Veri İhlallerinde KVKK’ya Göre Bildirim Yükümlülükleri
Günümüzde kişisel verilerimiz dijital dünyada her an korunması gereken en değerli hazinelerimiz arasında. Ancak bazen, farkında olmadan veya siber saldırılar sebebiyle verilerimiz tehlikeye girebiliyor. Türkiye’de, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına bu tür durumlarda ciddi sorumluluklar yükler. Peki, bir veri ihlali yaşandığında hangi adımları atmalısınız ve KVKK’ya göre yükümlülükleriniz nelerdir? Gelin, adım adım inceleyelim.
KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARI
KVKK’nın 12. maddesi, veri sorumlularını kişisel verilerin hukuka aykırı olarak işlenmesini, başkaları tarafından erişilmesini ve verilerin güvenliğini sağlamak üzere gerekli teknik ve idari önlemleri almakla yükümlü kılar. Ancak her önleme rağmen veri ihlali meydana gelebilir. Bu durumda yapılması gereken ilk ve en kritik adım, ihlali yetkili mercilere ve etkilenen kişilere bildirmektir.
Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı kararı, veri ihlalinin tespit edilmesinin ardından ilgili kişilere makul ve en kısa sürede bildirim yapılmasını öngörür. Eğer doğrudan iletişim mümkün değilse, veri sorumlusu web sitesi üzerinden veya uygun göreceği başka bir yöntemle bilgilendirme yapabilir.
18.09.2019 tarih ve 2019/271 sayılı Kurul kararı ise, ihlal bildirimlerinin içeriği ve asgari unsurlarını açıkça belirler. Buna göre ihlal bildiriminde yer alması gereken unsurlar şunlardır:
Asgari Unsurlar
| Asgari Unsurlar | Açıklama |
|---|---|
| İhlalin Gerçekleşme Zamanı | Veri ihlalinin ne zaman meydana geldiğinin açıkça belirtilmesi |
| Etkilenen Veri Kategorileri | Kişisel veri ve özel nitelikli kişisel verilerin ayrımıyla hangi verilerin etkilendiği |
| Olası Sonuçlar | İhlalin kişilere olası etkileri ve riskleri |
| Alınan veya Önerilen Tedbirler | İhlalin olumsuz etkilerini azaltmak için uygulanan veya önerilen önlemler |
| İrtibat Bilgileri | Bilgi almak isteyen kişilerin ulaşabileceği kişi veya kurum bilgileri, web adresleri, çağrı merkezi vb. |
Bu tablo, veri sorumlularının ihlali şeffaf ve anlaşılır bir şekilde duyurmasını sağlar. Ama unutmayın, asıl amaç yalnızca bildirimi yapmak değil; ihlalden etkilenen kişilerin zarar görmesini önlemek ve gerekli önlemleri almak.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK, veri sorumlularına sadece ihlal sonrası bildirim değil, önleyici tedbirler alma yükümlülüğü de getirir. Kanunun 12. maddesinin (1) ve (5) numaralı fıkralarında açıkça belirtildiği gibi:
- Kişisel verilerin hukuka aykırı işlenmesini önlemek,
- Kişisel verilere yetkisiz erişimi engellemek,
- Kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbirleri almak zorunludur.
Buna ek olarak, veri sorumlularının ihlal sonrası süreci yönetirken alması gereken önlemler şunlardır:
- Hızlı Tespit ve Analiz: İhlal meydana geldiğinde, hangi verilerin etkilendiği ve ihlalin boyutunu hızlıca belirlemek.
- Kurula Bildirim: En geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na resmi bildirim yapmak.
- İlgili Kişilere Bilgilendirme: Etkilenen kişiler için açık ve anlaşılır bir şekilde bilgilendirme yapmak.
- Teknik ve İdari Önlemlerin Güncellenmesi: Benzer ihlallerin tekrar yaşanmaması için sistem ve prosedürleri güçlendirmek.
Bu yükümlülükler, yalnızca hukuki bir zorunluluk değil; aynı zamanda kullanıcı güvenini korumanın ve marka itibarını güçlendirmenin de temel yoludur.
İhlal Bildirimi Sürecinde Dikkat Edilecek Noktalar
Veri ihlali bildirimi sürecinde bazı kritik noktalar göz ardı edilmemelidir. İşte dikkat edilmesi gereken başlıca hususlar:
- Şeffaflık: İhlali gizlemek yerine, etkilenen kişilere açık ve net bilgi vermek.
- Zamanlama: Bildirimlerin mümkün olan en kısa sürede yapılması, risklerin azaltılması açısından önemlidir.
- Detaylı Bilgi: İhlalden etkilenen veri türleri, olası sonuçlar ve alınan önlemler eksiksiz olarak paylaşılmalıdır.
- İletişim Kanalları: İlgili kişilerin sorularına yanıt verebilecek iletişim noktalarının belirtilmesi gerekir.
Sıkça Sorulan Sorular (SSS)
S: Veri ihlali bildirimi yapmazsam ne olur?
C: KVKK’ya aykırı hareket etmek ciddi idari para cezalarına yol açabilir. İhlalin büyüklüğüne bağlı olarak yüz binlerce liraya kadar cezalar uygulanabilir.
S: Hangi durumlarda doğrudan kişilere bildirim yapılır?
C: İhlal, ilgili kişilerin hak ve özgürlüklerini ciddi şekilde etkiliyorsa, doğrudan bildirim zorunludur.
S: İhlal bildiriminde neler mutlaka yer almalı?
C: İhlalin zamanı, etkilenen veri türleri, olası sonuçlar, alınan tedbirler ve iletişim bilgileri.
S: İhlal sonrası teknik önlemler almak şart mı?
C: Evet, aynı ihlalin tekrar yaşanmaması için hem teknik hem de idari önlemler güncellenmelidir.
Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin
