Sign In
KPMG VERGİ / Blog / Blog Detay
19
Şubat
2019
Kişisel Verileri Koruma Kurumu'ndan Veri İhlali Bildirimlerine İlişkin Duyuru

Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı 12. maddesi kapsamında alınan "kişisel veri ihlali bildirim usul ve esaslarına ilişkin" 24 Ocak 2019 tarihli ve 2019/10 sayılı Karar ile uygulamada bir standartlaşma sağlanabilmesi adına bazı konulara açıklık getirildi.

Kanun'un 12.maddesinin (1) numaralı fıkrasında veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu; (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurul'a bildireceği, Kurul'un, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlandı.

Söz konusu Kanun maddesi kapsamında, Kurul'un, bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini amacıyla aldığı Karar'da;

  • Kanun'un 12 nci maddesinin (5) numaralı fıkrasının "İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul'a bildirir…." hükmünde yer alan "en kısa sürede" ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,​

  • Veri sorumlusu tarafından Kurul'a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul'a açıklanmasına,
     
  • Kurul'a yapılacak bildirimde "Kişisel Veri İhlal Bildirim Form"unun kullanılmasına,
     
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
     
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul'un incelemesine hazır halde bulundurulmasına,
     
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
     
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurul'a bildirimde bulunulmasına,
     
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine,

karar verildi.

Kurul'un bu kararı ve "Kişisel Veri İhlal Bildirim Form"u ile birlikte Kişisel Verileri Koruma Kurumu internet sayfasında yayınlandı. Bu Karar, ülkemizdeki uygulamaların Avrupa'da olan uygulamalara yakınlaştığını gösteriyor.