1. Veri Sızdırma Kavramının Tanımı ve Mahiyeti
Veri sızdırma (Data Breach), bir veri sorumlusu (şirket, vakıf, kamu kurumu) tarafından muhafaza edilen hassas verilerin, siber saldırı, içeriden sızma veya teknik hatalar sonucunda yetkisiz kişilerce ele geçirilmesi veya kamuya ifşa edilmesidir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sızdırma bir "veri güvenliği ihlali"dir. İhlal gerçekleştiğinde sadece teknik bir sorun değil, aynı zamanda ciddi bir hukuki sorumluluk süreci başlar. Veri sorumlusu, bu verileri "emanet" olarak alan kişidir ve sızıntıyı önlemek için her türlü idari ve teknik tedbiri almamışsa; milyonlarca liralık idari para cezaları ve tazminat yükümlülükleri ile karşı karşıya kalır. Sızdırma, bazen bir hacker saldırısıyla, bazen ise bir personelin dikkatsizce paylaştığı Excel dosyasıyla gerçekleşebilir.
2. Veri Sızdırmada 72 Saat Kuralı
Hukukumuza göre, veri sızıntısını tespit eden veri sorumlusu, bu durumu en geç **72 saat** içinde Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Ayrıca etkilenen kişilere de (veri sahiplerine) derhal bilgi verilmelidir.
3. Veri Sorumlusunun Sorumluluğu
- İdari Sorumluluk: KVKK Kurulu tarafından kesilen yüksek miktardaki idari para cezaları.
- Hukuki Sorumluluk: Verisi sızan kişilerin açacağı maddi ve manevi tazminat davaları.
- Cezai Sorumluluk: İhmal sonucu kişisel verilerin yayılmasına neden olan sorumlular hakkında TCK m. 136 uyarınca hapis cezası.
4. Veri İhlali Sonrası Yapılması Gerekenler
Sızıntı fark edildiği an sistemler izole edilmeli, sızma giriş noktası saptanmalı (Forensic inceleme), Noter kanalıyla delil tespiti yapılmalı ve resmi bildirim sürelerine uyulmalıdır.
5. KVKK Kurulu and Danıştay Yaklaşımları
Yüksek yargı ve Kurul tarafından benimsenen mutlak kural; "Veri sızıntısının engellenemez olmamasının mazeret sayılmaması"dır. Kişisel Verileri Koruma Kurulu, bir şirketin verileri sızdıktan sonra "Saldırı çok profesyoneldi, engelleyemedik" savunmasını; eğer sistemde güncel bir güvenlik duvarı veya şifreleme yoksa kabul etmemektedir. Kurul kararlarına göre, veri sorumlusu "en son teknolojileri ve iyi uygulama örneklerini" hayata geçirmekle yükümlüdür. Danıştay ise, Kurul tarafından kesilen idari para cezalarına karşı açılan davalarda; idarenin "kusursuz sorumluluğa yakın" bir denetim yapmasını hukuka uygun bulmakta, ancak ceza miktarının ihlalin boyutuyla "ölçülü" olması gerektiğini vurgulamaktadır.
Mahkemeler arası uygulamada, "yurt dışı kaynaklı sızıntılar" kritiktir. Yargı, sunucuları yurt dışında olan şirketlerin de Türkiye'deki kullanıcılarının verilerini sızdırması durumunda KVKK'ya tabi olduğunu ve Türkiye'de muhatap bulamamanın cezayı engellemeyeceğini belirtmektedir. Son dönemde Kurul, toplu veri sızıntılarında "bildirim yükümlülüğünü yerine getirmeyen" şirketlere, sızıntının kendisinden daha ağır cezalar kesmeye başlamıştır. Ayrıca, verisi sızan milyonlarca kişinin açtığı "toplu davalar" yerine, her bir bireyin kendi zararını ispat ederek açtığı tazminat davaları mahkemelerce daha titiz incelenmektedir.
6. Genel Değerlendirme ve Sonuç
Veri sızdırma, dijital ekonominin en büyük riskidir. Veri güvenliği, bir şirketin sadece teknik departmanının değil, hukuk departmanının da en öncelikli işidir.
Sonuç olarak, veri sızıntısına kurban giden bireyler ile bu durumla karşılaşan şirketlerin süreci KVKK mevzuatına uygun yönetmeleri şarttır. Şişman Hukuk Bürosu olarak, veri sızıntısı bildirim süreçleri yönetimi; KVKK Kurulu savunmaları, verisi sızan bireyler için tazminat davaları ve şirketlerin veri güvenliği uyum projelerinde profesyonel hukuk desteği sunmaktayız.