Kişisel Veri İhlal Bildiriminizi 72 saat içinde yapmanız gerekiyor
6698 sayılı Kişisel Verileri Koruma Kanunun 12/5. maddesi veri sorumlusunun kişisel veri ihlalini “en kısa sürede” ilgiliye (veri sahibine) ve Kurula bildireceğini hükme bağlamıştı. Kişisel Verileri Koruma Kurulu 24.01.2019 tarih VE 2019/10 sayılı kararı ile “en kısa” ifadesine açıklık getirdi. Karara göre yurt içinde veya yurt dışında yerleşik veri sorumlusu bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde yaşanan kişisel veri ihlalini Kurula bildirmesi gerekiyor. Veri sorumlusu yaşanan veri ihlalinden etkilenen kişileri belirledikten sonra da bu kişilere makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapması gerektiği de bu kararla kurala bağlandı.
Veri sorumlusu, Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapamaz ise yapacağı kişisel veri ihlal bildiriminde gecikmenin nedenlerinin de Kurula açıklamak zorunda kalacak.
Kurula yapılacak kişisel veri ihlal bildirimlerinde Kişisel Veri İhlal Bildirim Formu kullanılmak zorunda.
Eğer veri sorumlusu formda yer alan bilgilerin bazılarını bildirim anında sağlayamıyorsa, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanıp kurula bildirimde bulunulacak.
Aynı karar veri sorumlusunun ihlallerin kayıt altına alma yükümlülüğünün de altını çiziyor. Buna göre veri sorumlusu veri ihlallerine ilişkin bilgileri, ihlalin etkilerini ve aldığı önlemleri kayıt altına alacak ve Kurulun incelemesine hazır halde bulunduracak.
Veri işleyenler ise veri sorumluları adına işledikleri kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, herhangi bir gecikmeye yer vermeksizin durumu veri sorumlusuna bildirmeleri gerekecek.
Kurul, yaşanabilecek veri ihlallerine karşı kimlere raporlama yapılacağı, Kanun kapsamında hangi bildirimlerin yapılacağı ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlamak ve belirli aralıklarla bu planın gözden geçirmek zorunda.
Kararın tamamı için : İlgili Kurul Kararı
