Diyelim ki Kullandığınız Bir Uygulama Hacklendi: Peki Kişisel Bilgileriniz Ele Geçirilir ve Paylaşılırsa Ne Yapmalısınız?

Kişisel verilerimiz her gün her dakika ele geçirilme riskiyle karşı karşıya. Peki verilerinizin ele geçirildiğini, ya da kötüye kullanıldığını öğrenirseniz neler yapmalısınız? Bu sorunun cevabını, Kişisel Verileri Koruma Kanunu’ndan yola çıkarak en açıklayıcı şekilde verdik.

İnternet çağında temelde hiç kimsenin kişisel bilgileri güvende değil, hepimiz bu gerçekle yüzleşmeliyiz. Verilerimizi emanet ettiğimiz ‘veri sorumluları’, yani bu veriyi bizden alan ve kanunen korumakla yükümlü olan her türlü kişi/kurum/şirket (tüzel kişi), herhangi bir zamanda bir saldırıya uğrayabilir. Eğer saldırganlar, herhangi saldırı yöntemi kullanarak bu kurumun güvenlik seviyesini alt etmeyi başarırsa, verilerimizin bir kısmına ya da tamamına ulaşabilir.

Peki biz hizmetlerinden faydalandığımız kişilerin/tüzel kişilerin verilerimizi koruyamadıkları zamanda, yani verilerimiz ele geçirildiğinde veya verilerimiz, veri sorumlularınca kötüye kullanıldığında neler yapmalıyız? Aslında içinde bulunduğumuz şartlar içinde bu sorunun cevabı oldukça sınırlı. Yine de özellikle son zamanlarda kafaları kurcalayan bu sorunun cevabını aydınlatmak için, Kişisel Verileri Koruma Kurumu’nu ve Kişisel Verileri Koruma Kanunu’nu kaynak alarak olaya olabildiğince açıklık getirdik.

Öncelikle veri sorumlularının bazı yükümlülüklerini hatırlatalım:

Verilerimizin ne zaman geçirildiği konusunda da hiçbir şekilde kesin bilgi sahibi olamıyoruz. Bu konuda veri sorumluları da bizlerle aynı noktada yer alabiliyorlar. Fakat veri sorumlusu, Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 5. fıkrasına göre verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgili kişilere ve Kurula bildirmesi zorunlu tutulmaktadır. ‘En kısa sürede’, KVKK tarafından 2019/10 sayılı Karar uyarınca 72 saat olarak tanımlanmıştır.

Bununla birlikte veri sorumlusu, veri ihlalinden etkilenen kişilerin de durumdan haberdar olmasını, ulaşılabiliyorsa doğrudan kendisine, ulaşılamıyorsa kendi internet sitesinden uygun yöntemlerle bildirim yapmakla yükümlüdür.

Fakat veri sahibi olarak bizler, veri sorumlusunun açıklamasını beklemeden durum hakkında bilgilendirme talep edebilir, eğer gelen cevabı yetersiz bulursak doğrudan Kişisel Verileri Koruma Kurulu’na şikâyette bulunabiliriz. Nasıl mı?

Kişisel Verileri Koruma Kanunu’nun 11. maddesine göre her bir birey, veri sorumlusuna başvurarak kendisiyle ilgili

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Veri sahibi olarak bizler, veri sorumlularına KVKK’nın uygulanmasıyla ilgili talepleri yazılı olarak gönderme hakkına sahibiz. Veri sorumluları da bu talebi en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür (işlemin maliyet gerektirmesi halinde veri sorumlusu, veri sahibinden ücret talep edebilir). Veri sorumlusu, talebi kabul eder/reddederse bunu yazılı olarak veya elektronik ortamda veri sahibine bildirir.

Başvurunuzun reddedilmesi, verilen cevabı yetersiz görmeniz veya 30 gün içinde başvurunuza cevap verilmemesi durumunda yaptığınız başvurunun tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirsiniz. Fakat burada unutulmaması gereken bir şey bulunuyor:

  • ÖNEMLİ: Kanun’un 13. maddesinin 1 numaralı ve 14. maddesinin 2 numaralı fıkrası gereğince Kuruma başvurmadan önce veri sorumlusuna başvuru yapmak zorundasınız. Yani veri sahibine ulaşmaya çalışmadan önce doğrudan Kuruma şikâyette bulunma hakkınız yok. Veri sorumlusuna başvurmadan/başvurudan 60 gün sonra yapılan şikâyetler, Kurum tarafından değerlendirmeye alınmamaktadır. Veri sorumlusuna yaptığınız başvurunun ardından 30 gün boyunca da gelecek cevabı beklemek zorundasınız. Ancak cevap gelmediği/gelen cevabı yukarıdaki nedenlerden dolayı yetersiz bulmanız halinde şikâyette bulunabilirsiniz.

Bu kapsamda veri sahibi olarak kanunen ilk önce veri sorumlusuna, ardından KVKK’ya başvuruda bulunmak zorundayız. Ancak az sonra bunun da zorunlu olmadığı bir yoldan başvuracağız: Konuyu yargıya taşımak. Şimdi gelin, veri sorumlusuna şikâyette bulunduktan sonra gerekli şartlar karşılandığından nasıl şikâyette bulunabileceğinizi anlatalım.

Veri sorumlusuna verilerimin ele geçirilip geçirilmediğini sordum ya da ele geçirildiğini söyledim ve kanıt sundum. Ancak bana gelen cevabı yeterli bulmadım/cevap alamadım. Kişisel Verileri Koruma Kurumu’na nasıl şikâyette bulunurum?

Veri sorumlusu tarafa ulaştıktan sonra yukarıda da bahsettiğimiz nedenlerden dolayı ve cevap alamamanız halinde Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilirsiniz. Şikâyette bulunmak için şu adımları izleyin:
 

  • KVKK’nın ‘Şikâyet Modülü’ sayfasına bu bağlantıya tıklayarak ulaşın.
  • Giriş için tıklayınız’ seçeneğine basın ve platforma e-Devlet ile giriş yapın. İlk kez giriş yapıyorsanız, bir sonraki adımdan sonra profilinizi tamamlayın.
  • Vekil, veli/vasi başvuruları elektronik ortamda alınmamaktadır.’ uyarısını dikkate alarak ‘Devam et’ seçeneğine tıklayın. Eğer uyarıda tabir edilen kişiler iseniz, platformdan çıkış yapın.
  • Sol menüden ‘Şikâyetler’ sayfasına tıklayın ve açılan sayfada ‘Yeni Şikâyet Oluştur’ seçeneğine basın.
  • Kanun kapsamındaki talebinize yönelik olarak veri sorumlusuna başvuruda bulundunuz mu?’ sorusuna cevap verin. (Bahsettiğimiz üzere eğer önceden başvuruda bulunmadıysanız, şimdi yapacağınız şikâyet geçersiz sayılacaktır.)
  • Cevap verdikten sonra açılan formda yer alan kutucukları istenilen bilgilerle doldurun. (*) ile işaretlenen alanların doldurulması zorunludur.
  • Şikâyetiniz için gerekli olan alanları doldurduktan sonra ‘Kaydet’ seçeneğine basın. Daha sonra açılan sayfadaki bilgileri kontrol ederek ‘Onayla ve Gönder’ seçeneğine tıklayın.

Şikâyetinizin ardından eğer elinize iletmeniz gereken yeni bir bilgi geçerse, bu bilgiyi şikâyet sayfasındaki ‘Detay/Belge Ekle’ seçeneğine tıklayarak ekleyebilirsiniz.

Kişisel Verileri Koruma Kurulu, şikâyetiniz üzerine veya veri ihlali iddiasını öğrenmesi durumunda görev alanına giren konularda verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almakla sorumludur.

Sorununuzla ilgili veri sorumlusuna ya da KVKK’ya ulaşmadan da aksiyon alabilirsiniz:

Veri sahipleri olarak bizler, veri sorumlusuna başvuru yapmadan konuyu yargıya taşıma hakkına sahibiz. Yani verinizle ilgili herhangi bir ihlal durumunu, ilk önce veri sorumlusuna ulaşma zorunluluğu olmaksızın doğrudan yargıya taşıyabilirsiniz.

Son olarak veri sahibi olarak, veri ihlali durumunda uğradığınız zararın tazmini için dava yoluna giderek tazminat talebinde bulunabilirsiniz.

Verilerinizin ele geçirilmesini/kötüye kullanılmasını hiçbir zaman tamamen engelleyemezsiniz. Ancak bu durumu daha zor hale getirmek ya da ortaya çıkacak zararı en az düzeye indirmek için alabileceğiniz önlemler bulunuyor:

  • Bilmediğiniz, şüpheli duran ve gözüken e-postaları kesinlikle açmayın.
  • Cihazlarınızın en güncel sürümde olduğuna dikkat edin.
  • Büyük-küçük harfli, rakamlı ve özel işaretli karmaşık güçlü şifreler oluşturun ve kullanın.
  • İki faktörlü kimlik doğrulama yöntemini mümkün olan her platformda kullanın.
  • Ziyaret edeceğiniz internet sitelerinin adreslerini inceleyin, şüpheli adreslerden uzak durun.
  • Adres çubuğunda internet sitesinin adresi “https://” ile başlamıyorsa bu internet sitelerine bilgilerinizi vermekten kaçının.
  • Dosya indirirken şüpheli indirmelere karşı tetikte olun.

Eğer hiçbir şekilde bilgilerinizin ele geçirilmesini istemiyorsanız, internet kullanmamalısınız, kullanan kişilerle de tanışmamalısınız....