bildirim yükümlülüğü

Veri İhlali Durumunu Bildirim Yükümlülüğü

Bildirim Yükümlülüğü

Bildirim yükümlülüğü, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmesi kapsamında veri sorumlusunun önemli bir yükümlülüğüdür. 

Kurul, gerektiğinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle kamuya ilan edebilir.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amaç, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemlerin alınmasını sağlamaktır.

Kişisel veri ihlal bildirimi usul ve esaslarına ilişkin olarak Kurul tarafından alınan karar ile (24.01.2019 tarihli, 2019/10 sayılı karar);

  • Bildirimin yapılması gereken en kısa süre kavramının 72 saat olarak yorumlanması,
  • Bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine,
  • Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde Kurul tarafından duyurulan ”Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine, karar verilmiştir.

İlgili Kişiye Yapılan Veri İhlali Bildiriminde Yer Alması Gereken Asgari Unsurlar

Kişisel Verileri Koruma Kurulu, veri sorumluları tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurları içeren 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları,

unsurlarına yer verilmesi gerektiğine karar vermiştir.

Kişisel verilerin veri sorumlusunun verdiği yetkiye dayanarak ve onun adına veri işleyen tarafından işlenmesi hâlinde, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda veri işleyen veri sorumlusu ile birlikte müştereken sorumludur.

Ayrıca, veri işleyenler öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri işleyenin görevinden ayrılmasından sonra da devam etmektedir.

Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesi

Kişisel veri ihlallerinin Kurul’a bildirilmesi kapsamında, 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile bildirimde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi de mümkün hale getirilmiştir.  

Veri İhlali Bildirim Formunun yalnızca veri sorumlusu tarafından doldurulması gerekmektedir