VERİ İHLALİ NEDİR?
Kişisel Verilerin Korunması Kanunu’nda kişisel veri ihlaline ilişkin özel bir tanım bulunmamakta olup KVKK m.12/4’te “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.” ve m.12/5’te “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde…” ifadesine yer vererek veri ihlalinin çerçevesini belirlemiştir.
Buna göre kişisel veri sahibi kişinin kişisel verilerinin kanuni olmayan şekilde başkalarına aktarılması, kişisel verilerin işlenme amaçları dışında kullanılması, kanuni olmayan şekilde başkalarınca ele geçirilmesinin kişisel veri ihlali olarak nitelendirileceği ancak tanımın bu ifadelerle sınırlandırılmaması gerektiği anlaşılmaktadır.
GDPR M.4
Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) 4. maddesinde ise kişisel veri ihlali tanımlanmış olup bu yönüyle KVKK ile farklılık göstermektedir. Buna göre GDPR, kişisel veri ihlalini “kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir” olarak tanımlayarak konuya kendi açısından netlik getirmektedir.
GENİŞ İZAFİYET
Kişisel verileri koruma kurumunun vermiş olduğu kararlardan da anlaşılacağı üzere kişisel veri ihlali her ne kadar tanım olarak belirlenebilir olsa da pratikte çok farklı şekilde ihlaller gerçekleşebilmektedir. Bu sebeple veri sorumlularının eylemlerine azami ölçüde dikkat etmesi, KVKK uyum süreci boyunca yol haritalarını nizami biçimde oluşturmaları ve kendi yol haritalarına bağlı bir kurum kültürü oluşturmaları gerekmektedir.