Kişisel verilerin korunması hukukunda en hassas konulardan biri de güvenlik ihlalleridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına yalnızca verileri koruma değil, aynı zamanda olası bir ihlalde gerekli tedbirleri alma ve bildirimde bulunma yükümlülüğü de yüklemektedir.

1. Güvenlik İhlali Nedir?

Kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi, değiştirilmesi, silinmesi, kaybolması ya da ifşa edilmesi gibi durumlar güvenlik ihlali olarak kabul edilir. Bu tür ihlaller, veri sorumlusunun ve veri işleyenin yükümlülüklerini ihlal etmesiyle gerçekleşebileceği gibi, dış kaynaklı siber saldırılar sonucu da ortaya çıkabilir.

Örnek vermek gerekirse; bir şirketin müşteri veritabanının kötü niyetli yazılımlarla ele geçirilmesi ya da bir çalışanın yetkisi olmadığı halde kişisel verilere erişerek bunları paylaşması, tipik güvenlik ihlali örneklerindendir.

2. Güvenlik İhlallerinde Alınması Gereken Tedbirler

Güvenlik ihlallerinin önlenmesi ve etkilerinin en aza indirilmesi amacıyla çeşitli teknik ve idari tedbirlerin alınması zorunludur:

• Veri Maskeleme ve Şifreleme: Kişisel verilerin okunamaz hâle getirilmesi, yetkisiz erişimi etkisiz kılar.

• Erişim Yetkilendirme: Verilere sadece iş gereği erişmesi gereken kişilerin ulaşabilmesi sağlanmalıdır.

• Loglama ve Denetim Kayıtları: Kim, ne zaman, hangi veriye erişti gibi kayıtlar tutulmalı ve düzenli olarak kontrol edilmelidir.

• Güncel Güvenlik Yazılımları Kullanımı: Antivirüs, güvenlik duvarı, saldırı tespit sistemleri aktif hâlde olmalıdır.

• İç Denetim ve Eğitimler: Çalışanlara veri güvenliği konusunda düzenli eğitimler verilerek farkındalık sağlanmalıdır.

3. İhlal Durumunda Bildirim Zorunluluğu

KVKK’nın 12. maddesi ve Kişisel Verileri Koruma Kurulu kararlarına göre, veri güvenliğinin ihlali hâlinde veri sorumlusu:

• İhlali en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmekle,

• İhlalin etkilerini en aza indirecek ve tekrarını önleyecek önlemleri almakla yükümlüdür.

Kurul, bildirimin 72 saat içinde yapılmasını zorunlu tutmaktadır. Bu süre içinde gerekli analiz yapılmalı, etkilenmiş kişi sayısı tespit edilmeli ve önleyici adımlar atılmalıdır.

4. İhlal Durumunun Hukuki Sonuçları

Veri güvenliği ihlalleri sadece itibar kaybına yol açmaz; aynı zamanda ciddi idari para cezaları ve tazminat yükümlülükleri doğurur. 2024 yılı itibarıyla veri ihlali nedeniyle verilen idari para cezaları milyonlarca TL'yi bulabilmektedir. Bu nedenle şirketlerin, veri sorumlularının ve veri işleyenlerin güvenlik süreçlerini baştan sona gözden geçirmesi gerekir.

​

Ankara’da Veri Güvenliği ve KVKK Uyum Süreci
Güvenlik ihlalleri sadece büyük şirketleri değil, küçük işletmeleri ve bireysel veri sorumlularını da etkileyebilir. Ankara’da avukat olarak, KVKK kapsamında güvenlik açıklarının önlenmesi, ihlal durumunda yapılacak bildirimler ve alınması gereken teknik-idari önlemler konusunda danışmanlık ve detaylı bilgi için benimle iletişime geçebilirsiniz.