Kişisel Verileri Koruma Kurumu: Veri İhlallerine İlişkin "En Kısa Sürede Bildirim Yükümlülüğü"nün Yorumlanması

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 12 nci maddesinin (1) numaralı fıkrasına göre veri sorumlusu aşağıdaki amaçlarla gerekli her türlü teknik ve idari tedbirleri almak zorundadır:

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak.

Bu teknik ve idari tedbirler, Kişisel Verileri Koruma Kurumu'nun ("Kurum") resmi internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi'nde ayrıntılı olarak düzenlenmiştir.

Kanun'un 12 nci maddesinin (5) numaralı fıkrasına göre ise; veri ihlali durumunda veri sorumlusuna (i) veri ihlalinden etkilenen ilgili kişilere ve (ii) Kişisel Verileri Koruma Kurulu'na ("Kurul") "en kısa sürede" bildirim yapma yükümlülüğü getirilmiştir. Bu hükümde düzenlenmiş "en kısa süre" ibaresinin yorumlanması hususunda, Kurul, 24.01.2019 tarih ve 2019/10 sayılı Kararı'nda; Kurul kararları arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesi için aşağıdaki açıklamalarda bulunmuştur:

• Kurul, öncelikle "en kısa sürede" ifadesinin Kurul'a bildirim bakımından 72 saat olarak yorumlanması gerektiğine karar vermiştir. Haklı bir gerekçe ile 72 saat içinde Kurul'a bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul'a açıklanmasına karar vermiştir.
• Veri ihlalinden etkilenen ilgili kişilere yapılacak bildirim bakımından ise; veri ihlalinden etkilenen kişilerin belirlenmesinden itibaren iletişim adresi biliniyorsa; bu iletişim adresi üzerinden / bilinmiyorsa; veri sorumlusunun kendi web sitesi üzerinden yayımlama yoluyla "makul olan en kısa sürede" bildirim yapılması gerektiğini kararlaştırmıştır. (Veri ihlalinden etkilenen ilgili kişilere yapılacak bildirimlerde; veri ihlal bildirimlerine ilişkin diğer kararlarda belirtilmiş hususlara ek olarak, özellikle veri ihlal bildirimlerine ilişkin asgari koşulların belirlendiği 18.09.2019 tarih ve 2019/271 sayılı Kurul kararı da dikkate alınmalıdır.)
• Kurul, veri işleyen nezdinde bulunan kişisel verilerin ihlali halinde, veri işleyenin "gecikmeksizin" veri sorumlusuna bildirimde bulunması yükümlülüğü getirmiştir. (Ancak rücu hakkı saklı kalmak kaydıyla, veri sorumlusunun, veri işleyenin kasten bu bildirimde gecikmesi nedeniyle bile sorumluluktan kurtulamayacağı unutulmamalıdır. Ayrıca, veri sorumlusu bu bildirimden haberdar olduktan sonra burada açıklanan veri ihlal bildirim prosedürünü yürütmelidir.)
• Ayrıca, Kurul, veri ihlallerine ilişkin bilgilerin, etkilerin ve alınan önlemlerin kayıt altına alınması gerektiğini ve Kurul'a yapılacak bildirimlerde Kurum'un resmi internet sitesinde yer alan Kişisel Veri İhlal Bildirim Formu'nun kullanılması gerektiğini belirtmiştir.
• Son olarak, Kurul, veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından bir veri ihlali müdahale planı (veri ihlalinin olası sonuçlarının değerlendirilmesi ve veri sorumlusu nezdinde sorumluluğun kimde olduğu gibi hususları da içeren) hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi gerektiğini kararlaştırmıştır.

Tüm bunlara ek olarak, yukarıda belirtilen kararda, Kurul;

1. İhlalin sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi durumunda,
2. İlgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda,

Yurtdışında yerleşik veri sorumlusu tarafından da yukarıdaki esaslar kapsamında veri ihlal bildirimi yapılması gerektiğini kararlaştırılmıştır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.