Kişisel Veri İhlallerinin KVKK’ya Bildiriminde Uyulacak Süreler Hk. KVKK Kararı

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’nun 12 nci maddesinin 5 inci fıkrasında; “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu (Kurul)’na bildireceği, Kurul’un, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükme bağlanmıştır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Veri güvenliğine ilişkin yükümlülükler

MADDE 12- …

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

Kişisel Verileri Koruma Kurulu, 15.02.2019 tarihinde Kurum internet sitesinde, söz konusu Kanun maddesinde geçen “en kısa sürede” ifadesinin netleştirilmesine ilişkin aldığı 24.01.2019 tarih ve 2019/10 sayılı Kurul Kararı’nı yayımladı.

Söz konusu Karar ile,

• Kanun’un 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine,
• Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
• Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
• Kurula yapılacak bildirimde aşağıda verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
• Form’da yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
• Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulmasına,
• Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
• Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
• Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verildi.

Bu çerçevede, 6698 sayılı Kanun uyarınca tüzel kişilerde veri sorumlusunun tüzel kişiliğin kendisi olduğu dikkate alındığında, tüzel kişiliği olan şirketler nezdinde kişisel veri ihlali/sızıntısı yaşanması durumunda;

– Veri sorumlusu olan şirket tarafından bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVKK’ya bildirilmesi,

– Kurula yapılacak bildirimde aşağıda verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılması,

– Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa ilgili şirketin kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması,

– Veri ihlali gerçekleşmesi halinde şirket nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, şirket nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanması ve bu planın belirli aralıklarla gözden geçirilmesi

gerekiyor.

Saygılarımızla,

Hamdi GİRGİN

“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”

Hamdi İlkay Girgin

Makalenin yazarı Hamdi Girgin 2001 – 2004 yılları arasında Bankalar Yeminli Murakıp Yardımcısı, 2004 yılından 2010 yılı sonuna kadar da Bankalar Yeminli Murakıbı olarak Bankacılık Düzenleme ve Denetleme Kurumu’nda görev yaptı. 2011 yılı başından bu yana özel bir bankada Mevzuat ve Uyum Müdürü olarak görev yapmaktadır. Bankacılık, AML ve sermaye piyasası mevzuatı başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.

 

KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARINA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 24.01.2019 TARİH VE 2019/10 SAYILI KARARINA İLİŞKİN DUYURU 

KİŞİSEL VERİ İHLALİ BİLDİRİM FORMU

Loading...

Taking too long?

Reload document

| Open in new tab

İndir (Download) [664.46 KB]