Küçük Web Sitesinde Kişisel Veri İhlali Bildirim Süreci KVKK'ya Göre Nasıl İşletilir?

Question

Dün akşam sitemizde ufak bir güvenlik açığı nedeniyle kullanıcı e-postalarının sızdığına dair şüphelerim var. Panikledim ne yapacağımı bilemiyorum. Küçük bir web sitesi olduğumuz için kaynaklarımız kısıtlı, bu süreçte hukuki olarak doğru adımları atmak ve olası cezaları önlemek için pratik bir yol haritasına ihtiyacım var.

Answer 1

Merhaba değerli dostum,

Öncelikle derin bir nefes almanızı rica ediyorum. Dün akşam sitenizde yaşadığınız bu güvenlik açığı şüphesiyle paniklemek son derece doğal. Sizinle empati kurabiliyorum; küçük bir web sitesi işletirken kaynakların kısıtlı olması, böyle bir durumla karşılaşıldığında ne yapacağını bilememe hali gerçekten zorlayıcı olabilir. Ama merak etmeyin, yalnız değilsiniz ve bu süreci doğru adımlarla yönetmek kesinlikle mümkün.

Türkiye'nin önde gelen bir uzmanı olarak size bu konuda yol göstermekten ve içtenlikle destek olmaktan mutluluk duyarım. Bu makalede, KVKK'ya göre küçük bir web sitesinde kişisel veri ihlali bildirim sürecini nasıl yöneteceğinize dair pratik bir yol haritası sunacağım. Amacımız, hem hukuki yükümlülüklerinizi yerine getirmenizi sağlamak hem de olası cezaları önlerken marka itibarınızı korumanıza yardımcı olmak.

Hadi başlayalım ve bu durumu bir fırsata çevirelim!

Paniklemeyin, Adım Adım İlerleyin: İlk Müdahale

Öncelikle, şu anda hissettiğiniz o panik duygusunu bir kenara bırakalım. Tecrübeyle sabit ki, en büyük hatalar genellikle panik anında, aceleyle ve plansız atılan adımlardan kaynaklanır.

1. Durumu Tespit Et ve Durdur (Kanama Durdurma)

Şu anki önceliğiniz, potansiyel güvenlik açığını tespit etmek ve veri sızıntısının devam etmesini engellemektir.

• Şüphenin Kaynağı Nedir? "Ufak bir güvenlik açığı" dediğiniz şey tam olarak ne? Bir eklenti mi, tema mı, sunucu ayarı mı, yoksa bir şifre zafiyeti mi?
• Hemen Müdahale Edin: Eğer bir eklentiden veya temadan şüpheleniyorsanız, geçici olarak devre dışı bırakın. Eğer sunucu tarafında bir anormallik sezdiyseniz, hosting firmanızla derhal iletişime geçin. Şifrelerinizin zayıf olduğunu düşünüyorsanız, hemen değiştirin ve tüm yönetici şifrelerini güçlendirin.
• Erişimi Kısıtla: İhlalin daha fazla yayılmasını önlemek için gerekirse siteye yönetici erişimini geçici olarak kısıtlayın veya sadece beyaz listeye alınmış IP'lerden erişime izin verin.

2. Kanıt Toplayın ve Her Şeyi Kaydedin

Bu adım, ileride hem KVK Kurumu'na yapacağınız bildirimde hem de olası bir incelemede sizin en büyük destekçiniz olacaktır.

• Ekran Görüntüleri ve Log Kayıtları: Güvenlik açığını gösteren, sızıntıya dair delil olabilecek her türlü ekran görüntüsünü alın. Sunucu loglarını, hata kayıtlarını, web uygulama güvenlik duvarı (WAF) kayıtlarını inceleyin ve mümkünse indirin/yedekleyin.
• Zaman Çizelgesi Oluşturun: Olayın ne zaman başladığına dair bir tahmininiz var mı? Hangi saatte, ne tür bir anormallik fark ettiniz? Bu kronolojik bilgileri bir yere not edin.
• Etkilenen Veri Türünü ve Miktarını Belirleyin: "Kullanıcı e-postaları sızmış" dediniz. Sadece e-postalar mı, yoksa isim, soyisim, telefon numarası, adres gibi başka kişisel veriler de etkilendi mi? Kaç kullanıcının verisi potansiyel olarak sızdı? Bu bilgileri netleştirmeye çalışın. Sayısal veri (örneğin, "X adet e-posta adresi") çok önemlidir.

KVKK'ya Göre Bildirim Süreci: 72 Saat Kuralı ve Ötesi

Kanama durdu, kanıtlar toplandı. Şimdi sıra KVKK'nın gerektirdiği bildirim sürecine geldi. İşte kritik noktalar:

1. Kime Bildirim Yapılmalı?

İki ana bildirim kanalınız var:

• Kişisel Verileri Koruma Kurumu (KVKK): Bu, yasal yükümlülüğünüzün en önemli ayağıdır. Kurum'a bildirim yapmanız zorunludur.
• İlgili Kişiler (Veri Sahipleri): Yani sizin durumunuzda, e-postaları sızdığına şüphe duyduğunuz kullanıcılarınız. Onları da bilgilendirmeniz gerekmektedir.

2. Ne Zaman Bildirim Yapılmalı? (72 Saat Kuralı)

KVKK'nın 12. maddesi ve Veri İhlali Bildirimi Tebliği çok açık: Bir kişisel veri ihlalinin öğrenildiği andan itibaren en geç 72 saat içinde KVK Kurumu'na bildirim yapılmalıdır. Bu süre, panik için değil, hızlı ve doğru adımlar atmanız içindir.

• "Öğrenildiği An": Bu, sizin sızıntıdan haberdar olduğunuz anı ifade eder. Yani dün akşamki şüphenizin başladığı an, 72 saatlik sürenizin başlangıcı sayılabilir.

3. Nasıl Bildirim Yapılmalı? (VERBİS ve Diğer Yöntemler)

• KVK Kurumu'na Bildirim (VERBİS): Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden veri ihlal bildirimi modülünü kullanarak bu bildirimi yapmanız gerekmektedir. Eğer henüz VERBİS'e kayıtlı değilseniz, bu ihlal bildirimini yapabilmek için öncelikle kayıtlı olmanız gerekecektir.
  • Küçük Web Siteleri İçin Not: VERBİS kaydı yükümlülüğünden muaf olsanız dahi, veri ihlali yaşandığında KVK Kurumu'na bildirim yükümlülüğünüz devam eder. Bu durumda, Kurum'un internet sitesindeki "Veri İhlali Bildirim Formu"nu doldurarak veya Kurum'un belirlediği diğer yöntemlerle (KEP, ıslak imzalı dilekçe vb.) bildirim yapmanız gerekir. Ancak en yaygın ve kolay yol VERBİS üzerinden yapmaktır. Bu yüzden muafiyet durumunuzu kontrol etmek ve gerekirse VERBİS'e kayıt olmak iyi bir adımdır.
• İlgili Kişilere Bildirim: Bu bildirimi, etkilenen veri sahiplerinin mümkün olan en kısa sürede ihlalin etkilerini en aza indirebilmeleri için yapmalısınız. Genellikle e-posta yoluyla veya web sitenizde bir duyuru yayınlayarak yapılır.

4. Bildirimde Hangi Bilgiler Olmalı?

KVK Kurumu'na yapacağınız bildirimde ve ilgili kişilere yapacağınız bilgilendirmede aşağıdaki temel bilgilerin bulunması önemlidir:

• İhlalin Türü: Örneğin, "yetkisiz erişim sonucu e-posta adreslerinin sızması."
• İhlalin Gerçekleştiği Tarih: Tahmini veya kesin tarih.
• Etkilenen Kişisel Veri Kategorileri: Sadece e-posta adresleri mi, yoksa isim, adres gibi başka veriler de mi var?
• Etkilenen Veri Sayısı: Kaç kişinin verisi ihlalden etkilendi? (Örneğin, 500 kullanıcının e-posta adresi.)
• İhlalin Olası Sonuçları: Kullanıcıların spam alması, kimlik avı saldırılarına maruz kalması gibi potansiyel riskler.
• Alınan veya Alınması Planlanan Tedbirler: Güvenlik açığını kapattığınız, şifreleri güçlendirdiğiniz vb.
• İlgili Kişilerin İhlalin Sonuçlarını Azaltmak İçin Yapabileceği İşlemler: Örneğin, şifrelerini değiştirmeleri, bilinmeyen e-postaları açmamaları gibi.
• İrtibat Kişisi ve Bilgileri: Kullanıcıların sorularını yönlendirebileceği bir e-posta adresi veya telefon numarası.

Kullanıcılara Duyuru: Dürüst ve Şeffaf Olun

Kullanıcılarınıza yapacağınız bildirimde dürüst ve şeffaf bir dil kullanmak, marka itibarınızı korumanız açısından çok önemlidir.

Örnek Bir E-posta Taslağı:

Konu: [Web Sitesi Adınız] Güvenlik Duyurusu: Potansiyel Veri İhlali Bildirimi

Merhaba [Kullanıcı Adı],

Sitemizde yaşanan talihsiz bir güvenlik açığı nedeniyle, [tarih] tarihinde [websiteniz.com] sitemizden [e-posta adresleri] gibi kişisel verilerinizin yetkisiz kişilerce ele geçirilmiş olabileceğine dair bir şüphe oluşmuştur.

Bu durumdan dolayı duyduğumuz üzüntüyü ve sorumluluğumuzu belirtmek isteriz. Olaya anında müdahale edilerek güvenlik açığı tespit edilmiş ve kapatılmıştır. Yapılan incelemeler neticesinde, şu an için [e-posta adresleriniz dışındaki başka bir veri sızıntısı tespit edilmemiştir / X veri kategorisi de etkilenmiştir].

Bu durumun sizi nasıl etkileyebileceği ve almanız gereken önlemler:

1. Şifre Değişikliği: Eğer [websiteniz.com] için kullandığınız şifreyi başka sitelerde de kullanıyorsanız, bu şifreleri hemen değiştirmenizi önemle rica ederiz. Her site için farklı ve güçlü şifreler kullanmak en güvenli yöntemdir.
2. Kimlik Avı (Phishing) Saldırılarına Dikkat: Bu süreçte size [websiteniz.com] gibi görünen ancak aslında sahte olan e-postalar gönderilebilir. Bilinmeyen veya şüpheli görünen e-postaları açmamanızı, linklere tıklamamanızı ve kişisel bilgilerinizi paylaşmamanızı tavsiye ederiz.
3. Hesap Aktivitenizi Kontrol Edin: Olası yetkisiz işlemlere karşı [websiteniz.com] hesabınızdaki son aktiviteleri kontrol etmenizi öneririz.

Güvenliğiniz bizim için en büyük önceliktir. Yaşanan bu olaydan ders çıkararak güvenlik önlemlerimizi daha da artıracağımızı taahhüt ederiz.

Sorularınız veya endişeleriniz için [destek @websiteniz.com] adresinden bize ulaşabilirsiniz.

Saygılarımızla,
[Web Sitesi Adınız] Ekibi

İhlal Sonrası Yapılması Gerekenler: Öğrenme ve Gelişme

İhlal bildirimi süreci bitince her şey bitmiyor. Bu durumu bir öğrenme ve gelişme fırsatına çevirmelisiniz.

• Güvenlik Açığını Tamamen Kapatın: Sadece geçici önlemlerle kalmayın. Güvenlik açığının kök nedenini bulun ve kalıcı olarak giderin.
• Kapsamlı Güvenlik Denetimi: Bir siber güvenlik uzmanından destek alarak sitenizde ve sunucunuzda kapsamlı bir güvenlik denetimi yaptırın. Kaynaklarınız kısıtlıysa, en azından ücretsiz güvenlik tarama araçlarını kullanarak temel zafiyetleri kontrol edin.
• KVKK Uyum Denetimi: Bu olay, KVKK'ya genel uyumunuzu gözden geçirmeniz için bir uyarı niteliğindedir. Web sitenizde bir "Gizlilik Politikası" ve "Çerez Politikası" var mı? Kullanıcılardan veri toplarken açık rıza alıyor musunuz? Bu alanlarda eksikleriniz varsa tamamlayın.
• Eğitim: Kendinizi ve ekibinizi (varsa) siber güvenlik ve KVKK konularında eğitin. Farkındalık, en iyi savunma hattıdır.

Küçük Web Siteleri İçin Pratik Tavsiyeler ve Unutmayın!

• Gözünüzde Büyümesin: Bu süreç evet, biraz karmaşık görünebilir ama adım adım ilerlediğinizde yönetilebilirdir.
• Şablonlardan Faydalanın: KVK Kurumu'nun web sitesinde ihlal bildirim formları ve tebliğler bulunmaktadır. Bunları rehber olarak kullanın.
• Yardım İstemekten Çekinmeyin: Eğer hukuki veya teknik detaylarda zorlanıyorsanız, bir hukukçuya veya siber güvenlik uzmanına kısa bir danışmanlık için başvurmaktan çekinmeyin. Küçük bir bütçeyle bile ilk adımlarda çok değerli yardımlar alabilirsiniz.
• Güven Kaybından Korkun, Cezadan Değil: İnanın bana, KVK Kurumu'ndan gelecek olası bir para cezasından daha büyük "ceza", kullanıcılarınızın size olan güvenini kaybetmektir. Şeffaf ve dürüst olmak, bu güveni yeniden tesis etmenin en iyi yoludur.
• Veri Minimileizasyonu: Gelecekte benzer durumları yaşamamak için bir prensip edinin: Sadece gerçekten ihtiyacınız olan veriyi toplayın ve saklayın. Kullanmadığınız verileri temizleyin.

Sevgili dostum, yaşadığınız bu durum zorlayıcı olsa da, doğru adımları atarak hem yasal yükümlülüklerinizi yerine getirecek hem de kullanıcılarınızın gözünde itibarınızı koruyacaksınız. Şimdi sakin kalın, bu yol haritasını önünüze alın ve ilk adımları atmaya başlayın. Unutmayın, en uzun yolculuk bile tek bir adımla başlar. Bu süreci başarıyla yöneteceğinize eminim!

İhtiyaç duyduğunuz her an yanınızdayım.