6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 22 inci maddesinde, Kurulun görev ve yetkileri arasında; “…Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak”, “Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak” ve “Bu Kanunda öngörülen idari yaptırımlara karar vermek…” bulunmaktadır.
Bununla birlikte; Kanunun veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin (1) numaralı fıkrasında “veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Veri sorumlularının, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 Sayılı Kararı gereğince ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirme yükümlülüğü bulunmaktadır.
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amaç, ilgili kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.
Veri sorumlusunun Kanunun 12 inci maddesinin (5) numaralı fıkrası gereğince bildirim yükümlülüğünü yerine getirmesinden sonra Kurul tarafından inceleme kararı alınabilmektedir.
Diğer taraftan Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda, görev alanına giren konularda Kanunun 15 inci maddesinin (1) numaralı fıkrası hükmü gereğince gerekli incelemeyi resen yapmaktadır.
Dolayısıyla Kurul, bir kişisel veri ihlali durumunu inceleme konusu olarak ele alabilmesi için bu iki husustan birinin gerçekleşmiş olmasını aramaktadır.
15 Haziran itibariyle Kurumumuza veri sorumlularından intikal eden 1001 adet veri ihlali bildiriminin yanında Kurul tarafından resen incelemeye alınan 107 adet veri ihlali ile birlikte toplam 1108 adet veri ihlali inceleme konusu bulunmaktadır. Bu inceleme konularının büyük çoğunluğu sonuçlandırılmıştır.
Muhtelif haber kanallarında ve sosyal medya platformlarında vatandaşların kişisel verilerinin kamu kurumlarından sızdırıldığına yönelik çeşitli haberler yer almış ancak Kurumumuza bugüne kadar konuya ilişkin olarak kamu kurumlarından intikal etmiş herhangi bir veri ihlali bildirimi bulunmamaktadır.
Konu hakkında medyada daha önce de benzer haberlerin yer alması sebebiyle Kişisel Verileri Koruma Kurulunun 09 Mart 2023 tarih ve 2023/341 sayılı kararı ile bu durum hakkında resen inceleme başlatılmış olup ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edilmektedir.
Kamuoyuna saygıyla duyurulur.
Kaynak: Kişisel Verileri Koruma Kurumu