Kanun, veri sorumlularının ilgili veri ihlalinden haberdar olunur olunmaz mümkün olan en kısa sürede Kurul’a ve ilgili veri sahibine bilgi vermesini gerekli kılmaktadır. 24 Ocak 2019 tarihli ve 2019/19 sayılı kararında Kurul, veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklığa kavuşturmuştur.
Kurul, ihlal bildirimlerinin zamanlaması bakımından GDPR’ın yaklaşımını benimsemektedir ve Kanun’da yer alan “en kısa sürede” ibaresinin veri ihlalinin tespit edilmesinin ardından 72 saat içerisinde olarak yorumlanması gerektiğini açıklamıştır.
Kanun ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır.
Kurul’un kararı, veri ihlallerine hazırlıklı olmaları için veri sorumlularının önceden bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.
Veri ihlalinin bildirilmesi yükümlülüğü, yurt dışında ikamet eden veri sorumluları için de geçerlidir. Yurt dışındaki veri sorumlularının bir veri ihlali olayı yaşamaları ve söz konusu veri ihlalinin Türkiye’de ikamet eden veri sahiplerini ve Türkiye’deki veri sahipleri tarafından kullanılan malları/hizmetleri etkilemesi durumunda, yurt dışındaki veri sorumluları aynı şekilde Kurul tarafından duyurulan veri ihlali bildirimi prosedürlerini izlemek zorundadırlar.
Kurul ayrıca, Kurul’a bildirimde bulunurken veri sorumlularının doldurması için bir “Kişisel Veri İhlali Bildirim Formu” yayınlamıştır.
Bu konu, Türkiye’de gizlilik üzerine çalışan uygulayıcılar için sıcak bir gündem maddesidir. Kurul’un şirketler tarafından yapılan ihlal bildirimlerinin ardından çoğunlukla ceza verdiği gözlemlenmiştir. Bununla birlikte Kurul’un veri ihlalinden etkilenen kişi sayısı, ihlalin veri ilgilisi üzerinde olumsuz bir etki yaratıp yaratmadığı, veri sorumlusunun müdahalesinin mümkün olup olmadığı, ihlale konu verinin silinip silinmediği, veri sorumlusunun süresi içinde bildirimde bulunup bulunmadığı, makul idari ve teknik tedbirlerin alınıp alınmadığına ilişkin hususları dikkate alarak idari para cezası uygulamadığı yakın tarihli kararları bulunduğunu da not etmek gerekir.