Kişisel Veri İhlallerine İlişkin Duyuru Yayımlandı 20 Şubat 2019

Kişisel Verileri Koruma Kurulu’nun Kişisel Veri İhlali Bildirim Usul ve Esaslarına ilişkin 24.01.2019 Tarih ve 2019/10 Sayılı Kararına ilişkin duyuru, Kişisel Verileri Koruma Kurumu’nun (“KVKK”) web sitesinde yayımlanmıştır

6698 sayılı Kişisel Verilerin Korunması Kanunun (Kanun) 12.maddesinin (1) numaralı fıkrası kapsamında; veri sorumlusu,

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.

Aynı maddenin (5) numaralı fıkrası ile; veri sorumlusunun, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmekle yükümlü olduğu, Kurulun da gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda veri sorumlusunun, veri ihlali gerçekleşmesi durumunda gündeme gelecek bildirim yükümlülüğünü ne şekilde ve nasıl yerine getireceğine ilişkin 24.01.2019 tarih ve 2019/10 sayılı Karar ile düzenlenen ve açıklık getirilen hususlar hakkında bilgi vermek isteriz.

1. Kanunun 12.maddesinin (5) fıkrasında yer alan Kurula bildirimin “en kısa sürede” yapılmasına ilişkin ifadeden ne anlaşılmalıdır?

Bahse konu karar uyarınca “en kısa sürede” ifadesinin 72 saat olarak yorumlanması ve bu kapsamda veri sorumlusunun veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde veri ihlalini Kurula bildirmesi gerekmektedir.

Veri sorumlusu, haklı bir gerekçe ile Kurula 72 saat içinde bildirim yapamaması durumunda, sonradan yapacağı bildirimde gecikmenin nedenlerini de Kurula açıklamakla yükümlü olacaktır.

2. Veri sorumlusunun ihlale ilişkin Kurula yapacağı bildirim yeterli midir?

Veri sorumlusu söz konusu veri ihlalinden etkilenen kişilerin kendisi tarafından belirlenmesini müteakip, ilgili kişilere de makul olan en kısa süre içerisinde, kişinin adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmakla yükümlüdür.

3. Kurula bildirim ne şekilde yapılmalıdır?

Kurula yapılacak bildirimde, KVKK’nın web sitesinde bahse konu duyuru sayfasında yer alan “Kişisel Veri İhlali Bildirim Formu” ‘nun kullanılması gerekmektedir.

Bu formda, veri sorumlusunun; gerçekleşen veri ihlalinin kaynağı, ihlalden etkilenen kişisel veri kategorileri, ihlalden etkilenen kişi grupları ve ihlalin etkileri ile olası sonuçları gibi birçok hususta formda yer alan boşlukları doldurarak, ihlale ilişkin ayrıntılı bilgi vermesi beklenmektedir.

4. Süresinde yapılacak bildirim esnasında veri sorumlusunun formda yer alan tüm bilgileri sağlayamaması halinde ne olacaktır?

Veri sorumlusunun, formda yer alan bilgileri aynı anda sağlaması mümkün değil ise, bu bilgileri gecikmeye mahal vermeksizin aşamalı olarak sağlaması mümkündür.

5. Yurtdışında yerleşik veri sorumlusunun bildirim yükümlülüğü bulunmakta mıdır?

Veri ihlalinin sonuçları, Türkiye’de yerleşik kişileri etkiliyor ve ilgili kişiler sunulan ürün ve hizmetlerden Türkiye’de faydalanıyor ise; yurtdışında yerleşik veri sorumlusunun belirtilen aynı esaslar çerçevesinde Kurula bildirimde bulunması gerekmektedir.

6. Veri işleyenin bildirim yükümlülüğü bulunmakta mıdır?

Veri işleyen, bünyesinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bu hususa ilişkin bildirimde bulunmakla yükümlüdür.

7. Veri sorumlusunun bu çerçevede başka bir yükümlülüğü bulunmakta mıdır?

Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, ihlalin etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması gerekmektedir.

Bununla birlikte; bahse konu karar ile, veri sorumlusunun, veri ihlali gerçekleşmesi durumunda kendi bünyesi içinde kimlere raporlama yapılacağı, Kanun çerçevesinde yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususlarında yine kendi bünyesinde sorumluluğun kimde olduğu gibi hususları düzenlediği bir “Veri İhlali Müdahale Planı” hazırlaması ve belirli aralıklarla bu planı gözden geçirmesi öngörülmüştür.

Belirtmek isteriz ki; veri ihlallerinde, Kurula ve ihlalden etkilenen kişilere veri sorumlusu tarafından bildirim yapılmasının öngörülmesindeki amaç, ihlal nedeniyle ilgili kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya olası olumsuz sonuçların en aza indirilmesine imkân verecek önlemlerin alınması olup, bu kapsamda bildirim yükümlülüğüne uyulması oldukça önem taşımaktadır.

Diğer Haberler