Kişisel Verileri Koruma Kurulu Veri İhlali Bildirimlerine İlişkin Önemli Bir İlke Karara İmza Attı.
Kişisel Verileri Koruma Kurulu (“Kurul”) internet sitesinde yayınladığı 24.01.2019 tarihli 2019/10 sayılı ilke kararı ile veri ihlali bildirimlerinde veri sorumluları tarafından izlenecek olan usulü detaylı olarak düzenlemiştir.
Bilindiği üzere 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) ilgili düzenlemeleri gereği veri sorumluları, kişisel veri güvenliğini temin etmeye yönelik her türlü teknik ve idari tedbirleri almakla ve kişisel veri ihlalinin gerçekleşmesi halinde bu durumu en kısa süre içerisinde ilgili kişilere ve Kurul’a bildirmekle yükümlüdür. Konuya ilişkin Avrupa Birliği Genel Veri Koruma Tüzüğü’nde yer alan detaylı düzenlemeler dikkate alındığında; Kurul tarafından alınacak kararlarda uyumsuzluğa sebebiyet vermemek ve uygulamada bir standart yakalayabilmek adına veri ihlali bildirim süreçlerinde veri sorumlularınca uyulması gereken süre ve takip edilecek usul ilke kararda detaylı olarak ele alınmıştır. Buna göre:
- Olası bir veri ihlalinde, Kurul’a yapılacak ihlal bildirimleri için tanınan azami süre veri ihlalinin öğrenilmesinden itibaren 72 saattir. Öte yandan, veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de uygun yöntemlerle makul olan en kısa süre içerisinde bildirim yapılması gerekmektedir.
- 72 saatlik azami süre içerisinde bildirim yapılamaması halinde Kurul’a yapılacak bildirimle birlikte gecikme nedenlerinin de açıklanması gerekmektedir.
- Veri ihlali bildiriminde bulunmak üzere Kurum’un resmi internet sayfasında yer alan ‘Kişisel Veri İhlali Bildirim Formu’ kullanılmalıdır.
- Formda yer alan bilgilerin tam olarak sağlanamaması halinde; ilgili bilgilerin gecikmeksizin aşamalı olarak Kurum’a sağlanması gerekmektedir.
- Yaşanan veri ihlaline ilişkin bilgilerin, söz konusu ihlalin etkilerinin ve buna ilişkin alınan önlemlerin kayıt altına alınması gerekmektedir. Ayrıca bu kayıtlar, Kurul’un incelemesine hazır halde tutulmalıdır.
- Veri işleyen nezdinde bulunan kişisel verilerin veri ihlaline konu olması halinde veri işleyen, bu durumu gecikmeksizin veri sorumlusuna bildirmelidir.
- Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde yaşanması halinde de veri sorumlusunun Kurul’a ihlal bildiriminde bulunma yükümlülüğü söz konusu olabilecektir. Veri ihlalinin sonuçları Türkiye’de yerleşik kişileri etkiliyor ve ilgili kişiler sunulan ürün ve hizmetlerden Türkiye’de faydalanıyor ise yurtdışında yerleşik veri sorumlusunun da aynı usule uygun olarak ihlal bildiriminde bulunması gerekmektedir.
- Veri sorumlularına veri ihlali müdahale planı hazırlama yükümlülüğü getirilmiştir. Hazırlanacak ve belli aralıklarla gözden geçirilecek olan bu müdahale planında, olası bir veri ihlalinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun gereği yapılacak bildirimler ve veri ihlalinin olası sonuçlarının değerlendirilmesi bakımından sorumluluğun tayin edilmesi gibi konulara yer verilecektir.
Bu doğrultuda, olası bir veri ihlalinde ilgili kişilere ve Kurul’a yapılacak olan ihlal bildirimlerinin Kurul’un belirlemiş olduğu süre içerisinde ve ilke kararda düzenlenen koşullara uygun olması önem arz etmektedir.
Konuya ilişkin daha detaylı bilgi için bizimle iletişime geçmenizi rica ederiz.
