Veri İhlal Bildirimleri’ne İlişkin Kişisel Verileri Koruma Kurulu Kararı Yayınlandı

Geçtiğimiz günlerde Optimum Otomotiv nezdinde meydana gelen ve adı geçen işletmenin birçok iş ortağını da etkisi altına alan veri ihlali uzun süre gündemin önemli konuları arasında yer aldı. Kişisel Verileri Koruma Kanunu’nda genel olarak veri sorumlusuna yüklenen veri ihlalini bildirim yükümlülüğü konusunda yeknesaklık sağlanmasını da gözeten Kişisel Verileri Koruma Kurulu, bu konuya ilişkin 24.01.2019 tarihli kararını 15.02.2019 tarihinde yayınladı.

Kararda özellikle veri sorumlusu tarafından veri ihlal durumunun en kısa sürede bildirilmesinden anlaşılması gereken azami sürenin 72 saat olduğu açıklığa kavuşturulmuş oldu. İhlalden etkilenen kişiye de bildirimin mümkün olan en kısa sürede, iletişim adresi üzerinden veya mevcut değilse veri sorumlusunun kendi web sitesinden yapacağı duyuru ile bildirileceğinin altı çizildi. Kurul ayrıca bildirimlerin karar ekinde yayınlanan “Kişisel Veri İhlal Bildirim Formu” ile yapılması gerektiğini bildirdi. Böylece Kurul’a yapılacak veri ihlal bildirimlerinin içeriği de netlik kazanmış oldu.

Kurul kararı ile yurt dışında yerleşik veri sorumluları nezdinde gerçekleşebilecek veri ihlallerinde etkilenen kişilerin Türkiye’de yerleşik olması ve söz konusu ürün ve hizmetlerden Türkiye’de yararlanılması şartı ile yabancı veri sorumlusunun da aynı şartlar dahilinde Kurul’a bildirimde bulunması gerektiği dile getirildi.

Kurul son olarak her bir veri sorumlusu tarafından, belirli aralıklarda gözden geçirilmek üzere bir veri ihlali müdahale planı hazırlanması gerektiğini belirtti. Bu rapor ile ihlal durumunda raporlamanın ilgili işletme içinde kimlere yapılacağı, kanuni yükümlülükler, ihlalin olası sonuçlarına ilişkin değerlendirme ile sorumluluğun kimde olacağına ilişkin belirlemenin yapılacağı bildirilmektedir.

Kararın detaylı metnine aşağıdaki  bu link‘ten ulaşabilirsiniz:

Tags: data breach, data protection, kişisel veri, KVKK, personal data, veri ihlali bildirimi