Kişisel Verilerin Korunması Kanunu, veri sorumlularının ilgili veri ihlalinden haberdar olunur olunmaz mümkün olan en kısa sürede Kurul’a ve ilgili veri sahibine bilgi vermesini gerekli kılmaktadır. 24 Ocak 2019 tarihli ve 2019/19 sayılı kararında Kurul, veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklığa kavuşturmuştur.
Kurul, ihlal bildirimlerinin zamanlaması bakımından Genel Veri Koruma Yönetmeliği’nin yaklaşımını benimsemektedir ve “mümkün olan en kısa sürede” ibaresini veri ihlalinin tespit edilmesinin ardından 72 saat içerisinde şeklinde yorumlanmalıdır şeklinde açıklamıştır.
Kişisel Verilerin Korunması Kanunu ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır.
Kurulun kararı, önceden veri ihlallerine hazırlıklı olmaları için veri sorumlularının bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.
Veri ihlalinin bildirilmesi yükümlülüğü, yurt dışında ikamet eden veri sorumluları için de geçerlidir. Yurt dışındaki veri sorumlularının bir veri ihlali olayı yaşamaları ve söz konusu veri ihlalinin Türkiye’de ikamet eden veri sahiplerini ve Türkiye’deki veri sahipleri tarafından kullanılan malları/hizmetleri etkilemesi durumunda, yurt dışındaki veri sorumluları aynı şekilde Kurul tarafından duyurulan veri ihlali bildirimi prosedürlerini izlemek zorundadırlar.
Kurul ayrıca, KVKK’ya bildirimde bulunurken veri sorumlularının doldurması için bir “Veri İhlali Bildirim Formu” yayınlamıştır. KVKK yakın zamanda, veri ihlallerinin bildirilmesinde kullanılacak çevrimiçi sistemin duyurusunu yapmıştır.
Bu konu, Türkiye’de gizlilik üzerine çalışan uygulayıcılar için sıcak bir gündem maddesidir. KVKK’nın şirketler tarafından yapılan ihlal bildirimlerinin arsından çoğunlukla ceza verdiği gözlemlenmiştir. Avrupa’daki Veri Koruma Makamlarının bazıları, ihlal bildirimlerine ilişkin daha hoşgörülü bir yaklaşım benimseyebilmektedirler ancak Türkiye’de, çoğu durumda KVKK bildirimin alınmasının ardından ilgili cezayı uygulamaktadır.
PDF indir