyla ilgilidir[32]:

AB’de yerleşik olmayan bir veri sorumlusu madde 3(2) veya madde 3(3)’e tabiyse ve bir ihlalle karşılaşırsa, hala madde 33 ve 34’teki bildirim yükümlülüğü ile bağlıdır. Madde 27, madde 3(2)’nin uygulanacağı durumlarda, veri sorumlusunun (ve veri işleyenin) AB’de bir temsilci tayin etmesini gerektirir. Bu gibi durumlarda, Madde 29 Çalışma Grubu, veri sorumlusunun AB’deki temsilcisi belirlendiğinde, Üye Devletteki yetkili makama bildirim yapılmasını önermektedir[33]. Benzer olarak, bir veri işleyen madde 3(2)’ye tabiyse, veri işleyenlerin üzerindeki yükümlülükler ile bağlı olacaktır, burada özellikle ilişkili olan, madde 33(2)’ye göre veri sorumlusuna ihlali bildirme görevidir.

D.          Bildirimin Gerekli Olmadığı Durumlar

Madde 33(1), “gerçek kişilerin hak ve özgürlüklerini tehlikeye sokacak şekilde sonuçlanma ihtimali olmayan” ihlallerin yetkili makamına bildiriminin gerekli olmadığını açıkça belirtir. Buna örnek olarak, kişisel verinin zaten kamuya açık olduğu ve böyle bir verinin açığa çıkarılmasının kişi için bir tehlike teşkil etmemesi durumu verilebilir. Bu, bütün ilgili ihlallerin yetkili makama bildirilmesi gerektiğini belirten 2009/136/EC sayılı Direktifte yer alan, halka açık elektronik iletişim hizmetleri sağlayıcıları için mevcut ihlal bildirimi gerekliliklerinin aksine bir hükümdür. İhlal bildirimiyle[34] ilgili 03/2014 sayılı Görüşünde Madde 29 Çalışma Grubu, son teknoloji algoritmayla şifrelenmiş bir kişisel veri gizliliği ihlalinin de bir kişisel veri güvenliği ihlali olduğunu ve bildirilmesi gerektiğini bildirmiştir. Anahtarın gizliliği bozulmamış ise, yani anahtar herhangi bir veri güvenliği ihlaliyle tehlike altına girmemiş ve erişime yetkili olmayan herhangi bir kişi tarafından mevcut teknik araçlarla tespit edilemeyecek şekilde üretildiyse veriler kural olarak anlaşılmazdır. Bu yüzden, ihlalin bireyleri olumsuz etkileme ihtimali yoktur ve bu bireylere haber vermek gerekli değildir.[35] Ancak veri şifrelenmiş olsa bile, veri sorumlusunun yeterli yedeği yoksa, bir kayıp veya değiştirme, ilgiler için olumsuz sonuçlara yol açabilir. Bu durumda, verinin kendisi yeterli şifreleme önlemlerine tabi olsa bile, ilgili kişilere bildirim gerekli olabilir.

Madde 29 Çalışma Grubu, eğer kişisel verilere şifrelerde olduğu gibi güvenli bir şekilde hashleme (hashing) ve tuzlama (salting) yapılmışsa, hash değeri son teknoloji kriptografik anahtarlı hash fonksiyonu ile hesaplanmışsa, hash değerinde kullanılan anahtarın gizliliği herhangi bir saldırıda ihlal edilmemişse ve verileri hash etmek için kullanılan anahtar mevcut teknolojik araçlarla herhangi bir kişi tarafından erişilemeyecek şekilde oluşturulmuşsa, bu durumun benzer şekilde olacağını açıklamıştır.

Sonuç olarak, kişisel veriler yetkisiz şahıslara karşı esasen anlaşılmaz hale getirildiği veya verilerin bir kopya veya yedek olarak bulundurulduğu durumlarda, düzgün şekilde şifrelenmiş kişisel veriyi içeren ihlalin denetim makamına bildirim gerekli olmayabilir. Bunun nedeni, böyle bir ihlalin kişilerin hak ve özgürlükleri için bir risk oluşturmasının pek olası olmamasıdır. Bu elbette yüksek risk olmadığından kişilerin bilgilendirilmesinin gerekli olmadığı anlamına gelir. Ancak bireylerin hak ve özgürlüklerinin tehlike altına girme riski bulunmaması halinde başlangıçta bildirim gerekmeyebilirken bu durum zamanla değişebilir ve riskin yeniden değerlendirilmesi gerekebilir. Örneğin, sonradan güvenlik anahtarının ihlal edilmiş olduğu veya şifreleme yazılımında bir güvenlik açığı ortaya çıkarsa bildirim yine de gerekli olabilir.

 

 

Örnek:

Yetkili makama bildirimin gerekli olmadığı bir ihlal, veri sorumlusu ve onun çalışanı tarafından kullanılan güvenli bir şekilde şifrelenmiş bir mobil cihazın kaybı olabilir. Şifreleme anahtarının veri sorumlusunun güvenli hakimiyeti içinde kalması ve bunun kişisel verinin tek kopyası olmaması durumunda, saldırgan kişisel verilere ulaşamayacaktır. Bu, ihlalin söz konusu ilgili kişilerin hak ve özgürlükleri için risk oluşturma olasılığının düşük olduğu anlamına gelir. Eğer daha sonra şifreleme anahtarının tehlike altında olduğu veya şifreleme yazılımı/algoritmasının korunmasız olduğu açığa çıkarsa, gerçek kişilerin hak ve özgürlüklerine karşı tehdit durumu değişecek ve böylece bildirim gerekli hale gelebilecektir.

 

Ayrıca, şifrelenmiş kişisel verinin hiçbir yedeğinin olmadığı bir ihlal durumu varsa, bireyler için risk teşkil eden ve bildirim gerektirebilen bir erişim ihlali meydana gelmiş olacaktır. Benzer olarak, şifrelenmiş verinin kaybını içeren bir ihlal ortaya çıkarsa, kişisel verinin bir yedeği bulunsa bile, veriyi yedekten onarmanın ne kadar uzun zaman alacağına ve erişim eksikliğinin bireyler üzerindeki etkisine bağlı olarak bu durum bildirilmesi gereken bir ihlal olabilir. Madde 31(1)(c)’de belirtildiği gibi, güvenliğin önemli bir faktörü, “Fiziksel veya teknik bir olayda, kişisel verilere erişimi ve kullanılabilirliği zamanında geri yükleme yeteneği”dir.

Ancak, verinin gerçekten güvenli olarak şifrelenmediği bir durumda veri sorumlusunun yetkili makama bildirimde bulunmaması durumunda 33. maddeye aykırılık söz konusu olacaktır. Bu nedenle, veri sorumluları şifreleme yazılımı seçerken sunulan şifrelemenin kalitesini ve doğru bir şekilde uygulanmasını dikkatle ölçmeli ve gerçekte ne düzeyde koruma sağladığını ve bunun sunulan risklere uygun olup olmadığını değerlendirmelidir. Veri sorumluları aynı zamanda şifreleme ürünlerinin nasıl çalıştığına ilişkin ayrıntılara da aşina olmalıdır. Örneğin bir cihaz bekleme modundayken değil, kapatıldıktan sonra şifrelenebilir. Şifrelemeyi kullanan bazı ürünlerin etkili olması için her müşteri tarafından değiştirilmesi gereken “varsayılan şifreler” vardır. Şifreleme aynı zamanda mevcut durumda güvenlik uzmanları tarafından yeterli sayılabilir, ancak birkaç yıl içinde güncelliğini yitirebilir, yani verinin o ürün tarafından etkili şekilde şifrelenmesi ve uygun düzeyde koruma sağlaması sorgulanabilir hale gelir.

 

III.       Madde 34 – İlgili Kişiye Haber Verme

A.          İhlalden Etkilenen Kişileri Bilgilendirme

Bazı durumlarda, yetkili makama yapılan bildirimin yanı sıra ihlalden etkilenen bireylerin de bilgilendirilmesi gerekmektedir.

 

“Kişisel veri güvenliği ihlalinin, gerçek kişilerin hak ve özgürlükleri bakımından yüksek bir tehlikeye girmesiyle sonuçlanma ihtimali varsa, veri sorumlusu ihlalden etkilenen kişileri gecikmeksizin ihlalden haberdar etmelidir.”

Madde 34(1)’e göre:

Veri sorumluları, ihlalin sonucunda bireylerin hak ve özgürlüklerinin tehlike altına girme ihtimalinin olmadığı durumlar hariç, denetim makamına bildirimin zorunlu olduğunu unutmamalıdır. Ek olarak, kişilerin hak ve özgürlüklerinin tehlike altına girme ihtimali yüksekse, bu kişilerin bilgilendirilmesi de zorunludur. Bireylere bildirim eşiği, yetkili makama bildirim eşiğinden daha yüksektir ve bu nedenle bütün ihlallerin veri öznelerine bildirilmesi zorunlu değildir. Böylece kişiler gereksiz bildirim yoğunluğuna karşı da korunmuş olur.

GVKT, ihlalin bireylere bildiriminin gecikmeksizin yapılması gerektiğine işaret eder, bu da bildirimin mümkün olan en kısa sürede yapılması gerektiği anlamına gelir. Bireylere bildirimde bulunmanın asıl hedefi, kendilerini korumak için atmaları gereken adımlar hakkında onlara ayrıntılı bilgi sağlamaktır[36]. Yukarıda belirtildiği gibi, ihlalin özelliğine ve teşkil ettiği tehlikeye bağlı olarak, zamanında bildirim, bireylerin kendilerini ihlalin olumsuz sonuçlarından korumak için adım atmalarında yardımcı olacaktır.

Bu Rehberin B Ekinde, ihlalin bireyler için yüksek risk doğurabileceği durumlar ve sonuç olarak veri sorumlusunun ihlalden etkilenenlere bildirimde bulunmak zorunda kalacağı durumlar için ayrıntılı olmayan bir örnek listesi sunulmuştur.

B.          Sağlanan Bilgiler

 

“Bu maddenin 1. fıkrasında belirtilen ilgili kişilere yapılan bildirim, kişisel veri güvenliği ihlalinin niteliğini açık ve anlaşılır bir dilde betimlemeli ve asgari olarak 33. maddenin b, c ve d bentlerinde belirtilen bilgileri ve önlemleri içermelidir.”

Bireylere bildirim yapılmasıyla ilgili olarak madde 34(2) şu hususları belirtmektedir:

Bu hükme dayanarak, veri sorumlusu asgari olarak aşağıdaki bilgileri sunmalıdır:

·     İhlalin özelliğinin açıklaması,

·     Veri koruma görevlisinin ismi ve iletişim bilgileri veya daha fazla bilgi sağlanabiliyorsa diğer iletişim noktaları,

·     İhlalin olası sonuçlarının açıklaması ve

·     Uygun durumlarda ihlalin olası olumsuz etkilerini hafifletmek için alınan önlemler de dahil olmak üzere, veri sorumlusu tarafından kişisel veri güvenliği ihlalinden söz edebilmek için alınan veya alınması önerilen önlemlerin açıklaması.

İhlali ele almak ve olası olumsuz etkilerini azaltmak için alınan tedbirlere örnek olarak, veri sorumlusunun ihlali yetkili makama bildirmesinden sonra, ihlal ile başa çıkmak ve etkilerini azaltmak için tavsiye aldığını belirtmesi verilebilir. Veri sorumlusu ayrıca, uygun olduğunda bireylere, erişim kimlik bilgilerinin gizliliğin ihlal edilmesi gibi durumlarda parolaların sıfırlanması gibi, ihlalin olası olumsuz sonuçlarından kendilerini korumaları için özel tavsiyeler vermelidir. Veri sorumlusu, burada yapılması gerekli olana ek olarak bilgi sağlamayı seçebilir.

C.          Bireylerle İletişim Kurma

Kural olarak, ilgili ihlal, orantısız bir çaba gerektirmedikçe doğrudan etkilenen ilgili kişilere iletilmelidir. Orantısız çaba gerektiren durumlarda, bunun yerine, ilgili kişilere eşit derecede etkili bir şekilde bilgi verilebilen bir halkla iletişim yöntemi veya benzeri bir önlem bulunacaktır (madde 34(3)c).

İlgili kişilere bir ihlal bildirilirken konuya özel mesajlar kullanılmalı ve bu mesajlar düzenli güncellemeler, bültenler veya standart mesajlar gibi başka bilgilerle birlikte gönderilmemelidir. Bu, ihlal bildiriminin açık ve şeffaf olmasını sağlar.

Şeffaf iletişim yöntemlerinin örnekleri arasında doğrudan mesajlaşma (örneğin, e-posta, SMS, doğrudan mesaj), öne çıkan web sitesi reklamları veya bildirimi, posta iletişimi ve yazılı basında öne çıkan reklamlar sayılabilir. Yalnızca bir basın açıklaması veya kurumsal blog ile sınırlanmış bir bildirim, bir bireye ihlali iletmenin etkili bir yolu olamaz. Madde 29 Çalışma Grubu, veri sorumlularına, etkilenen tüm bireylere bilgileri doğru şekilde iletme şansını en üst düzeye çıkaran bir yöntem seçmesini önerir. Duruma bağlı olarak veri sorumlusu, tek bir iletişim kanalı kullanmak yerine birkaç farklı iletişim yöntemi kullanabilir.

Veri sorumlularının, kişilerin kendilerine sağlanan bilgileri anlamalarını sağlamak için iletişimin uygun alternatif formatlarda ve ilgili dillerde erişilebilir olmasını sağlamaları da gerekebilir. Örneğin bir kişiye bildirim yapılırken, daha önceki işlerin seyri sırasındaki alıcıya yönelik kullanılan dil uygun olacaktır. Bununla birlikte, ihlal, veri sorumlusunun daha önce etkileşimde bulunmadığı bireyleri veya özellikle veri sorumlusunun bulunduğu yerden farklı bir Üye Devlette veya diğer AB üyesi olmayan bir ülkede bulunanları etkiliyorsa, gerekli kaynak dikkate alınarak yerel dilde iletişim kabul edilebilir. Amaç, ilgili kişilerin ihlalin niteliklerini anlamalarını sağlamak ve kendilerini korumalarını sağlayacak adımlar atmalarında yardımcı olmaktır.

Veri sorumluları özellikle müşterileriyle düzenli aralıklarla etkileşime geçtikleri durumlarda, bir ihlal konusunda bireyleri bilgilendirmek için en uygun iletişim kanalını belirleyebilecek konumdadırlar. Elbette veri sorumlusu ihlal sebebiyle tehlike içinde olan bir iletişim kanalı kullanırken dikkatli olmalıdır çünkü bu kanalın da saldırganlardan tarafından veri sorumlusunu taklit ederek kullanılma ihtimali olabilir.

Aynı zamanda 86 no’lu Gerekçe şu açıklamayı yapmaktadır:

“İlgili kişilerle kurulacak iletişim mümkün ve makul olan en kısa sürede ve yetkili makam ile sıkı iş birliği içinde yapılmalı ve yetkili makam yahut kolluk gücü benzeri diğer otoritelerin sağlayacağı rehberlik dikkate alınmalıdır. Örneğin, ani bir zarar ihtimalini hafifletmek ihtiyacı ilgili kişiler ile hızlı bir iletişim gerektirir, buna karşılık devam eden veya benzer nitelikli veri güvenliği ihlallerine karşı uygun önlemleri uygulamak ihtiyacı doğduğu durumlarda bireylerle iletişime geçilme süresinin artması makul karşılanabilir. ”

Bu sebeple veri sorumluları yetkili makamla yalnızca madde 34’e göre ilgili kişileri ihlal hakkında bilgilendirmek için değil aynı zamanda bireylere gönderilecek en uygun mesaj ve en uygun iletişim biçimi hakkında tavsiye almak için de iletişime geçmek ve onlara danışmak isteyebilir.

Buna bağlantılı olarak 88 no’lu Gerekçe’de ihlal bildiriminin nasıl olması gerektiği konusunda şöyle bir tavsiye verilmiştir: “yapılacak erken bir açıklamayla kişisel veri ihlali soruşturmasına gereksiz yere engel olma ihtimali olan durumlarda kolluk gücü otoritelerinin meşru çıkarlarını dikkate alın.” Bu durum, meşru olan ve kolluk gücü makamlarının tavsiyesinin olduğu bazı durumlarda, veri sorumlusunun ihlal konusunda etkilenmiş olan bireyleri bilgilendirmeyi söz konusu soruşturmalara zarar vermeyeceğinin kesinleştiği zamana kadar geciktirebileceği anlamına da gelir. Yine de bu süreden sonra ilgili kişiler ivedilikle bilgilendirilmelidir.

Veri sorumlusunun, ilgili kişiyle iletişim kurmak için yeterli veri bulunmadığından dolayı ihlali bu kişiye bildirmesinin mümkün olmadığı durumlarda, veri sorumlusu makul olarak mümkün olan en kısa sürede ilgili kişiyi bilgilendirmelidir (Örneğin, ilgili kişi 15. maddedeki kişisel verilere erişim hakkını kullandığında ve veri sorumlusuna kendisiyle iletişim kurması için ek bilgi sağladığında).

D.          Bildirimin Gerekli Olmadığı Durumlar

Madde 34(3), ihlal durumunda, üç şartın yerine getirilmesi halinde ilgili kişilere haber vermenin gerekli olmadığını belirtir. Bu şartlar:

·     Veri sorumlusu ihlalden önce verileri korumak için uygun teknik ve idari tedbirleri, özellikle, kişisel verileri, erişim yetkisi olmayan herhangi bir kişiye karşı anlaşılmaz kılan önlemleri almıştır. Örneğin, kişisel veri son teknoloji şifrelemeyle veya tokenizasyonla korunmuş olabilir.

·     Veri sorumlusu, bireylerin hak ve özgürlüklerinin maruz kaldığı yüksek riskin giderilmesini sağlamak için adımlar atmıştır. Örneğin, olayın şartlarına bağlı olarak, veri sorumlusu, veriye henüz bir şey yapılamadan kişisel veriye ulaşan kişinin kimliğini derhal tespit etmiş ve ona karşı harekete geçmiştir. Söz konusu verinin niteliğine bağlı olarak, gizliliğin ihlalinin olası sonuçlarına yine de dikkat edilmelidir.

·     İhlalin sonucunda iletişim bilgileri kaybolduysa ya da ilk etapta bilinemeyecek durumdaysa, kişiyle iletişime geçmek için gereğinden fazla (orantısız) çaba[37] gösterilmesi gerekebilir. Örneğin, bir istatistik ofisinin deposu su basmış ve kişisel verileri içeren belgeler sadece kâğıt üzerinde saklanmış olabilir. Bu durumda, veri sorumlusu halka açık şekilde iletişim kurmalı veya bireylere eşit derecede etkili bir şekilde bilgi verebileceği benzer bir önlem almalıdır. Orantısız çaba durumunda, talep üzerine, ihlalden etkilenebilecek bireyler için yararlı olabilecek ihlale ilişkin bilgi sağlamak için teknik düzenlemeler de öngörülebilir, ancak veri sorumlusu başka türlü iletişime geçemeyecektir.

Hesap verilebilirlik ilkesine göre veri sorumlusu, bu şartlardan birini veya daha fazlasını sağladığını yetkili makama gösterebilmelidir[38]. Gerçek kişilerin hak ve özgürlükleri için bir risk olmadığı durumlarda başlangıçta bildirim gerekmeyebilse de bunun zaman içinde değişebileceği ve riskin yeniden değerlendirilmesi gerektiği akılda tutulmalıdır.

Veri sorumlusu ihlali kişiye haber vermemeye karar verirse, madde 34(4)’e göre yetkili makam, ihlalin bireylerin hak ve özgürlükleri için yüksek bir tehdit oluşturacağını düşünüyorsa, veri sorumlusundan bilgilendirme yapmasını talep edebilir. Ayrıca, 34 (3) maddesinde belirtilen bildirim yapılmasının gerekmediği koşulların oluştuğu düşünülebilir. Yetkili makam, ilgili kişilere haber vermeme kararını dayanaksız görürse, mevcut yetki ve yaptırımlarını kullanmayı düşünebilir.

 

 

IV.    Risk ve yüksek risk değerlendirmesi

A.      Bildirim tetikleyicisi olarak risk

GVKT, ihlal bildirimi yükümlülüğü getirse de her durumda bildirim gerekli değildir:

·     Gerçek kişilerin hak ve özgürlükleri için bir risk ile sonuçlanma ihtimali olmadığı durumlar dışında, yetkili makama bildirim gereklidir.

·     Kişilere ihlalin haber verilmesi, sadece hak ve özgürlüklerinin yüksek risk altında olduğu durumlarda tetiklenmektedir.

Bunun anlamı, veri sorumlusunun ihlalden haberdar olur olmaz ihlali kontrol altına almasının yanı sıra, ihlalden kaynaklanabilecek riski değerlendirmesinin de son derece önemli olmasıdır. Bunun için iki önemli neden vardır: ilk olarak, ihlalin bireyler üzerindeki etkisinin olasılığını ve şiddetini bilmek, veri sorumlusuna ihlali kontrol altında tutmak ve ele almak için etkili adımlar atmasında yardımcı olacaktır; ikinci olarak, yetkili makama ve gerekirse ilgili kişilere bildirimin gerekli olup olmadığına karar vermesinde yardımcı olacaktır.

Yukarıda açıklandığı gibi, gerçek kişilerin hak ve özgürlükleri için bir risk ile sonuçlanma ihtimali olmadığı durumlar haricinde, yetkili makama bildirim gereklidir. İlgili kişilere ihlalin haber verilmesi için gerekli olan anahtar tetikleyici hak ve özgürlüklerinin yüksek risk altında olması halidir. Bu risk, veri güvenliği ihlal edilen kişiler için, ihlalin fiziksel, maddi veya manevi zarara yol açabileceği durumda mevcuttur. Bu zararın örnekleri: ayrımcılık, kimlik hırsızlığı/dolandırıcılığı, ekonomik kayıp veya itibarın zedelenmesidir. İhlal, ırk ve etnik kökeni, politik görüşü, dini veya felsefi inançları, ticaret birliği üyeliğini veya genetik bilgileri, sağlık durumunu veya cinsel hayatı ilgilendiren verileri, cezai mahkumiyeti, suçları veya ilgili güvenlik tedbirlerini içeren verileri içeriyorsa, böyle bir zararın oluşacağı varsayılmalıdır[39]. 

B.          Riski değerlendirilirken dikkat edilmesi gereken faktörler

GVKT’nin 75 ve 76 no’lu Gerekçeleri, genel olarak risk değerlendirmesi yapılırken, veri öznelerinin hak ve özgürlüklerinin maruz kaldığı riskin hem olasılığının hem de şiddetinin dikkate alınması gerektiğini önermektedir. Ayrıca, riskin objektif bir yorumlama temelinde değerlendirilmesi gerektiğini belirtmektedir.

İhlalin bir sonucu olarak insanların hak ve özgürlüklerine yönelik riskin değerlendirilmesinin, VKED’de sayılan riskten farklı bir odak noktası olduğu unutulmamalıdır[40]. VKED, planlandığı gibi gerçekleştirilen veri işleme risklerini ve ihlal durumundaki riskleri göz önünde bulundurmaktadır. Olası bir ihlali değerlendirirken, genel olarak bunun gerçekleşme olasılığına ve veri özneleri üzerinde ortaya çıkabilecek zararlara bakar; başka bir deyişle bu varsayımsal bir olayın değerlendirmesidir. Gerçek bir ihlalde, olay zaten gerçekleşmiştir. Bu yüzden odak noktası tamamen ihlalin kişiler üzerindeki etki riskini sonuçlandırmakla ilgilidir.

Örnek:

Bir VKED, kişisel veriyi korumak için belli bir güvenlik yazılımı ürününün önerilen kullanımının, işlemin kişiler üzerinde açığa çıkarabileceği tehlikeye karşı uygun bir güvenlik seviyesi sağlamak için elverişli bir tedbir olduğunu öne sürer. Ancak bir güvenlik açığı daha sonra öğrenilirse, bu durum yazılımın korunan kişisel veriye karşı ortaya çıkan riski kontrol altına almak için elverişliliğini değiştirebilir ve bu yüzden devam eden VKED’nin bir parçası olarak yeniden değerlendirmeye ihtiyaç duyar.

Üründeki bir güvenlik açığı kötüye kullanılır ve ihlal ortaya çıkar. Veri sorumlusu, riskin açığa çıkma olasılığının ne kadar olduğunun yanı sıra, ihlalin belli durumlarını, etkilenen veriyi, kişiler üzerinde ortaya çıkacak riskin derecesinin ne kadar olabileceğini de değerlendirmelidir.

 Buna göre, ihlalin sonucunda kişiler üzerinde ortaya çıkabilecek riski değerlendirirken veri sorumlusu, olası etkinin şiddeti ve bunun gerçekleşme ihtimali de dahil olmak üzere ihlalin belirli durumlarını göz önünde bulundurmalıdır. Bu yüzden, Madde 29 Çalışma Grubu, değerlendirme yapılırken aşağıdaki ölçütlerin dikkate alınması gerektiğini değerlendirmektedir[41]:

·     İhlalin türü

Meydana gelen ihlalin türü, bireylere yönelik riskin seviyesini etkileyebilir. Örneğin, kişiler için tıbbi bilgilerin yetkisiz kişilere açıklanması şeklinde bir gizliliğin ihlali durumu, kişinin tıbbi bilgilerinin kaybolması ve artık erişilememesi şeklinde bir ihlal durumundan farklı bir dizi sonuç doğurabilir.

·     Kişisel verinin niteliği, hassasiyeti ve hacmi

Elbette, risk değerlendirmesinde kilit nokta, ihlal nedeniyle tehlike altına giren kişisel verinin türü ve hassasiyetidir. Genellikle veri ne kadar hassassa, etkilenen insanların zarar görme riski de o kadar artar ancak ilgili kişi hakkında mevcut olabilecek diğer kişisel verilere de dikkat edilmelidir. Örneğin, sıradan durumlarda bir bireyin adının ve adresinin açıklanmasının ciddi zararlara yol açması muhtemel değildir. Bununla birlikte, evlat edinen bir ebeveynin adı ve adresi biyolojik ebeveynlerine bildirilirse, sonuçlar hem evlat edinen ebeveyn hem de çocuk için çok ciddi olabilir.

Sağlık verileri, kimlik belgeleri veya kredi kartı bilgileri gibi finansal verileri içeren ihlallerin hepsi kendi başlarına zarar verebilir, ancak bu veriler birlikte bulunurlarsa kimlik hırsızlığı için de kullanılabilir. Kişisel verilerin birlikte bulunması durumu genellikle tek bir kişisel veriden daha hassastır*.

Bazı kişisel veri türleri ilk başta göreceli olarak zararsız görünebilir, ancak bu verilerin etkilenen kişi hakkında neleri ortaya çıkarabileceği dikkatlice değerlendirilmelidir. Düzenli olarak teslimat kabul eden müşterilerin listesi hassas nitelikte olmayabilir, ancak teslimatlarının tatil sırasında duraklatılmasını isteyen müşteriler hakkındaki aynı veri, suçlular için işe yarayan bir bilgi olabilir.

Benzer olarak, çok hassas bir verinin küçük bir parçası, ilgili kişi üzerinde büyük bir etki bırakabilir ve geniş bir dizi ayrıntı, ilgili kişi hakkında daha fazla ayrıntı açığa çıkarabilir. Ayrıca, büyük miktarda kişisel veriyi etkileyen bir ihlal, çok sayıda ilgili kişi üzerinde etkili olabilir.

·     Kişilerin Kimlik Tespitinin Kolaylığı

Belirli bireylerin kimliğini tespit etmenin veya kimlik tespiti için veriyi diğer bilgilerle birleştirmenin, gizliliği ihlal edilmiş veriye erişimi olan taraf için ne kadar kolay olacağı, değerlendirilmesi gereken önemli bir faktördür. Koşullara bağlı olarak, bir kişinin kimliğini tespit etmek, özel bir araştırma gerektirmeden, doğrudan ihlal edilen kişisel verilerden elde edilebilir veya kişisel verileri belirli bir kişiyle eşleştirmek çok zor olabilir, ama yine de bazı durumlarda mümkün olabilir. Kimlik, doğrudan ya da dolaylı olarak ihlal edilen veriden tespit edilebilir ancak yine de ihlalin özel durumuna ve ilgili kişisel detayların halka açık olma durumuna bağlı olabilir. Bu durum, gizlilik ve kullanılabilirlik ihlalleri ile daha ilişkili olabilir.

Yukarıda belirtildiği gibi, uygun bir şifreleme seviyesi ile korunan kişisel veriler, şifre çözme anahtarı olmayan yetkisiz kişiler için anlaşılmaz olacaktır. Ek olarak, düzgün bir şekilde uygulanan takma adlandırma (4. maddenin 5. fıkrasında; “ek bilgilerin ayrı şekilde tutulması ve kişisel verinin tanımlanabilir veya tanımlanmış bir gerçek kişiye isnat edilmemesinin sağlanması için teknik ve idari tedbirlere tabi olması şartıyla, kişisel verinin, ek bilgi kullanımı olmadan artık özel bir kişi olarak nitelendirilemeyeceği şekilde işlenmesi” olarak tanımlanmıştır) da ihlal durumunda kişinin kimliğinin tespit edilme olasılığını azaltabilir. Ancak takma adlandırma tedbirlerinin tek başına veriyi öğrenilemez kılma yetisine sahip olduğu söylenemez.

·     Sonuçların bireyler için ciddiyeti

Bir ihlale maruz kalan kişisel verinin türüne bağlı olarak, örneğin özel veri kategorileri, bireyler üzerinde ortaya çıkabilecek hasar, özellikle ihlalin bir hırsızlık veya sahtekarlık, fiziki zarar, psikolojik sıkıntılar, aşağılama veya itibar zedelemesi şeklinde sonuçlandığı durumlarda çok ciddi olabilir. İhlalin savunmasız bireyleri ilgilendiren kişisel verilerle ilişkili olması durumda bu kişiler daha büyük bir zarar riski altındadır.

Veri sorumlusunun, kişisel verinin niyetleri belirsiz olan insanların veya olası kötü niyetli kişilerin elinde olduğunun farkında olup olmaması, potansiyel risk seviyesi üzerinde etkili olabilir. 4(10). maddede tanımlandığı üzere, kişisel verinin üçüncü bir tarafa veya hatalı alıcıya ifşa edildiği gizlilik ihlalleri söz konusu olabilir. Bu durum, örneğin, kişisel verinin yanlışlıkla bir organizasyonun istenenden farklı bir bölümüne veya genellikle kullanılan bir tedarikçi organizasyona gönderilmesi şeklinde meydana gelebilir. Veri sorumlusu alıcıdan iletilen veriyi iade etmesini veya güvenli bir şekilde yok etmesini talep edebilir. Her iki durumda da veri sorumlusunun alıcılarla süregelen bir ilişkisi olduğunu ve onların prosedürlerinin, geçmişlerinin ve diğer ilgili detaylarının farkında olduğunu farz edersek, alıcı güvenilir olarak kabul edilebilir. Bir diğer deyişle, veri sorumlusunun alıcı ile belli seviyede bir güven ilişkisi olduğu için veri sorumlusu makul olarak karşı tarafın hatalı olarak gönderilen veriyi okumamasını/erişmemesini ve iade yönergelerini tamamlamasını bekleyebilir. Veriye erişilmiş dahi olunsa, veri sorumlusu alıcının veriyle ilgili başka bir işlem yapmadan kendisine ivedilikle iade edeceğine ve verilerin kurtarılması için iş birliği yapacağına güvenebilir. Böyle durumlarda, veri sorumlusunun veri ihlalini takiben yapacağı risk değerlendirmeleri etkilenebilir ancak alıcının güvenilir olduğu gerçeği ihlalin sonuçlarının doğuracağı zararı ortadan kaldırmış olsa da bu bir ihlalin ortaya çıktığı gerçeğini değiştirmemektedir. Ancak, bu durum bireylerin maruz kalacağı muhtemel zararı ortadan kaldırabilir, böylece yetkili makama veya etkilenmiş olan bireylere bir bildirim yapılması artık gerekmeyecektir. Yine de bu olaydan olaya değişiklik gösterecektir. Her halükârda veri sorumlusu ihlallerin kaydını tutma genel sorumluluğu altında (aşağıda Bölüm V’e bakınız) ihlalle ilgili bilgileri bulundurmaya devam etmelidir.

Ayrıca etkiler uzun süreliyse, tesirlerin daha büyük görüldüğü durumlarda sonuçların bireyler için kalıcılığı da göz önünde bulundurularak değerlendirme yapılmalıdır.

·     Bireylerin özel karakteristikleri

Bir ihlal, sonuç olarak daha büyük bir tehlike içine girecek olan çocukları veya savunmasız bireyleri ilgilendiren bir kişisel veriyi etkileyebilir. İhlalin söz konusu birey üzerinde farklı etkilerle sonuçlanmasına sebep olacak belli faktörler olabilir.

·     Veri sorumlusunun özel karakteristikleri

İhlalin sonucunun bireyler üzerinde oluşturacağı tehlikenin seviyesi, veri sorumlusunun niteliği, rolü ve aktivitelerine bağlı olarak etkilenebilir. Örneğin, bir tıbbi organizasyonun işlediği kişisel veriler ile bir gazetenin mail listesi kıyaslandığında, tıbbi organizasyon özel nitelikli kişisel veriler işleyeceği için kişisel verilerinin ihlal edilmesi halinde ilgili kişiler için daha büyük bir tehdit söz konusu olacaktır.

·     Etkilenen bireylerin niceliği

İhlaller yalnızca bir ya da birkaç bireyi etkileyebileceği gibi bu sayı birkaç bini ve hatta daha yüksek sayıda bireyi etkileyebilir. Genellikle, etkilenen bireylerin sayısı arttıkça, ihlalin muhtemel tesirleri de artacaktır. Gizliliği ihlal edilen kişisel verinin tarzı ve içeriğine bağlı olarak, ihlalin tek bir birey üzerinde birden fazla etkisi olabilir. Önemli olan nokta etkilenenlerin üzerindeki tesirin olasılığını ve ciddiyetini dikkate almaktır.

·     Genel hususlar

Bu sebeplerle, veri sorumlusu bir ihlalden kaynaklanabilecek tehlikenin ihtimalini değerlendirirken bireylerin hak ve özgürlükleri üzerindeki olası tesirlerin ciddiyeti ve bunların oluşma ihtimallerini de dikkate almalıdır. Elbette, bir ihlalin sonuçları daha ciddi oldukça, tehlike daha yüksek olur ve benzer şekilde bunların oluşma ihtimali arttıkça tehlike de artar. Bir şüphe durumunda, veri sorumlusu uyarı ve bildirim konularında temkinli davranmalıdır. Ek B, bireyler için risk ve yüksek risk taşıyan farklı çeşitteki ihlaller ile ilgili birtakım yararlı örnekler sunmaktadır.

Avrupa Ağ ve Bilgi Güvenliği Ajansı (“ENISA”), veri sorumluları ve veri işleyenler için ihlal yönetimi müdahale planlarını tasarlarken faydalı olabilecek, bir ihlalin ciddiyetini değerlendirme metodolojisi için öneriler üretmiştir[42].

V.      Hesap Verilebilirlik ve Kayıtların Saklanması

A.      İhlallerin Belgelenmesi

Bir ihlalin yetkili makama bildiriminin gerekip gerekmediğine bakılmaksızın, veri sorumlusu 33. maddenin 5. fıkrasında açıklandığı üzere bütün ihlallerin belgelerini saklamak zorundadır:

“Veri sorumlusu, kişisel veri güvenliği ihlali ile ilgili vakaları, ihlalin etkilerini ve alınan önlemleri kapsayacak şekilde bütün kişisel veri güvenliği ihlallerini belgeler. Bu belgeleme, yetkili makamın bu maddeye uygunluğu doğrulamasını sağlayacaktır.”

Bu durum, GVKT madde 5(2)’de bulunan hesap verilebilirlik ilkesi ile bağlantılıdır. Bildirilmesi gereken ihlaller gibi, bildirim gerektirmeyen ihlallerin de kaydedilmesinin amacı, aynı zamanda veri sorumlusunun 24. maddedeki görevleriyle ilgilidir ve yetkili makam bu kayıtları görmek isteyebilir. Bu nedenle veri sorumluları, bildirim gerektirip gerektirmediklerine bakılmaksızın dâhili bir ihlal kaydı oluşturmaya teşvik edilir[43].

Bir ihlal belgelenirken hangi yöntem ve yapının kullanılacağı veri sorumlusuna kalmış olsa da kaydedilebilir bilgiler açısından her olayda uygulanması gereken bazı kilit noktalar bulunmaktadır. Madde 33(5)’te belirtildiği gibi, veri sorumlusu ihlalin nedenlerini, gerçekleşen olayı ve etkilenen kişisel veriyi içeren ayrıntıları kaydetmelidir. Bu kayıt, veri sorumlusu tarafından yapılan düzeltici işlemlerle beraber, ihlalin etkilerini ve sonuçlarını da içermelidir.

GVKT, bu belgeleme için bir saklama süresi öngörmemiştir. Bu kayıtların kişisel veri içermesi durumunda, kişisel verilerin işlenmesi[44] ve işlenmenin hukuki temele dayanmasıyla[45] ilgili ilkeler gereğince uygun saklama süresine karar verme görevi veri sorumlusuna aittir. Madde 33(5) gereğince Yetkili makama delil sunmak için veya daha genel olarak hesap verebilirlik ilkesi gereğince belgeleme işleminin saklanması gerekecektir. Eğer kayıtlar kişisel veri içermiyorsa, GVKT’nin depolama sınırlama ilkesinin[46] uygulanmayacağı açıktır.

Bu detaylara ek olarak, Madde 29 Çalışma Grubu, veri sorumlusunun, ihlale karşı olarak aldığı kararların gerekçelerini de belgelendirmesini önerir. Özellikle ihlal bildirilmediyse, bu kararın gerekçesi belgelenmelidir. Bu gerekçe, veri sorumlusunun, ihlalin neden kişilerin hak ve özgürlüklerinin risk altına girmesiyle sonuçlanma ihtimalinin bulunmadığını düşündüğünü de içermelidir[47]. Alternatif olarak veri sorumlusu, madde 34(3)’teki şartlardan birinin sağlandığını düşünüyorsa, böyle olduğunu gösteren uygun kanıtı sunabilmelidir.

Veri sorumlusu bir ihlali yetkili makama bildirmiş ancak bildirim gecikmişse, bu gecikmenin nedenlerini sunabilmelidir. Bununla ilgili belgelemeler, bildirimdeki gecikmenin haklı olduğunu ve aşırı olmadığını göstermede yardımcı olabilir.

Veri sorumlusu, ihlali etkilenen bireylere haber verirken ihlal hakkında şeffaf olmalı ve etkili biçimde ve zamanında haber vermelidir. Bu tür iletişim delillerinin korunması, veri sorumlusuna hesap verebilirlik ve uyumluluk sağladığını göstermesi bakımından yardımcı olacaktır.

33. ve 34. maddelere uymaya yardımcı olmak için hem veri sorumlularının hem de veri işleyenlerin, riskin nasıl değerlendirileceği ve bildirileceğinin yanı sıra, ihlalin nasıl durdurulacağı, yönetileceği ve düzeltileceğini içeren, bir ihlal tespit edildiğinde izlenmesi gereken süreci belirleyen, belgelendirilmiş bir bildirim prosedürüne sahip olmaları avantajlı olacaktır. Bu bağlamda, GVKT’ye uyumu göstermek için, çalışanların bu tür prosedür ve mekanizmaların varlığı hakkında bilgilendirildiğini ve ihlallere nasıl tepki vereceğini bildiklerini göstermek de yararlı olabilir.

Unutulmamalıdır ki, bir ihlali belgelemede kusur, denetim makamının 58. madde uyarınca yetkilerini kullanmasına veya 83. madde gereğince idari para cezasına hükmetmesine yol açabilir.

B.      Veri Koruma Görevlisinin Rolü

Bir veri sorumlusu veya veri işleyen, 37. madde gereğince veya daha iyi bir uygulama gereğince gönüllü olarak veri koruma görevlisine sahip olabilir (VKG)[48]. GVKT’nin 39. maddesi ile veri koruma görevlisi için bir dizi zorunlu görev getirilmiştir ancak bu düzenlemeler uygun hallerde veri sorumlusu tarafından başka görevler verilmesine engel değildir.

İhlal bildirimi ile ilgili özellikle, VKG’nin diğer görevlerinin yanındaki zorunlu görevleri; veri sorumlusu/işleyene veri koruma ile ilgili tavsiye ve bilgi vermek, GVKT’ye uyumluluğu izlemek ve VKED uyarınca tavsiye vermektir. VKG, aynı zamanda yetkili makam ile iş birliği yapmalı ve veri özneleriyle ve denetim makamıyla iletişim noktası olarak hareket etmelidir. Madde 33(3)(b)’ye göre, yetkili makama ihlal bildirimi yaparken veri sorumlusunun, veri koruma görevlisinin ismini ve iletişim bilgilerini vermesi gerektiği de unutulmamalıdır.

İhlallerin belgelenmesi açısından, veri sorumlusu/işleyen, veri koruma görevlisinin belgenin yapısı, düzenlenmesi ve yönetimi hakkında görüşünü talep edebilir. VKG ayrıca bu tür kayıtları tutmakla da görevlendirilebilir.

Bu faktörler, VKG’nin, tavsiye sağlayarak ve uyumu izleyerek, ihlal sırasında olduğu gibi (örneğin yetkili makama bildirimde) yetkili makam tarafından yapılan bir inceleme sırasında da ihlalin önlenmesine veya ihlale karşı hazırlık yapılmasında yardımcı olmada kilit bir rol oynaması gerektiği anlamına gelmektedir. Bu çerçevede, Madde 29 Çalışma Grubu, VKG’ye ihlalin varlığının derhal bildirilmesini ve onun ihlal yönetimi ve bildirim sürecinde yer almasını önermektedir.

VI.    Diğer hukuki düzenlemelere göre bildirim yükümlülüğü

GVKT’de düzenlenen ihlalin bildirimi ve haber verilmesinden ayrı ve buna ek olarak, veri sorumluları kendileri için geçerli olabilecek ilgili diğer mevzuatlar uyarınca güvenlik olaylarını bildirme zorunluluğu olup olmadığının ve aynı zamanda da bu mevzuatlar uyarınca yapılan bildirimlerin kişisel verilerin korunması ile ilgili yetkili makama bildirmelerini gerektirip gerektirmeyeceğinin farkında olmalıdır. Bu gereklilikler Üye Devletler arasında değişiklik gösterebilir, ancak diğer hukuki düzenlemelerdeki bildirim gerekliliği örnekleri ve bunların GVKT ile nasıl ilişkili olduğu aşağıdaki hususları içermektedir:

·     AB 910/2014 sayılı İç Pazardaki Elektronik İşlemler İçin Elektronik Kimlik Belirleme ve Güven Hizmetleri Tüzüğü (eIDAS Tüzüğü)[49]

eIDAS Tüzüğü’nün 19(2) maddesi, güven hizmeti sağlayıcılarının, sağlanan güven hizmeti veya orada korunan kişisel veri üzerinde önemli bir etkisi olan güvenlik ihlalini veya bütünlüğün bozulması durumunu kendi yetkili organlarına bildirmeleri gerektiğini belirtir. Durum gerektirirse – yani bu ihlal veya veri kaybı aynı zamanda GVKT kapsamında bir kişisel veri güvenliği ihlali ise – güven hizmeti sağlayıcısı, kişisel verilerin korunması ile ilgili yetkili makamı da bildirmelidir.

·     2016/1148 sayılı Birlik İçindeki Ağ ve Güvenlik Sistemleri İçin Yüksek Seviyede Ortak Güvenlik Tedbirlerine İlişkin AB Yönetmeliği (NIS Yönetmeliği)[50]

 

Örnek:

NIS Yönetmeliği uyarınca bir ihlali bildiren bir bulut servis sağlayıcısının, ayrıca kişisel bir veri güvenliği ihlali mevcutsa, ihlali veri sorumlusuna bildirmesi gerekebilir. Benzer olarak, eIDAS uyarınca ihlal durumunda bildirim yapan bir güven hizmeti sağlayıcısının, ilgili veri koruma makamına bildirimde bulunması gerekebilir.

NIS Yönetmeliğinin 14. ve 16. maddeleri, temel hizmet uygulayıcılarının ve dijital hizmet sağlayıcılarının, güvenlik olaylarını kendi yetkili makamlarına bildirmesini gerektirmektedir. NIS’in 63 no’lu Gerekçesi’nde[51] tanımlandığı üzere, güvenlik olayları genellikle kişisel verilerin gizliliğinin ihlal edilmesini içerir. NIS, yetkili ve denetleyici makamların iş birliği yapmasını ve bu bağlamda bilgi alışverişi yapmasını gerektirse de bazı güvenlik olaylarının GVKT’ye göre kişisel veri güvenliği ihlali olduğu veya bu hale geldiği durumlarda, bu uygulayıcıların ve/veya sağlayıcıların NIS kapsamındaki güvenlik olayı bildirim gerekliliğinden ayrı olarak, ihlali kişisel verilerin korunması ile ilgili yetkili makama bildirmeleri gerekecektir.

·     2009/136/AT sayılı Direktif (Vatandaşlık Hakları Direktifi) ve 611/213 sayılı Tüzük (İhlal Bildirimi Tüzüğü).

Halka açık elektronik hizmeti sağlayıcıları, 2002/58/EC[52] sayılı Direktif bağlamında, ihlalleri yetkili ulusal makamlara bildirmek zorundadır.

Veri sorumluları aynı zamanda ilgili düzenlemelerde yer alan diğer hukuki, tıbbi veya mesleki bildirim görevlerinin de farkında olmalıdırlar.

VII.      Ek.

  1. Bildirim gerektiren durumları gösteren şema

Şemayı görüntülemek için ekli dosyayı indiriniz.

B. Kişisel veri güvenliği ihlali örnekleri ve bildirim yapılacak yer

Aşağıda yer alan ayrıntılı olmayan örnekler, veri sorumlusuna farklı kişisel veri güvenliği ihlali durumlarında bildirim yapıp yapmamaları konusunda yardımcı olacaktır. Bu örnekler ayrıca bireylerin hak ve özgürlüklerine yönelik risk ve yüksek risk faktörleri arasında ayrım yapmakta yardımcı olacaktır.

 

Örnek

 

Yetkili makamı bilgilendir

 

İlgili kişiyi bilgilendir

 

Notlar/öneriler

i. Veri sorumlusu, kişisel veri arşivinin bir yedeğini şifreli bir USB belleğe depolamıştır. USB bellek, sisteme zorla girme sırasında ele geçirilmiştir.

Hayır.

Hayır.

Veriler son teknoloji algoritma yöntemi ile şifrelendiği sürece, verilerin yedeklerinin özgül şifresi zarar görmemektedir ve veriler uygun bir zamanda geri getirilebilir. Bu bildirim gerektiren bir ihlal olmayabilir. Ancak veri sonradan zarar görmüş ise bildirim gereklidir.

ii. Veri sorumlusu çevrimiçi bir hizmet vermektedir. Bu hizmete yönelik sanal bir saldırı sonucu, bireylerin kişisel verileri ele geçirilmiştir. Veri sorumlusunun tek bir üye devlette müşterileri bulunmaktadır.

Evet. Durumun bireyler üzerinde olası bir etkisin olma ihtimali var ise yetkili makamı bilgilendir.

Evet. Ele geçirilen verilerin yapısına bağlı olarak, bireyler üzerinde etkilerinin gerçekleşme ihtimali yüksek ise bireyleri bilgilendir.

 

iii. Müşterilerin veri sorumlusuna telefon üzerinden ulaşamamalarıyla ve kendi kayıtlarına erişememeleriyle sonuçlanan, veri sorumlusunun müşteri hizmetleri kısmında gerçekleşen kısa bir elektrik kesintisi.

Hayır.

Hayır.

Bu bildirilmesi gereken bir ihlal değildir fakat Madde 33(5) gereğince kayda değer bir olaydır.

Veri sorumlusu tarafından uygun kayıtların yapılması gerekmektedir.

iv. Veri sorumlusu tüm verinin şifrelenerek ele geçirildiği bir fidye saldırısına maruz kalmıştır. Verilerin herhangi bir yedeği bulunmamaktadır ve veriler geri getirilememektedir.

Soruşturma sonucunda fidyecinin tek yaptığının veriyi şifrelemek olduğu ortaya çıkmıştır ve sistemde herhangi bir kötü amaçlı yazılımın varlığına rastlanmamıştır.

Evet. Bu bir erişim kaybı olduğundan, bireyler üzerinde bir sonuç doğurma ihtimali var ise yetkili makamı bilgilendir.

Evet.  Ele geçirilen bireysel verinin yapısına bağlı olarak ve verinin erişim kaybı üzerinde olası bir etkisinin olma ihtimali ve başka sonuçlar doğurma ihtimali var ise bireyleri bilgilendir.

Herhangi bir yedekleme yapılmış ise ve veri uygun bir zamanda geri getirilebilecek ise, erişimin ve gizliliğin kalıcı bir kaybı yaşanmayacağından bireyleri ve yetkili makamı bilgilendirmeye gerek olmayabilir. Ancak yetkili makam başka bir vesile ile durumdan haberdar olur ise, Madde 32’de bahsi geçen daha geniş çaplı güvenlik gerekliliklerine bağlı olarak soruşturma başlatabilir.

v. Birey veri ihlalini bildirmek üzere bankanın müşteri hizmetleri merkezini arar. Birey bir başkası için aylık değerlendirme raporu almıştır.

Veri sorumlusu, (genellikle 24 saat süren) kısa bir soruşturma üstlenir ve bir kişisel veri ihlalinin gerçekleştiğini ve bu ihlalin diğer bireyleri etkileyip etkilemediği sonucuna varacak sistematik bir kusuru olup olmadığını makul bir güven ile tespit eder.

Evet.

Eğer yüksek risk ihtimali var ise ve diğer bireylerin etkilenmedikleri kesin ise sadece etkilenen bireyler bilgilendirilirler.

Daha ileri bir soruşturma sonucunda daha fazla sayıda bireyin etkilendiği tespit edilirse, yetkili makama güncel bildirim sunulması zorunludur ve diğer bireyler üzerinde yüksek risk var ise, veri sorumlusu onları bilgilendirmek üzere ek bir adım atar.

vi. Veri sorumlusu, birden fazla üye-devlette müşterisi bulunan bir çevrimiçi alışveriş sitesi yönetmektedir. Alışveriş sitesi siber saldırıya maruz kalır ve kullanıcı adları, kullanıcı şifreleri, satın alma geçmişi saldırıyı gerçekleştiren kişi tarafından çevrimiçi olarak yayınlanmıştır.

Evet. Eğer saldırı, uluslararası bir işlem içeriyorsa en yüksek yetkili makamı bilgilendir.

Evet. Büyük bir risk faktörü içerebileceğinden dolayı bilgilendir.

Veri sorumlusu, etkilenen hesapların şifrelerinin yenilenmesini sağlamak gibi riski azaltacak önlemler almalıdır.

Veri sorumlusu aynı zamanda, örneğin NIS Yönetmeliği uyarınca dijital hizmet sağlayıcısı olarak, diğer bildirim sorumluluklarını da dikkate almalıdır.

vii. Veri işleyen olarak görev yapan internet sunucu hizmeti sağlayan bir şirket, kullanıcı yetkilendirmeyi kontrol eden yazılımda hata tespit eder. Tespit edilen hata; herhangi bir kullanıcının başka bir kullanıcının hesap bilgilerine ulaşımını mümkün kılmaktadır.

Veri işleyen olarak internet sunucu hizmeti sağlayan şirket, etkilenen müşterileri (veri sorumlularını) gecikmeksizin bilgilendirmek zorundadır.

İnternet sunucu hizmeti sağlayan şirketin kendi soruşturmasını yürüttüğünü varsayarak, etkilenen veri sorumluları, sunucu hizmeti veren şirket tarafından bilgilendirildikten sonra, her bir veri sorumlusunun ihlale maruz kalıp kalmadığından makul ölçüde emin olmaları ve ihlalden “haberdar oldukları” kabul edilir. Daha sonra veri sorumlusunun yetkili makamı bilgilendirmesi gerekmektedir.

Bireyler üzerinde olası bir yüksek risk faktörü yok ise bilgilendirilmelerine gerek yoktur.

Sunucu hizmeti sağlayan şirket (Veri işleyen) örneğin NIS Yönetmeliği uyarınca dijital hizmet sağlayıcısı olarak, diğer bildirim sorumluluklarını dikkate almalıdır.

Bu güvenlik açığının, kendi veri sorumluları tarafından suistimal edildiğine dair herhangi bir kanıt yok ise bildirilmesi gerek bir ihlal gerçekleşmemiş olabilir ancak Madde 32 hükmünce kaydedilebilir nitelikte olabilir veya uygunsuz bir husus olarak görülebilir.

viii. Siber saldırıya bağlı olarak, hastanenin tıbbi kayıtlarına 30 saatlik bir zaman dilimi boyunca erişim sağlanamamaktadır.

Evet. Hastaların sağlığı ve kayıtların gizliliği üzerinde yüksek risk faktörü taşıdığından, hastane bildirim yapmakla yükümlüdür.

Evet. Etkilenen bireyleri bilgilendir.

 

ix. Yüksek sayıda öğrencinin kişisel verileri yanlışlıkla 1000 üzeri katılımcıya sahip olan bir mail listesine gönderilmiştir.

Evet. Yetkili makamı bilgilendir.

Evet. Söz konusu kişisel verinin tipine ve kapsamına ve olası sonuçların şiddetine bağlı olarak kişileri bilgilendir.

 

x. Bir doğrudan pazarlama maili ‘kime:’ ya da “cc” satırında bulunan alıcılara gönderilmiştir, böylece her alıcının bir diğerinin e-posta adresini görüntülemesine olanak tanınmıştır.

Evet. Eğer çok sayıda birey durumdan etkilenmişse, hassas içerikler açığa çıkmışsa (psikiyatr-hasta kayıtları gibi), diğer yüksek risk faktörleri mevcut ise (gönderilen e-posta belli şifreleri içeriyor ise vb.) yetkili makamı bilgilendirmek bir zorunluluk olabilir.

Evet. Söz konusu kişisel verinin tipine ve kapsamına ve olası sonuçların şiddetine bağlı olarak kişileri bilgilendir.

Eğer özel nitelikli kişisel veri açığa çıkmamışsa ve az sayıda e-posta adresi açığa çıkmışsa bildirim gerekli olmayabilir.

 Buradaki şemayı görüntülemek için ekli dosyayı indiriniz.

Dipnotları görüntülemez için ekli dosyayı indiriniz.

 

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!