Kişisel veri ihlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini sağlıyor.
KVKK’nın açıklamalarının yer aldığı bülteni yazımızda bulabilirsiniz.
Kişisel Verileri Koruma Kurulu, veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kararında veri sorumlusunun ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğini açıkladı.
Kişisel Verileri Koruma Kurumuna bu zamana kadar 129 “veri ihlal bildirimi” yapıldı. Kuruma bildirimi yapılan veri ihlallerinden yaklaşık 3 milyon kişi etkilendi. Bu ihlal bildirimlerinin 36 tanesi Kurumun internet sitesinde yayınlandı.
6698 sayılı Kanun ve ilgili Kurul kararına göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumluları bu durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna bildirmek zorundalar. Kişisel Verileri Koruma Kuruluna yapılan veri ihlal bildirimleri, gerekli görülmesi durumunda Kurumun web sitesinden veya başka bir yöntemle kamuoyuna duyuruluyor.
Buna göre veri sorumluları, veri ihlalini öğrendikleri andan itibaren en geç 72 saatte Kuruma bildirmenin yanı sıra, ihlalden etkilenen kişileri belirleyerek en kısa süre içerisinde onlara ulaşmak ve bilgi vermek zorundalar. 72 saat içinde bildirim yapılamaması halinde ise, yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklanması gerekiyor.
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere en kısa sürede bildirim yapılmasındaki amacın, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini sağlamak olduğu açıklandı.
Her türlü tedbir alınmalı
Kişisel Verileri Koruma Kurumundan yapılan açıklamaya göre veri sorumluları, Kanuna göre kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek zorundalar. Öte yandan kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüler.
Kurula yapılacak bildirimde Kişisel Verileri Koruma Kurumunun web sitesinde yer alan “Kişisel Veri İhlal Bildirim Formu” kullanılıyor. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması şartı var.
Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde ise, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirim yapılması gerekiyor.
Ayrıca şirketlerin veri ihlali müdahale planlarını hazırlamaları, belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü bulunmaktadır.
Alınan tedbirler de açıklanmak zorunda
Kişisel Verileri Koruma Kurulu, veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kararında veri sorumlusunun ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğini açıkladı.
Söz konusu Karara göre, veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılmasının yanı sıra; ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hakkındaki bilgileri içermesi gerektiği belirtildi. Ayrıca ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yollarının da yine ilgili kişiye yapılacak ihlal bildiriminde yer alması gerekiyor.
Güvenliğin anahtarı: Farkındalık
Kurumdan yapılan açıklamanın devamında ise şu ifadelere yer verildi:
“Veri ihlallerine karşı alınan önlemlerin yanı sıra en önemli konulardan biri de farkındalıktır. Farkındalık, güvenliğin anahtarıdır. Dolayısıyla kişisel veri işleme süreçlerinde yer alan kişi veya kişilerin farkındalığının geliştirilmesi, bilgi ve bilinç düzeyinin artırılması gerekmektedir. Veri sorumluları, sürdürülebilir veri koruma politikaları oluşturmalı ve bu kapsamda çalışanlarını eğiterek olası risk ve tehditlere karşı hazırlıklı hale getirmelidir. Çünkü veri koruma bilincinin zihinlere yerleşmesiyle şekillenen veri koruma kültürünün şirketlerde kurumsal kimliğin bir parçası haline gelmesi, en az alınan teknik tedbirler kadar önem taşımaktadır.”