Kişisel Veri İhlali Durumunda Bildirim Kalkanı
11/11/2019Kişisel veri ihlali durumunda verisi ihlal edilen ilgili kişinin bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesi amacı güdüyor. Kişisel Verileri Koruma Kurumu’na bu zamana kadar bir çok “veri ihlal bildirimi” yapıldı ve bildirimi yapılan veri ihlallerinden yaklaşık 3 milyon kişi etkilendiğin KVK Başkanı Faruk BİLİR tarafından kamuoyuna duyuruldu. Bu ihlal bildirimlerinin 36 tanesi ise kurumun internet sitesi olan kvkk.gov.tr sitesinde yayınlandı.
6698 sayılı Kanun ve ilgili Kurul kararına göre; işlenen kişisel verilerin ‘kanuni olmayan’ yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumluları bu durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na bildirmek zorunda. Kurula yapılan veri ihlal bildirimleri, gerekli görülmesi durumunda kurumun web sitesinden veya başka bir yöntemle kamuoyuna da duyuruluyor.
Bu arada veri sorumluları, veri ihlalini öğrendikleri andan itibaren en geç 72 saatte bunu kuruma bildirmenin yanı sıra, ihlalden etkilenen kişileri belirleyerek en kısa süre içerisinde onlara ulaşmak ve bilgi vermek zorunda. 72 saat içinde bildirim yapılamaması halinde ise yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklanması gerekiyor. Kurula ve ihlalden etkilenmiş kişilere en kısa sürede bildirim yapılmasındaki amaç; ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini sağlamak.
Veri sorumluları, KVKK’ya göre kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek zorundadır. Ayrıca, kişisel verilerin muhafazası amacıyla uygun güvenliği temin etmeye yönelik her türlü teknik ve idari tedbirleri almakla da yükümlüler. Kurula yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun web sitesinde yer alan “Kişisel Veri İhlal Bildirim Formu” kullanılıyor. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması şartı var. Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde ise bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde kurula bildirim yapılması gerekiyor. Ayrıca, şirketlerin veri ihlali müdahale planlarını hazırlamaları, belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü de var.
Kişisel Verileri Koruma Kurulu, veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin kararında, veri sorumlusunun ihlale ilişkin olarak ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğini de açıkladı. Veri sorumlusu tarafından ilgili kişiye ihlal bildiriminin açık ve sade bir dille yapılmasının yanında ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, bu ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hakkındaki bilgileri içermesi gerekmektedir. Ayrıca, ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi gibi iletişim yollarının da ihlal bildiriminde yer alması gerekir. Veri ihlallerine karşı alınan önlemlerin yanı sıra en önemli konulardan biri de farkındalık. Dolayısıyla kişisel veri işleme süreçlerinde yer alan kişi veya kişilerin farkındalığının geliştirilmesi, bilgi ve bilinç düzeyinin artırılması şarttır.