top of page
Ara

KİŞİSEL VERİ İHLALLERİNİN ANATOMİSİ : Kişisel Verileri Koruma Kurulu Karar Özetleri Üzerinden Türkiye’de Veri Güvenliği Analizi


*Bu çalışma İkonion Hukuk ve Kariyer Derneği bünyesindeb bulunan "Bilgi Hukuk Teknoloji Kolektifi" üyelerinin katkılarıyla hazırlanmıştır.
*Bu çalışma İkonion Hukuk ve Kariyer Derneği bünyesindeb bulunan "Bilgi Hukuk Teknoloji Kolektifi" üyelerinin katkılarıyla hazırlanmıştır.

Kişisel verilerin korunması, dijitalleşmenin hız kazanmasıyla birlikte hem bireyler hem de kurumlar açısından kritik bir konu haline gelmiştir. Türkiye’de kişisel verilerin korunmasına ilişkin temel düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına kişisel verilerin işlenmesi, korunması ve aktarılmasına ilişkin çeşitli yükümlülükler getirmektedir.


Kişisel Verileri Koruma Kurulu tarafından yayımlanan kurul karar özetleri, söz konusu yükümlülüklerin uygulamadaki karşılığını göstermesi bakımından önemli bir veri kaynağı niteliği taşımaktadır. Kurul kararları yalnızca bireysel uyuşmazlıkların çözümünü değil, aynı zamanda veri sorumlularının hangi alanlarda daha sık hata yaptığını ve Kurulun hangi ihlalleri öncelikli risk olarak değerlendirdiğini ortaya koymaktadır.


Bu çalışma, Kişisel Verileri Koruma Kurulu tarafından yayımlanan karar özetlerinin sistematik olarak incelenmesi yoluyla Türkiye’de kişisel veri ihlallerinin hangi alanlarda yoğunlaştığını ve Kurul tarafından verilerin kararlarda bakış açısını ortaya koymayı amaçlamaktadır. Bu kapsamda kararlar; ihlal türleri, sektörler, teknik ve idari tedbir eksiklikleri gibi eçitli başlıklar altında analiz edilmiştir.


Çalışmanın amacı, Kurul kararlarından hareketle veri sorumlularının en sık karşılaştığı risk alanlarını belirlemek ve kamuoyunu bilgilendirmek için genel bir çerçeve sunmaktır.


Bu çalışmada Kişisel Verileri Koruma Kurumu tarafından yayımlanan kurul karar özetleri incelenmiştir. Analiz kapsamında toplam 252 kurul kararı değerlendirilmiştir.


Yöntem

Kararların analizinde öncelikle her bir karar metni ayrı ayrı incelenmiş ve karar içerisinde yer alan ihlal türleri, veri sorumlusu faaliyet alanı, , kanun kapsamında yükümlülükler, teknik ve idari tedbirler ile Kurul tarafından verilen karar sonuçları sınıflandırılmıştır. Bir kurul kararında birden fazla ihlal türü bulunabildiği için değerlendirmeler yalnızca karar sayısına göre değil, karar içerisinde yer alan ihlal türlerinin dağılımı dikkate alınarak yapılmıştır.


Analiz sürecinde özellikle aşağıdaki başlıklar esas alınmıştır:


  • Aydınlatma yükümlülüğüne ilişkin ihlaller

  • Açık rıza alınmasına ilişkin ihlaller

  • Teknik ve idari veri güvenliği tedbirlerine ilişkin eksiklikler

  • Veri sorumlularının faaliyet gösterdiği ana sektörler

  • Kurul tarafından verilen yaptırım ve talimat kararları


Teknik ve idari tedbirler, Kişisel Verileri Koruma Kurumu tarafından yayımlanan Veri Güvenliği Rehberi kapsamında belirtilen tedbir kategorileri esas alınarak sınıflandırılmıştır. Bu kapsamda erişim kontrolü, log kayıtları, yetki yönetimi, sözleşme düzenlemeleri, eğitim faaliyetleri ve kurumsal politika eksiklikleri gibi unsurlar ayrı başlıklar altında değerlendirilmiştir.


Çalışmada kullanılan analiz yaklaşımı, kurul kararlarında en sık karşılaşılan ihlal türlerini ve sektör bazlı risk alanlarını ortaya koymaya yönelik olup karar metinlerinde yer alan bulguların sistematik olarak sınıflandırılması esasına dayanmaktadır. Bu çalışma kapsamında yapay zekadan faydalanılmış olup yapılan analizde hata payı bulunmaktadır.

1) İhlal Türlerine Göre Kurul Kararları

Kişisel Verilerin Korunması Kurulu kararlarından İncelenen toplam 252 karar bulunmaktadır.


İncelenen her kararda belirtilen tedbir eksiklikleri Kişisel Veri Güvenliği Rehberinde bulunan İdari tedbirler ve Teknik tedbirler sınıflandırmasına göre iki ana gruba ayrılmıştır.



Kurul Karar özetlerinde her bir kararda birden fazla ihlal olabildiği için sayım ihlaller üzerinden yapılmıştır.


İncelemeler sonucunda 252 kararda tespit edilen tedbir ihlali sayısı 363’tür. Kurul kararlarının analizi neticesinde veri ihlallerinin önemli bir kısmının teknik altyapı eksikliğinden değil, organizasyonel veri yönetişimi eksikliğinden kaynaklandığı anlaşılmaktadır. Bu bulgu, KVKK uyum süreçlerinde teknik güvenlik yatırımlarının tek başına yeterli olmadığını; kurumsal politika, eğitim, sözleşme yönetimi ve iç denetim mekanizmalarının kritik önem taşıdığını ortaya koymaktadır.


2) Yükümlülük İhlalinin Oransal Değerlendirmesi



Analizde her bir ihlal türü, ilgili ihlalin geçtiği karar sayısı esas alınarak hesaplanmıştır. Bir karar içinde aynı ihlal türünün birden fazla olması durumunda ilgili karar yalnızca bir kez sayılmıştır. Bununla birlikte, bir kurul kararında birden fazla ihlal türü aynı anda bulunabilmektedir. Bu nedenle aynı karar içerisinde hem aydınlatma yükümlülüğü ihlali, hem açık rıza ihlali, hem de teknik ve idari tedbirlere ilişkin eksiklikler birlikte değerlendirilebilmiştir. Dolayısıyla ihlal kategorileri birbirini dışlayan nitelikte değildir ve aynı karar birden fazla kategori içerisinde yer alabilmektedir. Özellikle veri güvenliğine ilişkin değerlendirmelerde teknik ve idari tedbir eksiklikleri aynı karar kapsamında birlikte tespit edilebildiğinden, analiz her bir tedbir türünün ilgili kararlarda yer alıp almamasına göre ayrı ayrı yapılmıştır.


3) İdari ve Tekbik Tedbir Eksiklikleri (Oran)

İdari tedbirlere ilişkin analiz yapılırken kurul kararlarında yer alan her bir tedbir eksikliği ayrı bir ihlal kategorisi olarak değerlendirilmiştir. Bir kurul kararında birden fazla idari tedbir eksikliğinin bulunabilmesi nedeniyle toplam ihlal sayısı karar sayısından daha yüksek olabilmektedir. Bu nedenle tabloda yer alan oranlar karar sayısına göre değil, ilgili tedbir eksikliğinin karar metinlerinde yer alma sıklığına göre hesaplanmıştır.


Bununla birlikte kişisel veri işleme envanterinden iki kararda bahsedilmekte iken VERBİS kaydı bir karar özetinde yer almaktadır.



Teknik tedbir eksikliklerine ilişkin analizde her bir teknik tedbir kategorisinin kurul kararlarında yer aldığı karar sayısı esas alınmıştır. Oranlar, ilgili teknik tedbir eksikliğinin geçtiği karar sayısının toplam incelenen kurul karar sayısına bölünmesiyle hesaplanmıştır. Bir kurul kararında birden fazla teknik tedbir eksikliğinin bulunabilmesi nedeniyle aynı karar birden fazla teknik tedbir kategorisinde yer alabilmektedir.


Kurul kararları incelendiğinde teknik tedbir eksikliklerinin önemli bir kısmının erişim kontrolü ve log yönetimi alanlarında yoğunlaştığı görülmektedir.

Bu durum veri ihlallerinin çoğunun:

-Yetkisiz erişim,

-Yanlış kullanıcı tanımları,

-İzleme mekanizmasının eksikliği,

gibi temel güvenlik yönetimi problemlerinden kaynaklandığını göstermektedir.



Toplam 252 karar incelenmiştir. Her kararda belirtilen tedbir eksikliklerini KVKK Veri Güvenliği Rehberi’ndeki sınıflandırmaya göre iki ana gruba ayrılmıştır.


Bu durum Kurul kararlarının önemli bir kısmında veri ihlallerinin:

  • organizasyonel süreç eksiklikleri

  • erişim yönetimi hataları

nedeniyle ortaya çıktığını göstermektedir.


Kararlarının analizi, veri ihlallerinin önemli bir kısmının teknik altyapı eksikliğinden değil, organizasyonel veri yönetişimi eksikliğinden kaynaklandığını göstermektedir. Bu bulgu, KVKK uyum süreçlerinde teknik güvenlik yatırımlarının tek başına yeterli olmadığını; kurumsal politika, eğitim, sözleşme yönetimi ve iç denetim mekanizmalarının kritik önem taşıdığını ortaya koymaktadır.


4) Kurul Kararlarında İnsan Hatası Analizi


Kurul kararlarının incelenmesi sonucunda veri ihlallerinin yaklaşık %41’inin insan hatasından kaynaklandığı görülmektedir. Bu bulgu, veri güvenliği ihlallerinin önemli bir bölümünün kurumsal süreç ve personel hatalarından kaynaklandığını ortaya koymaktadır. Bu nedenle veri güvenliği politikalarının yanında personel eğitimi, erişim yetkisi yönetimi gib kritik unsurlar karşımıza çıkmaktadır.


252 kurul kararını tararken “insan hatasına bağlı veri ihlali” olarak kabul ettiğimiz durumlar şu kalıplarla belirlendi:


İnsan hatası kategorisi

  • Yanlış kişiye e-posta gönderilmesi

  • Yanlış alıcıya SMS / bildirim gönderilmesi

  • Bir müşterinin verisinin başka müşteriye gönderilmesi

  • Excel / liste / dosyanın yanlış paylaşılması

  • Yetkisiz çalışanın veriye erişmesi

  • Personelin yanlış işlem yapması

  • Toplu mail gönderiminde adreslerin açık bırakılması


Bu tür ifadelerin geçtiği kararlar “insan hatası kaynaklı ihlal” olarak sayılmıştır.


5) Sektör × KVKK İhlal Yoğunluğu Isı Haritası


Kurul kararlarının sektörel dağılımı incelendiğinde, veri ihlallerinin büyük bölümünün veri güvenliği yükümlülüğünün ihlali kapsamında ortaya çıktığı görülmektedir. Özellikle sağlık, telekomünikasyon ve finans sektörlerinde kişisel verilerin korunmasına ilişkin teknik ve idari tedbirlerin yetersizliği veri ihlallerinin temel nedenini oluşturmaktadır.


Tüm sektörlerde en yoğun ihlal türü KVKK madde 12 kapsamında veri güvenliği yükümlülüğünün ihlali olarak karşımıza çıkmaktadır.


Bu ihlaller çoğunlukla yanlış e-posta gönderimi, yetkisiz erişim, sistem hatası, yanlış kişisel veri paylaşımı şeklinde ortaya çıkmaktadır.


Bununla birlikte Finans ve Bankacılık sektörü kurul karar özetlerinde lider konumda karşımıza çıkmaktadır.


Sağlık sektörü en riskli sektörlerden biri olarak gözükmekteyken, sağlık sektöründe ihlaller çoğunlukla hasta verilerinin korunamaması, sağlık verilerinin yanlış kişilere iletilmesi, veri güvenliği tedbirlerinin yetersizliği nedeniyle ortaya çıkıyor.



E-ticaret sektörün ağırlıklı olarak aydınlatma yükümlülüğünün ihlali ve açık rıza sorunları karşımıza çıkmaktadır. E-ticaret kararlarında öne çıkan ihlaller açık rıza alınmaması, aydınlatma metinlerinin eksik olması, pazarlama amaçlı kişisel verilerin hukuka aykırı kullanımı olarak karşımıza çıkmaktadır.


Sonuç


Bu çalışma kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde yayımlanan ve Kişisel Verileri Koruma Kurulu tarafından kamuoyuyla paylaşılan kurul karar özetleri incelenmiş; toplam 252 karar üzerinden kişisel veri ihlallerinin uygulamadaki görünümü analiz edilmiştir. Yapılan değerlendirmeler, kişisel verilerin korunmasına ilişkin yükümlülüklerin yalnızca hukuki bir düzenleme olmaktan öte, kurumların operasyonel süreçlerinin ayrılmaz bir parçası olduğunu göstermektedir.


Analiz sonuçları, veri sorumlularının özellikle aydınlatma yükümlülüğü, açık rıza süreçleri ve veri güvenliğine ilişkin teknik ve idari tedbirler alanlarında daha sık ihlallerle karşılaştığını ortaya koymaktadır. Bununla birlikte kararlar, veri güvenliğinin yalnızca teknik altyapı ile sınırlı olmadığını; kurumsal politika eksiklikleri, personel farkındalığı, sözleşmesel düzenlemeler ve erişim yetkilendirme mekanizmaları gibi idari unsurların da veri ihlallerinde belirleyici rol oynadığını göstermektedir.


Sektörel dağılım açısından değerlendirildiğinde ise kişisel veri işleme faaliyetinin yoğun olduğu alanlarda ihlal riskinin daha görünür olduğu anlaşılmaktadır. Kurul kararları, özellikle kişisel verilerin yetkisiz kişilerle paylaşılması, veri güvenliğinin yeterince sağlanamaması ve ilgili kişilerin haklarına ilişkin taleplerin gereği gibi karşılanmaması gibi durumların Kurul tarafından öncelikli değerlendirme alanları arasında yer aldığını göstermektedir.


Bu bağlamda kurul kararları, yalnızca bireysel başvuruların sonuçlarını içeren idari kararlar olmanın ötesinde, veri sorumluları için önemli bir uygulama rehberi niteliği taşımaktadır. Kararlarda yer alan değerlendirmeler, kurumların veri işleme faaliyetlerini gözden geçirmeleri, risk alanlarını tespit etmeleri ve veri güvenliği yönetim sistemlerini geliştirmeleri açısından önemli bir referans oluşturmaktadır.


Sonuç olarak bu çalışma, kurul kararlarından hareketle Türkiye’de kişisel veri ihlallerinin yoğunlaştığı alanları ortaya koymayı ve veri sorumlularına yönelik genel bir farkındalık çerçevesi sunmayı amaçlamaktadır. Bununla birlikte karar özetleri üzerinden yapılan bu analiz, kişisel veri ihlallerinin genel eğilimlerini ortaya koysa da daha kapsamlı değerlendirmeler için farklı veri kaynakları ve daha geniş veri setleri ile yapılacak çalışmaların literatüre katkı sağlayacağı değerlendirilmektedir.


Çalışmaya Katkıda Bulunanlar


İkonion Hukuk ve Kariyer Derneği - Bilgi Hukuk ve Teknoloji Kolektifi


Av. Girayhan OCAK

Editöryal Düzenleme - Karar Analizi

Av.Beyzanur ÖKSÜZ

Editöryal Düzenleme - Karar Analizi

Av. Kenan ÖZEL

Karar Analizi

Av. Nujin AK

Karar Analizi

Av. Aleyna ÇEVEN

Karar Analizi



 
 
 

Yorumlar

İletişim Bilgilerimiz

ikonionhukukvekariyerdernegi@gmail.com

Çınar Mah, Tokatlı Plaza, 5003/3 Sk. No:3 K:2 D:211, 35090 Bornova/İzmir

  • twitter
  • instagram
  • Telegram
  • linkedin
  • youtube

Bu sitedeki hiçbir içerik hukuki tavsiye değildir ve hukuki tavsiye olarak kabul edilemez. Söz konusu metinler hazırlanırken o tarihte yürürlükte olan yasal mevzuat esas alınmış olup; ileri tarihte gerçekleşecek mevzuat değişiklikleri çerçevesinde farklılıklar meydana gelebilir.

Diğer internet sitelerine yapılan bağlantılar, bu sitelerin teşvik edildiği veya onaylandığı anlamına gelmez.

Kişisel Verilerin Korunması İnternet Sitesi Aydınlatma Metni 

Gizlilik Politikamız

bottom of page