Kişisel Verileri Koruma Kurulu'nun ("Kurul") 15.10.2019 tarihinde yayımlanan, 18.09.2019 tarih ve 2019/271 sayılı kararında, veri ihlali bildiriminde yer alması gereken asgari unsurlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu'n ("Kanun") 12. maddesinin 1. fıkrasına göre veri sorumlusu; aşağıdaki amaçlara yönelik olarak her türlü teknik ve idari tedbirleri almak zorundadır. Bu amaçlar;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamaktır.

Aynı maddenin 5 numaralı fıkrasında ise işlenen kişisel verilerin kanuna aykırı olarak ele geçirilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurul'a bildirmesi gerektiği düzenlenmiştir. Kurul, gerekmesi hâlinde bu durumu ilan edecektir. Bu konuya ilişkin Kurul'un 24.01.2019 tarih ve 2019/10 sayılı bir kararı daha bulunmaktadır. Bu karara göre veri ihlalinden etkilenen kişiye bu durumun makul olan en kısa süre içerisinde bildirilmesi gerekmektedir. Kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun web sitesinde ihlalin yayınlanması suretiyle bildirim yapılacaktır. Bu kapsamda Kurul, bildirimde yer alması gereken asgari unsurları da yeni bir kararla belirlemiştir.

Öncelikle Kurul'un söz konusu kararına göre ihlal bildiriminin açık ve sade bir dille yapılması gerekir. Aynı zamanda bildirimin asgari olarak aşağıdaki unsurları taşıması gerekir;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında hangi kişisel verilerin ihlalden etkilendiği, (kişisel veri / özel nitelikli kişisel veri),
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.

İhlalden etkilenen kişinin zararını en aza indirmek için gerekli tedbirlerin en kısa sürede veri sorumlularınca alınması gerekmektedir. Bu tedbirlerin bir an önce alınabilmesi için de ilgili kişiye söz konusu veri ihlalinin makul sürede bildirilmesi ve işbu bildirimin de asgari unsurları taşıması gerekmektedir.

Kanunun 12. Maddesinin 5. Fıkrasına göre, veri ihlali bildiriminin makul süre içerisinde yapılmaması Kurul tarafından cezalandırılır. Her ne kadar kanunda bu ceza bildirimin yapılmadığı durumlar için düzenlenmişse de, aynı cezayla eksik bildirim yapılması durumunda da karşılaşılabilir. Bu nedenle veri ihlali bildiriminin asgari unsurları taşıyacak şekilde mümkün olan en kısa sürede yapılması gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.