Kişisel Bilgi Sızıntısı Olduğunda Ne Yapmalı? Şirketlerin Alması Gereken İdari Tepkileri Açıklıyoruz

İnternetin gelişmesi ve çevrimiçi bilgi alışverişinin mümkün hale gelmesiyle, şirketlerin önemli bilgileri beklenmedik şekillerde sızdırma durumları da artmaktadır.

Son yıllarda, bilginin değerinin artmasıyla birlikte, bir kez bilgi sızıntısı meydana geldiğinde, itibarın zarar görmesi büyük bir sorun haline gelebilmektedir. Şirketlerin, bilgi sızıntısı meydana geldiğinde hızlı ve uygun bir şekilde yanıt vermesi gerekmektedir.

Bu bölümde, bilgi sızıntısı meydana geldiğinde şirketlerin alması gereken önlemler arasında, idari önlemleri ayrıntılı olarak açıklıyoruz.

İdari Tepki Gerektiren Bilgi Sızıntıları da

Bilgi sızıntısı denildiğinde, bilginin içeriği ve önemi farklılık gösterir. İdari bir tepki gerektiren bilgi sızıntısı durumu, kişisel bilgilerin sızdırıldığı durumlardır.

Kişisel bilginin tanımı, aşağıdaki Japon Kişisel Bilgi Koruma Yasası (bundan sonra “Kişisel Bilgi Koruma Yasası” olarak anılacaktır.) Madde 2, Fıkra 1’de belirtilmiştir.

(Tanım)
Madde 2 Bu yasada “kişisel bilgi”, yaşayan bir birey hakkında bilgi olup, aşağıdaki maddelerden herhangi birine uyan bilgiyi ifade eder.
1. İsim, doğum tarihi ve diğer açıklamaları içeren bilgi (belge, çizim veya elektronik kayıt (elektronik, manyetik veya diğer algılanamaz yöntemlerle oluşturulan kayıtları ifade eder. Aynı şekilde, aşağıdaki madde 2’de de aynıdır.) dahil olmak üzere, belirli bir kişiyi tanımlayabilen bilgi (diğer bilgilerle kolayca karşılaştırılabilir ve bu sayede belirli bir kişiyi tanımlayabilir hale gelir.)
2. Kişisel tanımlama kodunu içeren bilgi

e-GOV｜Kişisel Bilgi Koruma Yasası[ja]

Yukarıdaki tanıma uyan bilgiler, kişisel bilgi olarak, Kişisel Bilgi Koruma Yasası’nın korumasını alır.

İlgili Makale: Kişisel Bilgi Koruma Yasası ve Kişisel Bilgi Nedir? Avukat Açıklıyor[ja]

Ayrıca, bir bilgi sızıntısı meydana geldiğinde, bir şirketin alması gereken tepkiler arasında, idari tepkinin yanı sıra bilgi açıklaması gibi durumlar da gerekebilir. Bu konuda aşağıdaki makaleye bakınız.

İlgili Makale: Bir Bilgi Sızıntısı Meydana Geldiğinde Şirketlerin Yapması Gereken Bilgi Açıklaması Nedir?[ja]

Kişisel Bilgi Sızıntısı Hakkında Raporlama Yükümlülüğü

Kişisel bilgi işleyen işletmeler, kişisel bilgi sızıntısı veya sızıntı riski olan bir durum ortaya çıktığında, durumun doğası gereği, Japon Kişisel Bilgi Koruma Komisyonu’na raporlama yükümlülüğüne sahiptirler.

Not: 2022 (Reiwa 4) yılının 1 Nisan’ından önce, sızıntı veya sızıntı riski olan bir durum ortaya çıktığında Japon Kişisel Bilgi Koruma Komisyonu’na raporlama, bir yükümlülük değil, bir çaba olarak kabul edilmiştir. Kişisel Bilgi Koruma Yasası’nın değiştirilmesi sonucunda, 2022 (Reiwa 4) yılının 1 Nisan’ından itibaren, Japon Kişisel Bilgi Koruma Komisyonu’na raporlama bir yükümlülük haline gelmiştir.

Burada “kişisel bilgi işleyen işletme” terimi, kişisel bilgi veritabanını iş amaçlı olarak kullananları ifade eder (Japon Kişisel Bilgi Koruma Yasası’nın 16. maddesi, 2. fıkra). Ancak, devlet kurumları, yerel halk kuruluşları, bağımsız idari kuruluşlar ve yerel bağımsız idari kuruluşlar, kişisel bilgi işleyen işletmeler arasında sayılmaz.

“Kişisel bilgi veritabanı vb.” terimi, kişisel bilgi içeren bilgi koleksiyonlarını ifade eder ve kullanım şekli göz önüne alındığında kişisel hak ve çıkarları zarar verme riski düşük olanlar hariç, aşağıdaki iki gereklilikten birini karşılayanları kapsar (Japon Kişisel Bilgi Koruma Yasası’nın 16. maddesi, 1. fıkra).

• Belirli kişisel bilgileri bir bilgisayar kullanarak arama yapabilecek şekilde sistemli bir şekilde düzenlenmiştir
• Belirli kişisel bilgileri kolayca arama yapabilecek şekilde sistemli bir şekilde düzenlenmiştir

Kişisel bilgi veritabanını iş amaçlı olarak kullanan işletmeler, Japon Kişisel Bilgi Koruma Komisyonu’na raporlama yükümlülüğüne sahip olacaktır.

İlgili Makale: 2022 Kişisel Bilgi Koruma Yasası Değişiklikleri – “İşletmelerin Sorumlulukları” Hakkında Dikkat Edilmesi Gerekenler[ja]

Kişisel Bilgi Koruma Komisyonu’na Rapor Edilmesi Gereken Dört Durum

Kişisel bilgilerin sızdırılması durumunda, Kişisel Bilgi Koruma Komisyonu’na rapor etme gerekliliği olan durumlar aşağıdaki dört durum olarak belirlenmiştir (Japon Kişisel Bilgi Koruma Yasası Uygulama Yönetmeliği Madde 7).

1. Kişisel verilerin sızdırılması veya sızdırılma riski olduğunda, hassas kişisel bilgiler bulunmalıdır.
2. Kişisel verilerin sızdırılması veya sızdırılma riski olduğunda, bu verilerin kötüye kullanılması sonucu maddi zarar oluşma riski bulunmalıdır.
3. Kötü niyetli bir amaçla gerçekleştirildiği düşünülen kişisel veri sızıntısı veya sızıntı riski olduğunda.
4. Kişisel verilere ilişkin kişi sayısının 1.000’i aşan bir sızıntı veya sızıntı riski olduğunda.

Aşağıda, bu durumları açıklıyoruz.

Hassas Kişisel Bilgilerin Sızdırılması

“Hassas kişisel bilgi”, kişinin ırkı, inancı, sosyal statüsü, sağlık geçmişi, suç geçmişi, suç mağduriyeti vb. hakkında bilgileri içerir ve bu bilgilerin işlenmesi sırasında kişiye yönelik haksız ayrımcılık, önyargı ve diğer zararların oluşmaması için özel dikkat gerektirir.

Örneğin, bir çalışanın sağlık kontrol sonuçları, çalışanın sağlık geçmişi hakkında bilgileri içerdiğinde, bu hassas kişisel bilgiye girer.

Maddi Zarar Riski Olan Kişisel Bilgilerin Sızdırılması

Burada, kötüye kullanıldığında maddi zarara yol açabilecek kişisel verilerin sızdırılması durumu düzenlenmiştir.

Örneğin, bir şirketin müşterinin kredi kartı bilgilerini sızdırması bu duruma girer.

Kötü Niyetli Amaçla Gerçekleştirilen Kişisel Bilgi Sızıntısı

Kişisel verileri sızdıran kişi veya kuruluşun kötü niyetli bir amacı olduğunda, bu durum geçerli olur.

Örneğin, bir üçüncü taraf veya şirket çalışanı, kişisel bilgileri kötüye kullanma amacıyla şirketin ağına izinsiz erişim sağlayıp kişisel verileri sızdırdığında bu duruma girer.

Büyük Ölçekli Kişisel Bilgi Sızıntısı

Kişisel verilere ilişkin kişi sayısının 1.000’i aşan bir sızıntı durumunda, bu durum geçerli olur.

Büyük miktarda kişisel veri işleyen şirketler için, bir seferde büyük miktarda kişisel veri sızıntısı oluşma riski bulunabilir, bu nedenle dikkatli olunmalıdır.

Kişisel Bilgi Koruma Kurulu’na Bilgi Sızıntısı Durumunda Bildirim Konuları

Bildirim yapılması gereken bir durum olduğunda, aşağıdaki Kişisel Bilgi Koruma Yasası Uygulama Yönetmeliği’nin (Japon Kişisel Bilgi Koruma Yasası) 8. maddesinin 1. fıkrasında belirtilen konuların bildirilmesi gerekmektedir.

(Kişisel Bilgi Koruma Kurulu’na Bildirim)
Madde 8 – Kişisel bilgi işleyen işletmeler, 26. maddenin birinci fıkrasının hükmüne göre bildirim yapacakları durumda, önceki maddede belirtilen durumu öğrendikten hemen sonra, aşağıda belirtilen konuları (bildirim yapmayı düşündüğü anda bilinenlerle sınırlıdır. Aynı durum bir sonraki madde için de geçerlidir.) bildirmelidirler.

e-GOV｜Kişisel Bilgi Koruma Yasası[ja]

Yukarıda belirtilen bildirimin gerektiği dört durumdan herhangi birine uygun olması durumunda, işletmenin hemen aşağıdaki konuları Kişisel Bilgi Koruma Kurulu’na bildirmesi gerekmektedir:

• Genel bakış
• Sızıntının meydana geldiği veya meydana gelme ihtimali olan kişisel veri öğeleri
• Sızıntının meydana geldiği veya meydana gelme ihtimali olan kişisel verilere ilişkin kişi sayısı
• Sebep
• İkincil zarar veya bu tür bir riskin varlığı ve içeriği
• Kişilere yönelik yanıtın uygulanma durumu
• Yayınlanma durumu
• Tekrarlama önleme tedbirleri
• Diğer referans konuları

Ancak, bu bildirim konularından sadece bildirim anında bilinenlerin bildirilmesi yeterlidir.

Kişisel Bilgi Koruma Kurulu’na Bilgi Sızıntısı Durumunda Raporlama Süresi

Kişisel Bilgi Koruma Kurulu’na raporlama konusunda belirlenmiş bir süre bulunmaktadır (Japon Kişisel Bilgi Koruma Yasası Uygulama Yönetmeliği Madde 8, Fıkra 2).

Kişisel Bilgi Koruma Kurulu’na yapılacak raporlama, genel olarak, bilgi sızıntısı gibi durumların farkına varıldığı tarihten itibaren 30 gün içinde yapılmalıdır. Kişisel verilerin sızdırılmasına neden olan kişi veya kurumun kötü niyetli bir amacı varsa, bu durumun raporlanması 60 gün içinde yapılmalıdır.

Kişisel Bilgilendirme Yükümlülüğü

Kişisel bilgi sızıntısı durumunda, Kişisel Bilgi Koruma Komisyonu’na bildirim yükümlülüğünün yanı sıra, kişiye bildirim yükümlülüğü de düzenlenmiştir (Japon Kişisel Bilgi Koruma Yasası’nın 26. maddesi 2. fıkrası).

Kişisel bilgilendirme, kişinin mümkün olduğunca erken bir aşamada kişisel bilgi sızıntısına karşı önlem alabilmesi ve bu sayede kişinin hak ve çıkarlarının ihlal edilmesinin önlenmesi amacıyla düzenlenmiştir. Bu nedenle, kişisel bilgi işleyen işletmelerin kişiye hızlı bir şekilde bildirim yapması gerekmektedir.

Özet: Kişisel Bilgi Sızıntılarına Yönelik İdari Tepkiler İçin Avukata Danışın

Yukarıda, bir şirkette kişisel bilgi sızıntısı meydana geldiğinde, şirketin yapması gereken tepkileri, özellikle idari tepkileri açıkladık.

Şirket olarak, bilgi sızıntısının meydana gelmemesi için gerekli düzenlemeleri yapmak önemlidir. Ancak, her ihtimale karşı, bilgi sızıntısı meydana gelirse uygun bir şekilde tepki vermek gereklidir.

Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası) hakkında, yasanın sık sık değiştirildiği ve bazı karmaşık yapıları olduğu için, uygun bir tepki vermek için uzman bilgisine sahip bir avukata danışmanızı öneririz.

Büromuz Tarafından Alınan Önlemler

Monolith Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk firmasıdır. Günümüzde, kişisel bilgilerin sızdırılması büyük bir sorun haline gelmiştir. Kişisel bilgilerin sızdırılması durumunda, bu durum şirket faaliyetlerini ölümcül bir şekilde etkileyebilir. Firmamız, bilgi sızıntısını önleme ve buna karşı önlemler konusunda uzman bilgiye sahiptir. Ayrıntılar aşağıdaki makalede belirtilmiştir.

https://monolith.law/practices/itlaw[ja]