Veri Sorumluları İçin Kişisel Veri İhlali Bildirim Prosedürü Duyurusu Yayımlandı
Kişisel Verileri Koruma Kurulu tarafından yayımlanan 24.01.2019 tarih ve 2019/10 sayılı kararı ile, kişisel veri ihlali bildirim usul ve esaslarına ilişkin duyuru (“Duyuru”) yapılmıştır. Söz konusu Duyuru içeriğinde “Kişisel Veri İhlali Bildirim Formu” da paylaşılmış olup işbu form örneğine buradan ulaşabilirsiniz.
Duyuruda, Veri Sorumlusunun Kişisel Verileri Koruma Kanunu (“KVKK”) madde 12 içeriğinde belirtilen yükümlülüklerine değinilmiş olup Veri Sorumlularının veri ihlali halinde en kısa sürede bu durumu Kurum’a bildirerek ilan etmesi gerektiği belirtilmiştir. İşbu Duyuru ile, Kurul yapılan veri ihlal bildirimlerindeki amacın, ihlal nedeniyle kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an evvel önüne geçilmesi veya en aza indirgenmesine imkân verecek önlemler alınmasını sağlamak olduğunu ifade etmiştir.
Bu kapsamda, KVKK’ya kaynak teşkil eden Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) veri ihlal bildirimlerine yönelik düzenlemeleri ile birlik sağlamak amacı ile Kurul tarafından aşağıdaki kararlar alınmıştır:
- KVKK’nın 12.maddesinin 5.fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin bu durumun öğrenilmesinden itibaren 72 saat içerisinde şeklinde yorumlanması gerektiği ve ihlalden etkilenen ilgili kişinin irtibat bilgisine ulaşılabiliyorsa buradan, aksi halde veri sorumlusunun kendi web sitesinden bildirim yapılması gerektiği;
- Kurula haklı bir gerekçe ile 72 saat içerisinde bildirim yapılmazsa, yapılacak bildirimle birlikte gecikme nedenlerinin de Kurul’a açıklanması gerektiği;
- Kurul’a yapılacak bildirimde yukarıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılması ve formda yer alan bilgileri aynı anda sağlamak mümkün değilse bu bilgilerin aşamalı olarak sağlanması gerektiği;
- Veri sorumlusunun, veri ihlaline ilişkin bilgi, etki ve önlemleri kaydederek Kurul incelemesine hazır halde tutması gerektiği;
- Eğer ihlal veri işleyende bulunan kişisel verilerin başkası eline geçmesi şeklinde gerçekleşti ise, veri işleyenin gecikmeksizin veri sorumlusuna bildirim yapması,
- Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde gerçekleşmesi ve bu durumun Türkiye’de yerleşik kişileri etkilemesi veya sunulan ürün/hizmetten Türkiye’de yararlanılması halinde ise, aynı esaslar çerçevesinde Kurul’a bildirimde bulunulması;
- Veri sorumlusunun “veri ihlali müdahale planı” hazırlayarak belli aralıklarla bu planın gözden geçirilmesi; bu planın içeriğinde:
- Kimlere raporlama yapılacağı,
- Kanun kapsamında yapılacak bildirimler ile olası sonuçların değerlendirilmesi,
- Veri sorumlusu nezdinde sorumluluğun kimde olduğunun belirlenmesi gibi konuların bulunması gerektiği
Hususlarında karar verilmiştir. Kararın tam metnine buradan ulaşabilirsiniz.
-
-
Bilgilendirme Metni!