Kişisel verilerin korunması isteme hakkı temel haklar arasında yer almıştır. Bu önemine binaen pek çok ülkede kişisel verilerin korunmasına ayrı bir önem atfedilmektedir. Bu doğrultuda veri sorumluları ve veri işleyenlere çeşitli yasal düzenlemelerle, kişisel verileri korunmaları için uygun tedbirleri almaları gerektiği konusunda bazı yükümlülükler getirilmiştir. Örneğin, Anayasa‘mızın 20 nci maddesinde kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir. Bu konuda, Kişisel Verilerin Korunması Kanunu‘nun 12 nci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri* almak zorunda olduğu ifade edilmiştir. Maddenin devamında ise gerekli tedbirleri alma hususunda veri işleyenlerin de veri sorumluları ile müştereken -birlikte- sorumlu olduğu düzenlenmektedir.
Söz konusu maddenin, benzeri uluslararası veri koruma düzenlemelerinde de mevcuttur. Örneğin AB Genel Veri Koruma Tüzüğü (“GVKT”) ‘nün 32 nci maddesi uyarınca; veri sorumlusu ve işleyenler ilgili kişinin temel hak ve özgürlükleri için risk teşkil edebilecek veri işleme faaliyetindeki risk olasılığını ve ciddiyetini dikkate alarak, ona uygun güvenlik seviyesi sağlamak üzere yeterli teknik ve idari tedbirleri almakla yükümlüdür. Fransız Veri Koruma Otoritesi (“CNIL“) konuya ilişkin güncel kararında, yeterli güvenlik tedbirinin alınmaması gerekçesiyle hem veri sorumlusuna hem de veri işleyene para cezası vermiştir.
CNIL ‘in kararına konu olayda, milyonlarca kişinin alışveriş yaptığı bir internet sitesine ilişkin olarak Haziran 2018- Ocak 2020 tarihleri arasında CNIL ‘e birkaç kez veri ihlal bildiriminde bulunulmuştur. Bunun üzerine CNIL yaptığı incelemede, internet sitesin pek çok kez kimlik bilgisi doldurma saldırısına maruz kaldığını tespit etmiştir. Kimlik bilgisi doldurma saldırısının temelinde, kullanıcıların farklı hizmetleri aldıkları internet sitelerinde aynı kullanıcı adını ve şifreyi kullandığı varsayımı bulunmaktadır. Saldırgan önce bir veri ihlalinde bulunarak kişilerin kullanıcı adı ve şifresini elde etmektedir. Daha sonra, veri ihlalinde elde ettiği bu verileri otomatikleştirilmiş komut dosyaları ve botlar aracılığıyla hedefindeki başkaca internet siteleri için de deneyerek oturum açmaya çalışmaktadır. Kimlik doğrulamasının başarılı olması durumunda saldırgan, bu hesaplara ilişkin bilgilere de erişebilmektedir.
CNIL ‘in yürüttüğü soruşturma neticesinde saldırganların, ilgili kişilerin kimlik, iletişim ve müşteri işlem bilgisi gibi birtakım kişisel verilere ulaştığı ortaya çıkmıştır. CNIL ‘e göre veri sorumlusu ve veri işleyen uzun süre devam eden veri ihlaline karşı zamanında uygun güvenlik tedbirini almamıştır. İhlalin ilgili kişiler üzerindeki olumsuz etkileri azaltacak alternatif tedbirler mevcutken bu tedbirler alınmayarak yerine botların başlattığı saldırıyı tespit edip engelleyecek bir araç geliştirilmeye odaklanılmıştır. Ayrıca, kararlaştırılan bu tedbir daha kısa sürede uygulamaya konulabilecekken süreç oldukça yavaş ilerletilmiştir. Sürecin yavaş ilerlemesi Mart 2018 ile Şubat 2019 arasında yaklaşık 40.000 müşteriye ait verinin yetkisiz üçüncü şahısların eline geçmesine neden olmuştur. CNIL sonuç olarak, veri sorumlusu ve veri işleyen konumundaki iki şirketin de GVKT ‘nin 32 nci maddesindeki yükümlülüklerini ihlal ettiği gerekçesiyle sırasıyla onlara 150.000 Euro ve 75.000 Euro para cezası verilmiştir.
Konuya ilişkin güncel bir diğer karar da Hollanda Veri Koruma Otoritesi (“AP“) ‘ne aittir. AP ‘nin 11 Şubat’ta verdiği karara konu olay, bir hastanenin veri kayıt sisteminin güvenliğini sağlama hususunda yeterli güvenlik tedbirlerini almamasına ilişkindir. Hastane, çalışanlar ve orada eğitim alan öğrenciler için veri kayıt sistemine erişim konusunda yetki matrisi ya da yetki kontrolü belirlememiştir. Bir diğer ifade ile, çalışanların ve öğrencilerin erişememesi gereken dosyalara erişimi söz konusudur. Teknik tedbir kapsamındaki yetki matrisi ve yetki kontrolünün belirlenmemiş olması, AP ‘ye göre hastanenin yeterli güvenlik tedbiri almadığını göstermektedir. Nitekim çalışanlar görevi kapsamında olmayan hasta dosyalarına da erişerek veri ihlali gerçekleştirmişlerdir. Dikkat edilirse söz konusu hasta dosyalarında, hastaların iletişim ve kimlik bilgilerinin yanı sıra pek çok sağlık verisi de bulunmaktadır. Yani söz konusu güvenlik açığı, yalnızca basit nitelikteki kişisel verilerin ihlaline yol açmamış aynı zamanda özel nitelikteki kişisel verilerin de ihlal edilmesine yol açmıştır. Yaşanan veri ihlali dolayısıyla AP, hastaneye 440.000 Euro para cezası vermiştir.
Yukarıdaki kararlardan da anlaşılacağı üzere, kişisel verilerin güvenliği konusunda idari tedbirlerin yanı sıra teknik tedbirler de oldukça önemlidir. Tedbirin alınmış olması yeterli olmayıp alınan tedbirin veri işleme faaliyeti ile uyumlu ve doğru zamanda alınmış olması gerekmektedir. Ayrıca veri ihlallerinin çalışanlar tarafından da gerçekleştirilebileceği ihtimali göz önünde bulundurularak uygun tedbiri almakla birlikte çalışanların farkındalıkları artırılmalıdır. Söz konusu tedbirleri alma yükümlülüğü tamamıyla veri sorumluları üzerinde olmayıp veri işleyenler de bu tedbirleri almakla yükümlüdürler.
*Kişisel Verileri Koruma Kurulu tarafından yayımlanan teknik ve idari tedbirlere ilişkin Kişisel Veri Güvenliği Rehberine buradan ulaşabilirsiniz.
CODEƎRA 