G-B7N2H7TNZP
top of page

Veri İhlal Bildirimi

Güncelleme tarihi: 23 Ara 2021



Veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) tanımları içeren 4.maddesinde de belirtildiği üzere, “…iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya kişisel verilere erişime yol açan güvenlik ihlali…” anlamına gelmektedir. Söz konusu ihlal sonucunda ihlale konu olan kişisel verilerin ait olduğu ilgili kişilerin uğradığı veya uğrayacağı zararları en aza indirmek amacıyla hem GDPR kapsamında hem de ona uyumlu olarak düzenlenmiş olan Kişisel Verileri Korunması Kanunu (KVKK) kapsamında veri sorumlarına ‘veri ihlal bildirimi’ yapma yükümlülüğü getirilmiştir.


Veri İhlal Bildirim Süresi

KVKK’nin 12.maddesinin 5.fıkrasına göre; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” Bu fıkrada belirtilen en kısa sürede ibaresi veri sorumluları açısından bir belirsizlik yaratmakta ve yükümlülüğün yerine getirilmesi açısından karışıklıklara yol açmaktaydı. Kişisel Verileri Koruma Kurulu hem bu belirsizliği ortadan kaldırmak hem de GDPR ile uyumlu bir uygulama şekli benimsemek adına 24.01.2019 tarih ve 2019/10 sayılı Kararı’nda kanun hükmü içerisinde yer alan “en kısa sürede” ibaresine yönelik GDPR’ın 33. maddesine paralel olarak “…veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmesine…” şeklinde bir açıklama getirmiştir. Kararda ek olarak veri sorumlusunun söz konusu bildirimi 72 saat içerisinde gerçekleştirememesi halinde yapacağı bildirimle beraber gecikme nedenini de Kurul’a açıklaması gerektiği hükme bağlanmıştır. KVKK’de ayrıca ihlalden etkilenen kişilere yönelik olarak da veri sorumlularının en kısa sürede bildirimde bulunmaları gerektiği hükme bağlanmıştır.

Veri İhlal Bildirimi Nasıl Yapılır?

Kurul’un duyurusunu yaptığı üzere veri sorumlularının veri ihlali bildirimini yayımlanan “Veri İhlal Bildirim Formu”’nu doldurarak “Kişisel Veri İhlal Bildirimi” konulu bir e posta ile ihlalbildirimi@kvkk.gov.tr adresine yapmaları gerekmektedir. Bildirimin posta yolu ile veya elden yapılmak istenmesi durumunda veri sorumlusunun şirket kaşesi ve imza yetkilisinin imzası ile onaylı olarak Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat-Çankaya/Ankara adresine gönderilmesi gereklidir.

“Veri İhlal Bildirim Formu” GDPR’ın düzenlemelerine paralel olarak oldukça detaylı bir içeriğe sahiptir. Bu nedenle yine Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı’nda “Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına…” şeklinde bir düzenlemeye gidilmiştir. Buna bağlı olarak formda yer alan bilgilerin eksiksiz bir şekilde iletilebilmesi adına veri sorumlularının işleme faaliyetlerinin oluşturacağı risklere karşı kapsamlı bir program oluşturmaları ve ilgili uyum çalışmalarını gerçekleştirerek sürecin tümüne hâkim olmaları büyük önem arz etmektedir. Bunun için hem mevzuat hükümlerinin hem de uygulamada kullanılan yöntemlerin iyi analiz edilmesi gerekmektedir. Bu analizler bir yandan veri ihlal bildiriminin en kısa sürede ve doğru bir şekilde yapılabilmesini sağlarken öte yandan KVKK’nin 12.maddesinde yer alan veri güvenliği yükümlülüklerinin yerine getirilebilmesini de sağlayacaktır.

Bildirimde Bulunmamanın Sonuçları Nelerdir?

Kanun’un 18.maddesinde yer alan idari para cezalarının yeniden değerleme oranlarının alt ve üst sınırları şu şekildedir;

· Veri Güvenliğine İlişkin Aykırılık Hallerinde: 29.503 TL - 1.966.862 TL

· Kurul Tarafından Verilen Kararlara Aykırılık Hallerinde: 49.172 TL - 1.966.862 TL

Sonuç olarak hem veri ihlal bildiriminin zamanında ve eksiksiz bir biçimde yapılabilmesi hem de Kanun’un 12. maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklerin yerine getirilebilmesi adına veri sorumlularının, kişisel verilere ilişkin süreçleri iyi takip etmeleri, düzenlemelere uyum çalışmalarını tamamlayarak konuya ilişkin gerekli tüm idari ve teknik tedbirleri almaları elzemdir.


KAYNAKLAR

· https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

· https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

· https://gdpr-info.eu/art-4-gdpr/

· https://gdpr-info.eu/art-33-gdpr/

· https://www.nicva.org/data-protection-toolkit/templates/personal-data-breaches-are-you-prepared

· https://www.trendmicro.com/vinfo/us/security/definition/data-breach

· https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en

· https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/


Comments


bottom of page