Bu yazımızda kişisel veriler ele geçirilirse ne yapmalı sorusuna cevap arayacağız. Müşterilerine, çalışanlarına, hizmet aldığı kişilere ait kişisel verileri işleyen tüm ticari kurumlar, sahip oldukları kişisel verilerin kanuni olmayan yollarla başkalarının eline geçmesi halinde ne yapılması gerektiği merak etmektedir. Bu sorusunun cevabı 6698 sayılı Kişisel Verilerin Korunması Kanununda düzenlenmiştir. Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12/5’in maddesine göre; işletmenin veri sorumlusu en kısa sürede Kişisel Verileri Koruma Kurula ve verisi ihlal edilen kişiye durumu bildirmelidir. Bu bildirim üzerine Kişisel Verileri Koruma Kurulu kendi internet sitesinden ihlali ilan etmektedir. Daha önceki bir yazımınızda, Kadın Doğum uzmanı bir hekimin siber saldırıya uğrayan hasta kayıt programı nedeniyle Kurula yaptığı ihlal bildiriminden bahsetmiştik.
Kişisel Verilerin Ele Geçirildiğine İlişkin “Kariyet.Net” Veri İhlal Bildirimi:
Bu kez internet üzerinden iş bulma ve işe alım süreçleri faaliyetlerini yürüten, insan kaynakları platformundaki bir işletmenin sahip olduğu 50.000’e yakın kişisel verinin, farklı bir siteye aktarıldığını tespit ederek bildiriminde bulunduğunu görmekteyiz. Kariyer.net Elektronik Yayıncılık ve İletişim Hiz. A.Ş’e ait ihlal bildirimi 18. Ağustos 2020’de yayınlanmıştır.
Sonuç olarak;
Kişisel Verilerin Korunması için Alınacak Güvenlik Tedbirleri İşletmenin Yapısına Göre Değişkenlik Gösterir. “Kişisel verileri ele geçirilen işletme ne yapmalı?” sorusunun yasal olarak cevabı; veri sorumlusunun ihlali en kısa sürede ilgilisine ve Kurula bildirmesidir. Ancak veri güvenliğine ilişkin alınacak önlemler ilgili işletmenin yapısına, faaliyet alanına ve barındırdığı risklere göre farklılıklar göstermektedir. Dolayısıyla veri güvenliğine ilişkin tek bir yöntem veya sistem bulunmadığı gibi veri sorumlularının, amaca ve işletmenin yapısına uygun her türlü teknik ve idari tedbirleri alma yükümlülüğü mevcuttur.
02.09.2020
Hanyaloğlu Acar Hukuk Bürosu
AV. Ayşe Gül Hanyaloğlu