KVKK kapsamında kişisel veri güvenliği ihlali tam olarak ne anlama geliyor? Bir kurumda, bir şirkette ya da bir veri sorumlusunun elinde bulunan kişisel verilerin güvenliğini hangi durumlar tehlikeye atar ve bunlar hangi sonuçları doğurur? Örneğin, bir siber saldırı sonucu verilerin ele geçirilmesi mi, yoksa yanlışlıkla bir çalışanın verileri yetkisiz bir kişiyle paylaşması mı ihlal sayılır? Bu ihlallerin farklı türleri var mıdır ve eğer varsa, bu türler nelerdir? Ayrıca, bir veri ihlalinin tespit edilmesi durumunda yapılması gerekenler nelerdir?
Cevap
Kişisel veri güvenliği ihlali, bir güvenlik açığı sonucu kişisel verilerin yanlışlıkla veya yasa dışı şekilde yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz olarak ifşa edilmesi veya bunlara erişilmesiyle sonuçlanan olaydır. Bu ihlaller, veri sorumlusunun veya veri işleyenin kontrolü dışındaki durumlardan kaynaklanabileceği gibi, ihmal veya kasıtlı eylemler sonucu da meydana gelebilir.
İhlal Türleri ve Nedenleri:
- Gizlilik İhlali: Kişisel verilerin yetkisiz kişilerin erişimine açılması veya ifşa edilmesi.
- Nedenleri: Veri tabanlarına yetkisiz erişim, kimlik avı saldırıları, sosyal mühendislik, çalışan hataları, kayıp veya çalınan cihazlar, sistem zafiyetleri.
- Bütünlük İhlali: Kişisel verilerin yetkisiz olarak değiştirilmesi veya tahrip edilmesi.
- Nedenleri: Kötü amaçlı yazılım saldırıları, sistem hataları, yetkisiz sistem değişiklikleri, insan hataları.
- Erişilebilirlik İhlali: Kişisel verilere yetkili kişilerin erişiminin geçici veya kalıcı olarak engellenmesi.
- Nedenleri: Hizmet reddi (DoS) saldırıları, fidye yazılımı saldırıları, doğal afetler, sistem arızaları.
İhlal Sonuçları:
- Bireyler için: Kimlik hırsızlığı, finansal kayıplar, itibar zedelenmesi, ayrımcılığa maruz kalma, psikolojik sıkıntı.
- Veri Sorumlusu için: Yasal yaptırımlar (idari para cezaları, hukuki tazminatlar), itibar kaybı, müşteri güveninin azalması, operasyonel aksamalar, veri kurtarma maliyetleri.
Örnek İhlal Senaryoları:
- Bir hastanenin veritabanına yapılan siber saldırı sonucu hastaların tıbbi kayıtlarına erişilmesi.
- Bir e-ticaret sitesinin müşteri veritabanının hacklenmesi ve kredi kartı bilgilerinin çalınması.
- Bir şirketin çalışanlarının kişisel bilgilerini içeren bir dizüstü bilgisayarının çalınması.
- Bir çalışanın yanlışlıkla bir e-postaya çok sayıda müşterinin kişisel bilgilerini eklemesi ve bu bilgilerin yetkisiz kişilere gönderilmesi.
- Bir bulut depolama hizmetinde oluşan bir güvenlik açığı nedeniyle kullanıcıların verilerine yetkisiz erişim sağlanması.
İhlal Durumunda Yapılması Gerekenler:
- İhlali tespit etmek ve değerlendirmek: İhlalin türünü, kapsamını ve etkilerini belirlemek.
- İlgili makamlara bildirimde bulunmak: Kişisel Verileri Koruma Kurulu’na (KVKK) ve etkilenen bireylere yasal süreler içinde bildirimde bulunmak.
- İhlalin nedenlerini araştırmak ve düzeltici önlemler almak: Gelecekte benzer ihlallerin önlenmesi için gerekli adımları atmak.
- Etkilenen bireylere destek sağlamak: İhlalden etkilenen kişilere bilgi vermek, tavsiyelerde bulunmak ve gerekli yardımı sunmak.
- İhlali belgelemek: İhlal ile ilgili tüm bilgileri (ihlal tarihi, türü, nedeni, etkileri, alınan önlemler vb.) kaydetmek.
Önemli Not: Kişisel veri güvenliği ihlalleriyle ilgili yükümlülükler ve süreçler, yürürlükteki Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat ile belirlenmiştir.
