Kvkk Veri İhlali ve Uzman Görüşü
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
Eylemlerini kanuna ve etiğe uygun olarak yapması kanun koyucular tarafından zorunlu kılınmıştır.
Veri sorumluları bu amaca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanun maddesinin 5 numaralı fıkrasında da belirtildiği şekliyle; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Bilişim dünyasıyla az çok ilişkisi olan herkes tarafından iyi bilinir ki alınan her türlü güvenlik önlemine rağmen kişisel veya kurumsal bilgi sistemleri hiçbir zaman %100 güvenli olamaz. Bununla birlikte, ihlaller sanılanın aksine bilgi güvenliği ihlallerinin büyük bir kısmı içeriden ve güvenilen bir kaynak tarafından yapılmaktadır. Bunun ardından insan hatası ve yetersiz tedbir sebebi ile yaşanan ihlaller gelir. Dışarıdan bilinmeyen ve ilişkisiz bir kaynak tarafından gerçekleştirilen eylemler ise diğerlerine göre daha az görülen vakalardır.
Kişisel veri ihlallerinde kimlik, adres, eposta, telefon numarası vb. türden kişisel veriler değer bakımından tek başlarına çok büyük bir maddi değer taşımasa da bunun bir pazarlama veya dolandırıcılık maksadı ile kullanımı oldukça başarılı sonuçlar vermesi bakımından kullanışlı olduğu ve en kolay elde edilen veriler olduğu için ilk hedeftir. Bir kişinin finansal, kişilik veya özel hayatına ilişkin bilgiler ise çeşitli dolandırıcılık veya baskı (tehdit, taciz, şantaj, sindirme, bir eyleme zorlama vb) unsuru olarak da kullanılabileceği için art niyetli kişilerce en çok istenilen verilerdir.
Toplum oluşturan her bireyin günlük hayatının vazgeçilmez bir parçası olan kişisel veri paylaşımı eylemi kanuni istisnalar haricinde açık rızası ile alınarak işlenmektedir. Sağlık, finans, kamusal ihtiyaç veya özel hayat ile ilgili inanılmaz boyutlara varan kişisel veri yığınlarının; kimi zaman art niyetli olarak kasten, kimi zaman da istemsizce yapılan hatalar sonucunda yetkisiz kişilere (veya internet gibi çeşitli yollarla kamuya) aktarılması hem veri sahibine hem de KVKK kuruluna gerekli bildirimler yapılması sonucunu doğurmaktadır.
KVKK kuruluna veri ihlali bildirimi, kuruma ait internet sitesi üzerinden doldurulacak olan “veri ihlal formu” ile basit bir şekilde yapılabiliyor olması kişi ve kurumlar için büyük kolaylıktır. Fakat, bu form ile ihlalin tam olarak nasıl yaşandığını, vakaya etken faktörlerin neler olduğu ve ihlalin olası sonuçlarını neler olduğunu tam manasıyla ifade etmek mümkün değildir.
Uzman olmayan kişilerin gözünde siber vakaların her biri görünüşte birbirine yakın olan eylemler gibi görünse de olayların her biri kendine has ayrıntı barındırmaktadır. Özellikle kanun tarafından zorunlu kılınan teknik tedbirlerin tamamını ( ve hatta fazlasını) almış olan kurumsal işletmelerin veri ihlali ile sonuçlanan bir olay yaşanması vakalarında bu ayrıntıların önemi bir kat daha artmaktadır.
Kamusal kurumlar veya özel işletmeler mümkün olan en iyi tedbiri almasına rağmen varlığı henüz tespit edilememiş bir metotla dışarıdan, güveni kötüye kullanan bir personel tarafından içeriden veya içeriden birinin dışarıdan biri ile işbirliği yapması sonucu bilgi güvenliği ihlali ile karşı karşıya gelmesi mümkündür. Bunun yanı sıra bilgi güvenliği farkındalığı tam oturmamış bir personel veya yanlış bir politikadan kaynaklı bir sızıntı da yaşanabilir. Sebep ne olursa olsun, kişisel veri ihlali sonucu birçok kişiyi olumsuz etkileyecek olan önemli bir olaydır. Kişisel veri ihlali vakalarını maddi cezaların çok yüksek olmasının yanı sıra hapis cezasına varan hukuki sonuçları da olduğu bilinmelidir.
Günümüzde yaşanan bu tarz ihlal olaylarının büyük bir çoğunluğu yüksek cezai sonuçlarından dolayı gizlenmeye çalışılmakta fakat eninde sonunda gün yüzüne çıkmaktadır. Sonrasında ise kurum ve kişiler hem ihlal vakası nedeni ile hem de vakanın gizlenmeye çalışılması eylemi nedeni ile cezalandırılmakta ve verilen cezalar da en üst kademeden verilmektedir.
Bu noktada; gerek hukuki süreçlerin getirdiği zorunlulukların yerine getirilmesi gerek te ihlal olayının en kapsamlı şekilde irdelenebilmesi için teknik bir desteğe ihtiyaç olduğu anlaşılmaktadır. Birçok kurumun bu aşamada bilgi işlem yetkilileri ve hukuk yetkililerinin yeterli olacağını düşünse de bu ihtiyacı tam karşılayacak bir iş gücünü kesinlikle sağlamayacaktır. Özünde bilgi işlem teknik personelleri var olan sistemi en hızlı ve maksimum güvenlikte işletmek üzerine deneyime sahiptir, hukuk departmanı ise var olan bir olayı hukuki boyutları ile irdeleme, izlenecek yola karar verme ve bunu hayata geçirme üzerine çalışmalar yürütmektedir.
Bilgi güvenliği ihlalleri ise kriminal bir vakadır ve bu vakanın analizi de konunun uzmanları tarafından yapılmalıdır. Yaşanan ihlal olayının hangi koşullar altında nasıl gerçekleştirildiği, vakanın süreçlerinin ne olduğu, vakanın boyutunun neler olduğu, ihlalde rolü olan etmenlerin neler olduğu, etkilenen unsurların neler ve etkinin ne boyutta olduğu, içeriden veya dışarıdan kimlerin bu vakada rolü olduğu gibi unsurlar ancak adli bilişim kriterleri ile bilimsel olarak Adli Bilişim Uzmanlarınca değerlendirilmesinin yapılması ve dillendirilmesi ile tam olarak anlaşılabilir.
İhlal vakalarında yapılacak olan Adli Bilişim çalışmaları ve raporları KVKK ihlal bildirimi esnasında kurumun ciddiyetini ve olayla ilgili hassasiyetini gösteren en önemli unsur olacaktır. Özellikle mümkün olan her tedbirin alınmasına rağmen yaşanmış olan ihlallerde vakanın detaylı ve bilimsel gerçeklikle örtüşen şekilde açıklanması, kurumun kendini en iyi şekilde ifade etmesi bakımından elzemdir ve kurul tarafından yapılan değerlendirmede kesinlikle dikkate alınacak bir unsurdur. Kurumun kendini en iyi şekilde ifade etmesi şüphesiz ki cezalandırma sürecini de pozitif yönde etkileyecek bir etkendir.
Diğer taraftan, Adli Bilişim uzmanları tarafından yapılan çalışma sonucunda varsa açıkların kapatılması, vakaya sebebiyet veren unsurların tespit edilmesi ve kapatılması, zanlıların tespit edilmesi, zararın minimize edilmesi ve hatta açılacak davaların kazanılması ( İdari para cezasının yanında idari yaptırımlar ve Türk Ceza Kanunu’nun ilgili maddelerine göre) gibi diğer önemli sonuçları da doğuracaktır.
Kurumların ticari ve hukuki itibarını zedeleyen bilgi güvenliği ihlali vakalarının yaşaması sonrasında oluşturulacak görev ekibinde bir Adli Bilişim uzmanına da yer verilmesi sürecin daha hızlı, sorunsuz ve denetlenebilir olarak yürütülmesi için çok önemlidir.
Adli Bilişim esaslarına göre bilimsel olarak yürütülecek olan çalışmaların, her türlü ver ihlali vakalarının mümkün olan en az hasarla sonuçlandırılması ve bir daha tekrarlanmaması noktasında kritik bir rol üsleneceği muhakkaktır. Dolayısı ile KVKK veri ihlalleri vakalarında teknik uzman mütalaasının önemli olduğu unutulmamalı ve tüm sürecin sonunda İlgili makamlara sunulabilecek Teknik Uzman Mütalaası / Uzman Görüşü raporlaması Adli Bilişim Uzmanı’na yaptırılmalıdır. Bu tür bir ihlal ile karşılaşırsanız, bize ulaşabilirsiniz.