KONU: KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARI
KARAR TARİH        : 24.01.2019
KARAR SAYISI       : 2019/10

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesinde veri sorumlusunun; kişisel verilerin uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlanmıştır. Ayrıca yine aynı maddede işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ise veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmesi zorunluluğu vurgulanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu dikkate alınarak, Kurul tarafından işbu Kararla çeşitli düzenlemeler ve Kanun maddelerine açıklamalar getirilmiştir.

Kurul; Kanunun 12’nci maddesinin (5) numaralı fıkrasındaki “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir…” şeklinde düzenlemede yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu bağlamda, veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde öğrendiği ihlallerle ilgili Kurula bildirimde bulunması gerekmektedir. Veri sorumlusu tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.

Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir. Yine bu kararda, Kurula yapılacak bildirimde aşağıdaki linkte yer alan “Kişisel Veri İhlal Bildirim Formu”nun kullanılması gerektiği belirtilmiştir.

Son olarak Kurul, bu kararında bir “Veri İhlali Müdahale Planı” hazırlanması zorunluluğuna işaret etmiştir. Söz konusu Plan ve yukarıda açıklanan diğer hususların veri sorumluları bakımından kanuni yükümlülük niteliğinde olması nedeniyle, bunlara riayet edilerek gerekli hazırlıkların ve iç düzenlemelerin yapılması noktasında titizlikle hareket edilmesinde fayda vardır.

Kararın tam metni ve Form için tıklayınız.