Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kişisel veri ihlalleri halinde veri sorumlularınca yapılacak bildirim usulü ve esaslarına ilişkin 24/01/2019 tarihli ve 2019/10 sayılı Kurul Kararı (“Kurul Kararı”) Kurul’un resmi internet sayfasında “Kamuoyu Duyurusu” adı altında yayımlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesinin (5) numaralı fıkrasında açıklandığı üzere; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurul’un, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kurul Kararı değinilen maddede geçen veri ihlali bildirimlerine ilişkin usul ve esaslara açıklık getirilmesi ve uygulamada yeknesaklık sağlanması amacıyla düzenlemiştir.
“Veri Sorumlusu” Nezdinde Bulunan Kişisel Verilerin İhlali
- Kanun’un 12. maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanması ve veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bu durumu bildirmesi, gecikme halinde yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklaması,
- Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde uygun yöntemlerle bildirim yapılması,
- Veri sorumlusunun Kurul’a yapılacağı bildirimde “Kişisel Veri İhlal Bildirim Form” unu kullanması ve formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması,
- Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulması,
- Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi gerektiği Kurul kararı ile belirtilmiştir.
“Veri İşleyen” Nezdinde Bulunan Kişisel Verilerin İhlali
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması gerektiği Kurul Kararı ile belirtilmiştir.
“Yurtdışında Yerleşik Veri Sorumlusu” Nezdinde Bulunan Kişisel Verilerin İhlali
Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, yurtdışında yerleşik veri sorumlusu tarafından aynı esaslar çerçevesinde Kurul’a bildirimde bulunulmasına karar verilmiştir.
Yukarıda bahsedilen konuya ilişkin 2019/10 sayılı Kurul Kararı’nın tam metni ve Kişisel Veri İhlali Bildirim Formu Kurum resmi internet sitesinde yer almaktadır.
Dilara Kaymaz, Stajyer Avukat