تتعرض منصة تجارة إلكترونية شهيرة، “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com”، لهجوم إلكتروني متطور على خوادمها. نتيجة للهجوم، يستولي القراصنة على قاعدة بيانات تحتوي على أسماء وألقاب وعناوين البريد الإلكتروني وأرقام الهواتف ومعلومات العناوين لحوالي 500,000 عميل.

يكتشف قسم تكنولوجيا المعلومات في الشركة التسريب في صباح يوم 10 مايو الساعة 09:00 ويغلق الثغرات في النظام. يتم إبلاغ الرئيس التنفيذي بالوضع فوراً. خوفاً من أن يؤثر ذلك سلباً على حملة “تخفيضات الربيع الكبرى” التي ستبدأ في نهاية الأسبوع ويدمر سمعة الشركة، يصدر الرئيس التنفيذي تعليمات لقسم تكنولوجيا المعلومات والوحدة القانونية بـ “عدم تسريب هذا الحدث للخارج، وإصلاح الوضع بهدوء، وعدم إخطار هيئة حماية البيانات (KVKK)”.

يمر أسبوعان. يلاحظ صحفي تقني أن قاعدة البيانات الخاصة بعملاء “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” معروضة للبيع في منتدى للقراصنة وينشر الخبر. ينتشر الخبر بسرعة على وسائل التواصل الاجتماعي، ويصاب آلاف العملاء بالذعر. عند انتشار الخبر، تبدأ هيئة حماية البيانات الشخصية (الهيئة/المجلس) تحقيقاً تلقائياً في الحدث.

التقييم القانوني تشكل هذه الحالة واحدة من أخطر انتهاكات قانون حماية البيانات الشخصية رقم 6698 (KVKK). انتهكت الشركة (مسؤول البيانات) التزامين أساسيين بشكل كبير في هذا الحدث:

1. انتهاك الالتزام بضمان أمن البيانات (المادة 12/1 من KVKK) أولاً، يشير حدوث الهجوم الإلكتروني إلى أن الشركة ربما أظهرت ضعفاً في اتخاذ “التدابير الفنية والإدارية” اللازمة لحماية البيانات. ستقوم الهيئة بفحص ما إذا كانت الجدران النارية وسياسات التشفير واختبارات الاختراق الخاصة بالشركة كافية.

2. انتهاك التزام الإبلاغ عن انتهاك البيانات (المادة 12/5 من KVKK) هذا هو الانتهاك الأكثر أهمية وخطورة. تفرض المادة 12/5 من KVKK التزاماً واضحاً على مسؤول البيانات:

  • إخطار الهيئة: في حال الحصول على البيانات الشخصية المعالجة من قبل الآخرين بطرق غير قانونية، يجب على مسؤول البيانات (الشركة) إخطار هيئة حماية البيانات الشخصية في غضون 72 ساعة كحد أقصى من تاريخ علمه بالوضع.

  • إخطار أصحاب البيانات: يجب على الشركة أيضاً إخطار الأشخاص (العملاء) المتضررين من الانتهاك مباشرة “في أقرب وقت معقول”.

على الرغم من أن إدارة “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” علمت بالانتهاك في 10 مايو الساعة 09:00، إلا أنها انتهكت عمداً الفترة القانونية البالغة 72 ساعة ولم تقم بأي إخطار.

النتيجة القانونية نتيجة للتحقيق التلقائي الذي بدأته الهيئة، ستواجه “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” عقوبات ثقيلة جداً:

  1. غرامات إدارية باهظة:

    • سيفرض المجلس غرامة إدارية مرتفعة بسبب القصور في تدابير أمن البيانات (المادة 12/1).

    • والأهم من ذلك، سيفرض غرامة إدارية منفصلة أعلى بكثير (يمكن أن تصل إلى ملايين الليرات التركية) لعدم الوفاء بالتزام الإبلاغ (المادة 12/5) في غضون 72 ساعة. يرى المجلس أن “عدم الإبلاغ” هو أحد أخطر الانتهاكات.

  2. دعاوى التعويض من الضحايا: سيكون لكل من العملاء البالغ عددهم 500,000 الذين تم تسريب بياناتهم الحق في رفع دعوى تعويض معنوي ضد الشركة بسبب القلق والذعر والأضرار المحتملة التي تعرضوا لها لعدم حماية بياناتهم الشخصية وعدم إبلاغهم بهذا التسريب. وهذا يعني عبء تقاضي هائل على الشركة.

  3. فقدان السمعة: محاولة إخفاء التسريب وكشف هذا الوضع من خلال الأخبار سيؤدي إلى وصم الشركة بأنها “غير موثوقة” ويؤدي إلى خسارة جماعية للعملاء.

الخاتمة والنصيحة تظهر هذه الحالة أنه في حالة حدوث خرق للبيانات، فإن “إخفاء الأزمة” أكثر تدميراً بكثير من الأزمة نفسها. يبدأ العد التنازلي لـ “72 ساعة” في اللحظة التي يتم فيها ملاحظة تسرب البيانات. أول شيء يجب على إدارة الشركة فعله ليس الذعر أو محاولة الإخفاء، بل إبلاغ القسم القانوني ومستشاري KVKK فوراً لإعداد الإخطار الرسمي الذي سيتم تقديمه للهيئة. الشفافية والامتثال للقانون هما السبيل الوحيد لحماية السمعة على المدى الطويل.