Şirketler siber saldırıya uğradığında neler yapmalıdır? Şirketlerin Hacklenmesi halinde kişisel verilerin korunmasına ilişkin yükümlülükleri nelerdir?
Teknolojik gelişmelerle birlikte veri işleme faaliyetlerinin öneminin küresel çapta her geçen gün artmasıyla, ülkemizde de bu konudaki yasal düzenlemeler çerçevesinde vatandaşlar açısından değilse de özellikle şirketler bakımından kişisel veri, veri işleme gibi kavramlar artık bilinir hale geldi. Tabi ki teknolojinin gelişmesiyle, büyük kurumsalların yanı sıra küçük ve orta ölçekteki işletmelerin de artık faaliyetlerini yürütürken bir takım idari ve mali ofis otomasyon sistemlerini kullanması, mail sistemlerini daha aktif kullanmaları ve bunun sonucunda da operasyonel faaliyetlerinin daha işlevsel hale gelmesi gibi birtakım sebeplerle bu işletmelerin veri işleme faaliyetleri dijital alana taşınmış oldu. İşletmelerin veri işleme faaliyetlerinin dijital alana taşınması şirketlerin siber saldırılara açık hale gelmesine, bu durum da veri ihlallerinin daha sık yaşanmasına neden oldu. Nitekim, son zamanlarda da şirketlere yapılan siber saldırıların epey arttığı herkesçe bilinen bir gerçek haline geldi.
Son zamanlarda şirketlere yapılan siber saldırılarda büyük bir artış yaşanmakta
Şirketlerde meydana gelen siber saldırıların artması ve hukuk büromuza bu konuda gelen destek taleplerinin yoğunluğu nedeniyle, işbu bilgilendirme notumuzda bir şirkette siber saldırı meydana geldiğinde, şirketin gerek idari olarak alması gereken aksiyonlara gerekse de kişisel verilerin işlenmesine ilişkin yasal olarak yerine getirmesi yükümlülüklere ilişkin bir bilinç oluşturabilmek adına kısaca bahsetmekte fayda görmekteyiz.
Siber saldırıya uğramadığınızdan emin olun
Öncelikle şirkette bir veri ihlali olup olmadığının tespiti, bu konuda ilk olarak dikkat edilmesi gereken husus olarak karşımıza çıkmaktadır. Çünkü bazı durumlarda şirketler bir siber saldırının mevcut olup olmadığını dahi anlayamamaktadır. Örnek vermek gerekirse, yaklaşık 21 milyon kişinin verilerinin etkilendiği Yemek Sepeti veri ihlalinde şirket veri ihlalinin gerçekleştiğini sistemlerinde yer alan sorunlar nedeniyle 7 gün sonra tespit edebilmiştir. Bu nedenle; öncelikle olarak şirketlerin teknoloji departmanlarında çalışan personeller sızma testlerini periyodik olarak yapmalı, siber saldırı olduğunda alarm verecek uyarı sistemlerini ve sızmayı tespit edecek diğer yazılım ve sistemlerin sağlıklı bir şekilde işleyişi için gerekli tüm idari önlemleri almalı ve bu işlerin takibini disiplinli bir şekilde gerçekleştirmelidir. Çünkü, veri ihlalinin geç tespit edilmesi ve dolayısıyla da Kişisel Verileri Koruma Kurulu (“Kurul”) ‘na da geç ihlal bildiriminde bulunulması halinde, bu durum Kurul tarafından dikkate alındığı için şirketlere daha çok idari para cezası uygulanmasına neden olmakta ve şirketlere ekstra mali külfet oluşturmaktadır.
Şirkete bir siber saldırı gerçekleştiğinin tespit edilmesi halinde ise; şirketin teknoloji departmanı ivedi olarak veri ihlalinin teknik boyutunu ve neden gerçekleştiğini tespit etmeli, eş zamanlı bir şekilde veri ihlalinin hukuki boyutunun değerlendirilmesi ve ihlal sonrasında yasal yükümlülüklerin eksiksiz bir şekilde yerine getirilmesi amacıyla hukuk departmanını bilgilendirmeli ve bu iki departman arasında bir toplantı organize edilmelidir.
Siber Saldırıdan itibaren 72 saat içerisinde Kurul’a bildirimde bulunulmalı
Ayrıca siber saldırı ve dolayısıyla veri ihlali 6698 sayılı Kişisel Verileri Korunması Hakkında Kanun (“Kanun”) ‘ un 12. Maddesinin 5 numaralı fıkrası ile Kurulun 24/01/2019 tarih ve 2019/10 sayılı kararına istinaden en geç 72 saat içerisinde Kurula bildirilmelidir.
Siber saldırının tespit edilmesi halinde; veri ihlalinin boyutunun ve nedeninin araştırılması ile ihlal bildiriminin Kurula yapılması işlemlerinin hepsinin yukarıda belirtmiş olduğumuz 72 saatlik süre içerisinde yapılması gerektiğini belirtmek isteriz. Kurul’ a bildirim süresinin kısa olması nedeniyle ve bu bildirimin zamanında ve düzgün bir şekilde yapılarak şirkete ek mali külfet yaratmaması amacıyla; teknoloji departmanı çalışanlarıyla hukuk departmanının hızlı, titiz ve iş birliği içerisinde hareket etmesi büyük önem arz etmektedir.
Kurula bildirim ve Savcılığa suç duyurusunda bulunulmalı
Veri ihlalinin boyutu ve nedenleri tespit edildikten sonra ise, hukuk departmanı tarafından öncelikle Kurula bildirimde bulunulmalı ve akabinde de savcılığa sorumluların tespit edilmesi ve cezalandırılmalarının sağlanması amacıyla suç duyurusunda bulunulmalıdır. Kurula yapılacak bildirimin Kurulun internet sitesinde yer alan form aracılığıyla yapıldığını da belirtmek isteriz. Bildirimin düzenli bir şekilde yapılması için de; ihlalin başlama tarihi ve saati ile sona erme tarihi ve saati, ihlalin tespit tarihi ve saati, ihlalin kaynağı ve nasıl gerçekleştiği, ihlalin etkisi, ihlalin etkilendiği kişisel veri kategorileri, ihlalden etkilenen kişi sayısı, ihlalden etkilenen ilgili kişi grupları ve ihlalin etkileri, ilgili kişilere ihlalin bildirilip bildirilmediği, bildirildiyse tarihi ve bildirilme yöntemleri, ilgili kişilerin veri ihlaliyle ilgili nasıl bilgi almalarını sağlayacak iletişim yolları, yurt içinde veya yurt dışında veri ihlali nedeniyle ilgili otoritelere bilgi verilip verilmediği, ihlalin şirket operasyonuna ilişkin etkileri, ihlalle ilgili kişilerin son 1 yıl içerisinde aldığı eğitimler, ihlalin engellenmesi amacıyla ihlal gerçekleşmeden önce alınan idari ve teknik tedbirler, ihlalin gerçekleşmesinden sonra alınan ve alınması planlanan teknik ve idari tedbirler gibi bir takım hususlara ilişkin bir takım hususların tespit edilmesi gerekmektedir.
Kişisel veri süreçlerine verdiğiniz önem Kurulun belirleyeceği idari para cezasında büyük rol oynuyor
Ayrıca siber saldırı gerçekleşmesi halinde, Kurulun uyguladığı idari para cezasını takdir ve tespit ederken kişisel verileri işleme sürecinde şirketlerin kişisel veri faaliyetlerini hukuka uygun hale getirmek amacıyla neler yaptığını göz önünde bulundurduğu için; kişisel veri işleme, saklama ve imha süreçlerinin hukuka uygun bir şekilde yönetimi önem arz etmektedir.
Bu nedenle, kişisel veri işleme süreçleriyle ilgili veri sorumlularının da kişisel verilerin işlenmesi konusunda; şirketlerin veri işleme boyutunu da göz önünde bulundurarak yoğun bir veri işleme faaliyeti mevcutsa kişisel veri denetimine ilişkin yazılımlardan ve işlenen verinin boyutu önem arz etmeksizin kişisel verilerin işlenmesi hususunda uzman avukatlardan hukuki destek almasının elzem olduğu kanaatindeyiz.
*İş bu yazı yalnızca hukuki bilgilendirme niteliğinde olup, veri işleme süreçlerinin her bir şahıs/kurum bakımından özel olarak değerlendirilmesi gerektiğini belirtmek isteriz. Ayrıca detaylı bilgi için hukuk büromuza info@sahinpartners.com uzantılı mail adresimizden ulaşabilir, www.sahinpartners.com adresli web sitemizi ziyaret edebilirsiniz.