Top

VERİ İHLAL KARARLARI ADİL Mİ? (1)

VERİ İHLAL KARARLARI ADİL Mİ? (1)

Bu yazı dizisinde Kişisel Verileri Koruma Kurulu’nun verdiği veri ihlal kararlarının ve bu kararların dayandığı kanun maddelerinin adil ve kanuni olup olmadığını tartışacağız. Kişisel verileri koruma hukukunun bir alan olarak artık yerleşmeye ve kurul kararlarının yavaş yavaş yargı mercileri önüne taşınacağı düşünüldüğünde bu yazı dizisindeki argümanları giderek daha fazla duymaya başlayacağımızı da düşünebiliriz.

Olayın Özeti

Facebook 14.9.2018- 28.9.2018 tarihleri arasında Türkiye’deki kullanıcıları da etkileyecek şekilde yoğun bir veri ihlali gerçekleşmiş, veri ihlali Facebook sisteminin birbirinden farklı özellikleri olan “başkalarının gözünden gör”, “doğum günü kutlayıcısı” ve “video yükleyici” programlarının etkileşimi sonucunda oluşan bir hatadan kaynaklanmış, siber saldırganlar, bu etkileşimden doğan bir zafiyetten faydalanarak “access token” diye tabir edilen erişim jetonlarını elde etmiş ve daha sonra bu erişim jetonlarını dijital bir anahtar gibi Facebook programları üzerinden çeşitli bilgileri elde etmek için kullanmıştır. Saldırganlar böylece bu erişim jetonları sayesinde çok sayıda Facebook hesabı kullanıcısının isim, telefon numarası, e-posta adresi gibi profil bilgileri, cinsiyet, din gibi özel nitelikli bilgilerinin içinde yer aldığı farklı birçok veriyi yetkisiz olarak ele geçirmiş, Facebook’u Türkçe olarak kullanan 280.959 kullanıcının da çeşitli kişisel verileri bu olaydan etkilenmiştir.

25.9.2018 tarihinde “başkasının gözünden gör” uygulamasında beklenenin üzerinde bir trafik akışının yaşanması nedeniyle inceleme başlatılmış ve sistemden kaynaklanan bahse konu hata ve zafiyet 28.9.2018 tarihinde düzeltilerek yetkisiz veri erişimi sonlandırılmıştır.

Kurulun İhlal Kararı

Facebook temsilcisi 14.10.2018 tarihinde Kurula meydana gelen bu veri ihlalini bildiren bir e-posta göndermiş, gönderilen e-posta içerisinde yukarıda özetlediğimiz üzere ihlalin gerçekleşme şekli, zamanı, ihlale konu olan veri türleri, alınan tedbirler gibi bilgiler yer almış, e-postada ayrıca bu bilgilendirmenin takip eden hafta içerisinde yazılı olarak da Kurula arz edileceği belirtilmiş, ancak Facebook temsilcisi sonradan Kurula herhangi bir ikinci yazılı bildirimde bulunmamıştır.

Kurul yazılı bildirim yapılmasını beklemeden e-posta bildirimi yoluyla öğrendiği veri ihlali hakkında re’sen inceleme başlatmış ve Kurul, inceleme neticesinde Facebook şirketinin meydana gelen veri ihlali olayında veri güvenliğine ilişkin teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmede kusurlu bulunması nedeniyle 1.150.000 TL, yine veri ihlalinin 25.9.2018 tarihinde  tespit edilmesine rağmen veri ihlali bildiriminde bulunma yükümlülüğünü yerine getirmediği gerekçesiyle KVKK’nın 18/1b bendi uyarınca 450.000TL  idari para cezası ile cezalandırılmasına karar vermiştir.

Kararın bu kısa özetinde de görüleceği üzere; Kurul, iki ayrı kabahat eyleminden dolayı idari para cezasına hükmetmiştir.  Facebook’un ceza almasına sebep olan eylemlerden biri veri sorumlusunun  veri güvenliğine yönelik gerekli teknik ve idari tedbirleri almaması (KVKK m.12/1), diğeri ise kişisel veri ihlali bildirim yükümlülüğünü yerine getirmeme eylemidir (KVKK m.12/5).

Veri İhlali Bildirim Yükümlülüğü Suçta ve Cezada Kanunilik İlkesine uygun mu?

Karara yasal dayanak teşkil eden bildirim yükümlülüğü KVKK’nın 12/5 fıkrasında “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir” şeklinde düzenlenmiştir.  Veri sorumlusunun bu yükümlülüğünü yerine getirmesi eylemi KVKK’nın 18/1-b bendinde  15.000 Türk lirasından 1.000.000 Türk Lirası ne kadar idari para cezası yaptırımına bağlanmıştır.

KVKK’nın 12/5  fıkrası metninden de  anlaşılacağı üzere  veri sorumlusuna veri ihlalini  bildirme yükümlülüğü yüklenmesine rağmen bildirimin şekline,  süresine ve  içeriğine ilişkin herhangi bir ayrıntıya yer verilmemiştir.  Veri sorumlusunun, bir veri ihlali olduğunda  ilgilisine ve Kurula bildirimi yazılı mı sözlü mü, posta yoluyla mı elektronik ortamda mı bizzat müracaatla mı yapacağı açıklanmamıştır.  Yapılacak bildirimin içeriğinde neler olacağına da değinilmemiştir.  Yine madde metninde geçen “en kısa sürede” ibaresinden ne anlaşılması gerektiğine dair bir izahta bulunulmamış ve azami bir bildirim süresi belirlenmemiştir.

KVKK’nın 12/5. fıkrasının bu haliyle AİHS’nin 7. maddesinde güvenceye bağlanan “kanunilik ilkesi”nin gereklerini karşılama noktasında yetersiz kaldığı şüphesizdir.  Çünkü bu madde yukarıda da belirttiğimiz gibi “kanunilik ilkesi” uyarınca bir kanun maddesinin kalitesini ortaya koyan “öngörülebilirlik” unsuruna sahip olmaktan uzaktır.  Dahası madde metni, veri sorumlusunun hangi eylem ve ihmalinin bildirim yükümlülüğüne aykırılık oluşturacağını öngörebilecek kadar açık, net ve anlaşılabilir değildir. Örneğin veri sorumlusu veri ihlalini öğrendikten sonra Kurula e-posta atarak veya telefonla arayarak veya faks çekerek veri ihlali olayı gerçekleştiğini kısaca belirterek bildirimde bulunması halinde bildirim yükümlülüğünü tam olarak yerine getirmiş sayılacak mıdır? Maddenin lafzını dikkate aldığımızda böyle bir bildirimin yetersiz veya geçersiz sayılması için bir sebep görünmemektedir. Diğer taraftan KVKK’nın 12/5. fıkrasında düzenlenen “veri ihlali bildirim yükümlülüğü” AB ülkelerinde uygulanan AB ülkeleri için bağlayıcı olan GDPR  33 ve 34. maddelerinde de düzenlenmiştir.  Ancak GDPR’ın  33. ve 34. madde metinleri KVKK’nın 12/5.  fıkrası ile ilgili “kanunilik ilkesi”  açısından dile getirdiğimiz yetersizlikleri tam olarak karşılayacak şekilde kaleme alınmamıştır. GDPR’ın  33. ve 34. maddelerinde  bildirimin içeriğinde neler olacağı, en geç hangi sürede yapılacağı gibi hususları içerecek şekilde ayrıntılı olarak düzenlenmiştir.  Dahası KVKK’da  bir  fıkranın bir cümlesinde ifade edilen bu yükümlülük GDPR’da  birçok fıkra ve alt bentlerden oluşan toplam 2 maddede ve tereddüte yol açmayacak şekilde düzenlenmiştir.  Bunun da ötesinde bir kanunun kalitesi açısından aranan “öngörülebilirlik” ve “erişebilirlik” unsurlarını içerecek şekilde açık, net ve anlaşılabilir şekilde ifade edilmiştir.

KVKK’nın 12/5. fıkrası metninin özellikle bildirimin şekli ve içeriği konusundaki belirsizliğinin, uygulamada ve Kurulun bu eylemle ilgili inceleme ve kararlarında bir takım problemlere ve tereddütlere yol açacağı kaçınılmazdır. Öyle görülüyor ki; Kurul da 12/5 fıkrasındaki bu yetersizliklerin ve kanunilik ilkesi açısından doğan ve doğabilecek muhtemel sorunların bilincindedir.  Kurul madde metnindeki yetersizlikleri gidermek ve madde metnini daha anlaşılabilir hale getirmek amacıyla, GDPR’ın 33. ve 34. maddelerindeki ayrıntılı düzenlemeleri de dikkate alarak ilke kararları vermiştir.  Bu ilke kararlarında bir veri ihlali bildiriminde bulunması gereken asgari unsurlar açık ve anlaşılabilir bir şekilde belirlenmiştir.

Kurul ilke kararlarında (1), (2) ihlal bildiriminin asgari unsurlarını özetle; 

  1. İhlalin gerçekleşme zamanı, 
  2. Hangi kategoride verilerin ihlal edildiği,  
  3. İhlalin muhtemel sonuçları,  
  4. İhlalin muhtemel olumsuz etkilerinin azaltılması amacıyla alınan veya alınması önerilen tedbirler, 
  5. İhlal mağduru veri sahibinin ihlalle ilgili bilgi almasını sağlayacak iletişim bilgileri vesaire şeklinde belirlemiştir. 

Yine Kanunda yer alan “en kısa sürede” ibaresinin Kurula bildirim açısından, ihlalin öğrenilmesinden itibaren gecikmeksizin ve en geç 72 saat olarak anlaşılması gerektiği ifade edilmiştir. Veri sahibine bildirim açısından ise bu süre mağdurun tespit edilmesinden itibaren makul olan en kısa sürede şeklinde belirtilmiştir. Ayrıca Kurula yapılacak bildirimin, Kurulun tasarladığı “veri ihlali bildirimi formu” kullanılarak yapılacağı vurgulanmıştır.

Kurulun veri ihlali bildiriminin zorunlu unsurlarını belirlediği bu ilke kararlarından haberdar olmayan bir veri sorumlusu, 12/5. fıkrası metninden kararda belirlenen zorunlu unsuları içerecek düzeyde bir bildirimde bulunması gerektiği anlamı/sonucunu çıkaramaz. Dahası veri sorumlusundan böyle bir anlam çıkarması makul olarak beklenemez. Kurulun bildirimin zorunlu unsurlarının belirlendiği bu ilke kararları bir yönüyle KVKK’nın 12/5. fıkrası metninin kanun kalitesi açısından “öngörülebilirlik” unsuruna yani bir kanun metninin açık, net ve anlaşılabilir olma niteliğine sahip olmadığı iddiamızı da doğrulamaktadır. 

Kaldı ki Kurulun 15/6. fıkrasındaki yaygın ihlal durumlarında ilke kararı alabilme yetkisine dayanarak 12/5. fıkrada öngörülen bildirim yükümlülüğünün unsurlarını belirlediği bu ilke kararları, kanun ile düzenlemenin yerini tutmaz. Bu ilke kararları, AİHS’nin 7. maddesi uyarınca “suç” özerk kavramı kapsamında kalan 12/5. fıkrasındaki eylemin “kanunilik” unsurunu sağlamaya yetmez. Dolayısıyla bir bildirimin şekil, içerik ve süre yönlerinden, ilke kararlarında belirlenen unsurları karşılamadığı gerekçesiyle gerçek kişi veri sorumlusu hakkında KVKK’nın 12/5. fıkrasına aykırılık delaletiyle 18/1b bendi uyarınca yüksek meblağlı idari para cezası verilmesi, hem “kanunilik” ilkesinin korunduğu AİHS’in 7. maddesini hem de kanunilik unsurlarını taşımayan bir eylemden dolayı yargılama yapılıp hakkaniyete aykırı olarak ceza verilmesi nedeniyle adil yargılanma hakkının korunduğu AİHS’in 6. maddesini ihlal edecektir. 

Kurulun, bildirim yükümlülüğüne ilişkin KVKK’nın 12/5. fıkrasını açık ve anlaşılabilir kılmaya yönelik bu ilke kararlarının, bilinirlilik ve erişilebilirlik yönlerinden de yetersiz olduğuna değinmemiz gerekir. Zira Kurulun kuruluş ve faaliyete başlamasının daha yeni sayılabilecek bir tarih olduğu düşünüldüğünde, veri sorumlularının Kurul kararlarının tamamından haberdar olmaları pek olası gözükmemektedir. Bunun da ötesinde Kurulun bahse konu bu ilke kararlarında belirlediği bildirimin unsurlarının, 12/5 fıkrasının uygulamasında yerleşik hale geldiği söylenemez. Bu nedenle Kurul, KVKK’nın 12/5 fıkrasına şeklen uyan ancak Kurulun ilke kararlarıyla belirlediği unsurları taşımayan bir bildirimin varlığının tespiti durumunda hemen 12/5 fıkrasının ihlali nedeniyle idari yaptırım kararı verme yolunu tercih etmemelidir. Kurul, KVKK’nın 12/5 fıkrasının öngörülebilirlik, açıklık ve anlaşılabilirlik açılarından kanunilik ilkesine aykırılığını dikkate alarak veri sorumlusunun ilke kararlarında belirlenen unsurları içeren bir bildirimde bulunması için talimatlandırılmasına karar vermelidir. Yani Kurulun, derhal cezalandırmayı değil bildirimi içerik olarak uygun hale getirme yolunu tercih etmesi hakkaniyete uygun bir çözüm olarak düşünülmelidir. 

Meryem Günay
Meryem Günay
Yorum Bulunmuyor

Yorum Yapın