Kişisel Verilerin Korunması Kanunu, veri sorumlularının ilgili veri ihlalinden haberdar olunur olunmaz mümkün olan en kısa sürede Kurul’a ve ilgili veri sahibine bilgi vermesini gerekli kılmaktadır. 24 Ocak 2019 tarihli ve 2019/19 sayılı kararında Kurul, veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklığa kavuşturmuştur.
Kurul, ihlal bildirimlerinin zamanlaması bakımından GDPR’ın yaklaşımını benimsemektedir ve Kişisel Verilerin Korunması Kanunu’nda yer alan “en kısa sürede” ibaresinin veri ihlalinin tespit edilmesinin ardından 72 saat içerisinde olarak yorumlanması gerektiğini açıklamıştır.
Kişisel Verilerin Korunması Kanunu ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır.
Kurulun kararı, veri ihlallerine hazırlıklı olmaları için veri sorumlularının önceden bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.
Veri ihlalinin bildirilmesi yükümlülüğü, yurt dışında ikamet eden veri sorumluları için de geçerlidir. Yurt dışındaki veri sorumlularının bir veri ihlali olayı yaşamaları ve söz konusu veri ihlalinin Türkiye’de ikamet eden veri sahiplerini ve Türkiye’deki veri sahipleri tarafından kullanılan malları/hizmetleri etkilemesi durumunda, yurt dışındaki veri sorumluları aynı şekilde Kurul tarafından duyurulan veri ihlali bildirimi prosedürlerini izlemek zorundadırlar.
Kurul ayrıca, KVKK’ya bildirimde bulunurken veri sorumlularının doldurması için bir “Kişisel Veri İhlali Bildirim Formu” yayınlamıştır. KVKK yakın zamanda, veri ihlallerinin bildirilmesinde kullanılacak çevrimiçi sistemin duyurusunu yapmıştır.
Bu konu, Türkiye’de gizlilik üzerine çalışan uygulayıcılar için sıcak bir gündem maddesidir. KVKK’nın şirketler tarafından yapılan ihlal bildirimlerinin ardından çoğunlukla ceza verdiği gözlemlenmiştir. Avrupa’daki Veri Koruma Makamlarının bazıları, ihlal bildirimlerine ilişkin daha hoşgörülü bir yaklaşım benimseyebilmektedirler; ancak Türkiye’de KVKK çoğu durumda bildirimin alınmasının ardından ilgili cezayı uygulamaktadır.