Open menu
26Şubat2019

Veri Sorumluları İçin Kişisel Veri İhlali Bildirim Prosedürü Duyurusu Yayımlandı

Kişisel Verileri Koruma Kurulu tarafından yayımlanan 24.01.2019 tarih ve 2019/10 sayılı kararı ile, kişisel veri ihlali bildirim usul ve esaslarına ilişkin duyuru (“Duyuru”) yapılmıştır. Söz konusu Duyuru içeriğinde “Kişisel Veri İhlali Bildirim Formu” da paylaşılmış olup işbu form örneğine buradan ulaşabilirsiniz.

Duyuruda, Veri Sorumlusunun Kişisel Verileri Koruma Kanunu (“KVKK”) madde 12 içeriğinde belirtilen yükümlülüklerine değinilmiş olup Veri Sorumlularının veri ihlali halinde en kısa sürede bu durumu Kurum’a bildirerek ilan etmesi gerektiği belirtilmiştir. İşbu Duyuru ile, Kurul yapılan veri ihlal bildirimlerindeki amacın, ihlal nedeniyle kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an evvel önüne geçilmesi veya en aza indirgenmesine imkân verecek önlemler alınmasını sağlamak olduğunu ifade etmiştir.

Bu kapsamda, KVKK’ya kaynak teşkil eden Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) veri ihlal bildirimlerine yönelik düzenlemeleri ile birlik sağlamak amacı ile Kurul tarafından aşağıdaki kararlar alınmıştır:

  1. KVKK’nın 12.maddesinin 5.fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin bu durumun öğrenilmesinden itibaren 72 saat içerisinde şeklinde yorumlanması gerektiği ve ihlalden etkilenen ilgili kişinin irtibat bilgisine ulaşılabiliyorsa buradan, aksi halde veri sorumlusunun kendi web sitesinden bildirim yapılması gerektiği;
  2. Kurula haklı bir gerekçe ile 72 saat içerisinde bildirim yapılmazsa, yapılacak bildirimle birlikte gecikme nedenlerinin de Kurul’a açıklanması gerektiği;
  3. Kurul’a yapılacak bildirimde yukarıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılması ve formda yer alan bilgileri aynı anda sağlamak mümkün değilse bu bilgilerin aşamalı olarak sağlanması gerektiği;
  4. Veri sorumlusunun, veri ihlaline ilişkin bilgi, etki ve önlemleri kaydederek Kurul incelemesine hazır halde tutması gerektiği;
  5. Eğer ihlal veri işleyende bulunan kişisel verilerin başkası eline geçmesi şeklinde gerçekleşti ise, veri işleyenin gecikmeksizin veri sorumlusuna bildirim yapması,
  6. Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde gerçekleşmesi ve bu durumun Türkiye’de yerleşik kişileri etkilemesi veya sunulan ürün/hizmetten Türkiye’de yararlanılması halinde ise, aynı esaslar çerçevesinde Kurul’a bildirimde bulunulması;
  7. Veri sorumlusunun “veri ihlali müdahale planı” hazırlayarak belli aralıklarla bu planın gözden geçirilmesi; bu planın içeriğinde:
    • Kimlere raporlama yapılacağı,
    • Kanun kapsamında yapılacak bildirimler ile olası sonuçların değerlendirilmesi,
    • Veri sorumlusu nezdinde sorumluluğun kimde olduğunun belirlenmesi gibi konuların bulunması gerektiği

Hususlarında karar verilmiştir. Kararın tam metnine buradan ulaşabilirsiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

About The Author

/en/legislation/item/data-breach-notification-procedure-data-controllers

Diğer Mevzuatlar