Veri İhlali Bildiriminde “Açık ve Sade” Dil Zorunluluğu: 2019/271 Sayılı Karar Analizi
Kişisel verilerin sızması durumunda, veri sorumlusunun en kritik ödevlerinden biri olan “İlgili Kişiye Bildirim” süreci, sadece bir form doldurmaktan ibaret değildir. KVKK Kurulu, 18.09.2019 tarihli ve 2019/271 sayılı kararı ile mağdur olan vatandaşa yapılacak bildirimin içeriğini ve dilini standartlaştırmıştır. Bu karar, ihlalin şeffaf bir şekilde yönetilmesini ve ilgili kişinin kendi güvenliği için önlem alabilmesini amaçlar.
İlgili Kişiye Bildirimin Amacı Nedir?
İhlal bildiriminin temel amacı, verisi çalınan veya sızan kişinin, bu durumdan kaynaklanabilecek olumsuz sonuçları (kimlik hırsızlığı, dolandırıcılık, itibar kaybı vb.) en aza indirmesini sağlayacak tedbirleri almasına imkan tanımaktır.
Bildirimde Yer Alması Gereken Asgari Unsurlar
Kurul kararına göre, veri sorumlusu tarafından hazırlanan bildirim metni açık ve sade bir dille yazılmalı ve mutlaka şu 5 unsuru içermelidir:
- İhlal Zamanı: Veri sızıntısının tam olarak ne zaman gerçekleştiği.
- Veri Kategorileri: Hangi verilerin etkilendiği (Ad-soyad gibi genel veriler mi yoksa sağlık verisi gibi özel nitelikli veriler mi olduğu açıkça belirtilmeli).
- Olası Sonuçlar: İhlal nedeniyle kişinin başına neler gelebileceğine dair değerlendirme.
- Alınan/Önerilen Tedbirler: Şirketin ihlali durdurmak için ne yaptığı ve kullanıcının kendi güvenliği için ne yapması gerektiği (Şifre değiştirme, kredi kartı bloke etme vb.).
- İrtibat Kanalları: İlgili kişinin detaylı bilgi alabileceği irtibat kişisi, çağrı merkezi veya özel web sayfasının iletişim bilgileri.
Bildirim Yöntemi Nasıl Olmalı?
2019/10 sayılı karara da atıfta bulunan bu düzenleme uyarınca;
- İletişim adresi biliniyorsa doğrudan (e-posta, SMS vb.) bildirim yapılmalıdır.
- İletişim adresi bilinmiyorsa veya doğrudan bildirim imkansızsa, veri sorumlusunun web sitesi üzerinden ilan gibi uygun yöntemler tercih edilmelidir.
Özgür Eralp Perspektifi: “Panik Değil, Şeffaflık Kazandırır”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde ve yönettiğimiz veri ihlali süreçlerinde gördük ki; kurumlar genellikle “itibar kaybı” korkusuyla bildirimleri teknik terimlere boğarak veya geçiştirerek yapma eğilimindedir. Ancak 2019/271 sayılı karar, bu “kapalı kapılar ardında yönetim” tarzını yasaklamaktadır.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Vatandaşa “Verileriniz teknik bir aksaklık nedeniyle erişime açılmıştır” demek yerine, Kurulun istediği netlikte “Şu tarihte kredi kartı bilgileriniz yetkisiz kişilerce ele geçirilmiştir” demek zorundasınız. Gerçekten şeffaf ve sade bir dille yapılan bildirim, hem Kurul nezdinde iyi niyet göstergesidir hem de olası tazminat davalarında “zararı azaltma borcunu” yerine getirdiğinizin kanıtıdır.
Sıkça Sorulan Sorular
1. Şirket ihlali bildirdi ama dili çok karmaşık, ne yapabilirim?
Kurul kararı bildirimin “açık ve sade” olmasını şart koşar. Eğer size gelen bildirimden hangi verilerinizin çalındığını anlamıyorsanız, bu durum usule aykırıdır; Kurul’a şikayette bulunabilirsiniz.
2. Bildirimde iletişim bilgisi verilmesi neden zorunlu?
İlgili kişinin, çalınan verisiyle ilgili daha detaylı sorular sorma ve Kanun’un 11. maddesindeki haklarını kullanma imkanı olması gerekir. Sadece bir metin yayımlayıp iletişim kanalı sunmamak ihlaldir.
3. “Olası sonuçlar” kısmına ne yazılmalı?
Örneğin, telefon numaranız sızdıysa “Dolandırıcılık amaçlı aramalar alabilirsiniz” veya şifreleriniz sızdıysa “Hesaplarınıza yetkisiz giriş denemeleri yapılabilir” gibi somut uyarılar yer almalıdır.
4. Bildirim yapılmazsa cezası nedir?
Veri ihlal bildirim yükümlülüğüne (hem Kurula hem ilgili kişiye) aykırılık, KVKK Madde 18 kapsamında yüksek tutarlı idari para cezaları ile yaptırıma bağlanmıştır.
5. İhlalden etkilenen kişileri belirlemeden bildirim yapılabilir mi?
Hayır, kararda “etkilenen kişilerin belirlenmesini müteakip” denilmektedir. Ancak bu belirleme süreci makul süreyi aşmamalıdır.
Kaynaklar
- KVKK Kurumu – 2019/271 Sayılı Karar Duyurusu
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 12)
- KVKK Kurumu – 2019/10 Sayılı İlke Kararı (Usul ve Esaslar)
- Kişisel Veri İhlal Bildirim Formu Kılavuzu
- Ankara Barosu Bilişim Kurulu – Veri İhlali Yönetimi Yayınları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),
