🛡️ KVKK'ya Göre Kişisel Veri İhlali Nedir?
Kişisel veri ihlali, kısaca, kişisel verilerin güvenliğinin ihlal edilmesi sonucu ortaya çıkan durumlardır. Bu ihlaller, yetkisiz erişim, ifşa, değiştirme veya yok etme gibi çeşitli şekillerde gerçekleşebilir. KVKK (Kişisel Verileri Koruma Kanunu), bu tür ihlallere karşı kişisel verilerin korunmasını amaçlar ve ihlallerin gerçekleşmesi durumunda belirli sorumluluklar ve yaptırımlar öngörür.
- 🔑 Yetkisiz Erişim: Kişisel verilere, yetkisi olmayan kişilerin erişmesi durumudur. Örneğin, bir şirketin veri tabanına yapılan siber saldırı sonucu müşteri bilgilerinin çalınması.
- 📢 İfşa: Kişisel verilerin, yetkisi olmayan kişilere açıklanması veya paylaşılmasıdır. Örneğin, bir çalışanın, şirket içindeki kişisel verileri dışarıya sızdırması.
- ✍️ Değiştirme: Kişisel verilerin, yetkisiz kişiler tarafından değiştirilmesi veya güncellenmesidir. Örneğin, bir hastanın tıbbi kayıtlarının değiştirilmesi.
- 🔥 Yok Etme: Kişisel verilerin, yetkisiz kişiler tarafından silinmesi veya kullanılamaz hale getirilmesidir. Örneğin, bir şirketin müşteri verilerinin bulunduğu sunucunun sabotaj sonucu zarar görmesi.
⚖️ Kişisel Veri İhlalinde Sorumluluklar
KVKK'ya göre, kişisel veri ihlallerinde veri sorumlusunun (genellikle şirket veya kurum) belirli sorumlulukları bulunmaktadır. Bu sorumluluklar, ihlalin tespit edilmesi, bildirilmesi, giderilmesi ve ilgili kişilerin bilgilendirilmesini kapsar.
- 🚨 İhlali Tespit Etme: Veri sorumlusu, kişisel veri ihlalini en kısa sürede tespit etmekle yükümlüdür. Bu, düzenli güvenlik kontrolleri ve izleme sistemleri aracılığıyla sağlanabilir.
- 📣 Kurula Bildirim: İhlalin tespit edilmesinin ardından, veri sorumlusu durumu en kısa sürede Kişisel Verileri Koruma Kuruluna (KVKK) bildirmek zorundadır. Bildirimde, ihlalin niteliği, etkileri ve alınan önlemler gibi bilgiler yer almalıdır.
- 🛡️ İlgili Kişileri Bilgilendirme: İhlalden etkilenen kişilerin, durumdan haberdar edilmesi gerekmektedir. Bu bilgilendirme, ihlalin niteliği, olası sonuçları ve alınması gereken önlemler hakkında olmalıdır.
- 🛠️ Gerekli Önlemleri Alma: Veri sorumlusu, ihlalin etkilerini azaltmak ve benzer ihlallerin tekrarını önlemek için gerekli teknik ve idari önlemleri almakla yükümlüdür.
💰 Kişisel Veri İhlalinde Yaptırımlar
KVKK, kişisel veri ihlallerine karşı çeşitli yaptırımlar öngörmektedir. Bu yaptırımlar, idari para cezalarından, faaliyet izninin iptaline kadar değişebilir. Yaptırımların uygulanmasında, ihlalin niteliği, veri sorumlusunun kusuru ve ihlalden etkilenen kişi sayısı gibi faktörler dikkate alınır.
💸 İdari Para Cezaları
KVKK'ya aykırı davranışlar ve veri ihlalleri durumunda, Kişisel Verileri Koruma Kurulu tarafından idari para cezaları uygulanabilir. Bu cezalar, ihlalin ciddiyetine ve veri sorumlusunun büyüklüğüne göre değişiklik gösterebilir.
- 💵 Veri güvenliğini sağlama yükümlülüğüne aykırılık: $29.503$ TL ile $1.475.526$ TL arasında idari para cezası.
- 📄 Kurul kararlarına aykırılık: $44.259$ TL ile $2.951.053$ TL arasında idari para cezası.
- ℹ️ Aydınlatma yükümlülüğüne aykırılık: $5.898$ TL ile $59.001$ TL arasında idari para cezası.
- 📝 Veri sorumluları siciline kayıt yükümlülüğüne aykırılık: $59.001$ TL ile $2.951.053$ TL arasında idari para cezası.
🚫 Diğer Yaptırımlar
İdari para cezalarının yanı sıra, KVKK'da öngörülen diğer yaptırımlar şunlardır:
- 🛑 Faaliyet İzninin İptali: Özellikle ciddi ve tekrarlayan ihlallerde, veri sorumlusunun faaliyet izni iptal edilebilir.
- 🔒 Veri İşleme Faaliyetinin Durdurulması: Kurul, ihlalin devam etmesi veya giderilmemesi durumunda, veri işleme faaliyetinin geçici veya kalıcı olarak durdurulmasına karar verebilir.
- 📢 Kamuya Duyuru: Kurul, ihlalin kamuoyuna duyurulmasına karar verebilir. Bu, veri sorumlusunun itibarını zedeleyebilir ve güven kaybına yol açabilir.
