2019/10 KVKK

2019/10 KVKK

Kişisel Verilerin Korunması Kanunu’nun 2016 yılında kabul görülmesi ile birlikte, hayatımıza veri güvenliği rehberi”,“kişisel veri güvenliği”“kurul bildirimi”, “veri sorumluları” “kişisel veri güvenliği ihlali” ve “ihlal bildirimi” gibi yeni kavramlar  girmiştir.

KVKK’da 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlal bildirimlerine dair bildirim zamanı, yönetimi ile yapılması gerekli olan işlemler gibi önemli bazı konulara açıklık getirdi.

KVKK kısaca veri bildirimi hakkında şunlardan bahsetmiştir;

  • Veri ihlal bildirimlerine dair Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde olan “en kısa sürede” ifadesinin 72 saat olarak değerlendirilmesi ve bu kapsamda veri sorumlusunun ihlali öğrendiği andan itibaren gecikme yapmadan ve en geç 72 saat içinde Kurul’a bildirim yapmasına, haklı bir sebep ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle beraber gecikmenin sebeplerini de Kurul’a açıklanmasına,
  • Kurula yapılacak bildirimde ilan edilen “Kişisel Veri İhlali Bildirim Formu ”unun” kullanılmasına,
  • Veri sorumlusu tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini ve uygun olan zamanda ilgili kişilere de geçerli olan en kısa süre içerisinde, ilgili kişi ve kişilerin iletişim adresine ulaşılabiliyorsa direkt olarak, ulaşılamıyorsa ise veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi yollarla bildirim yapılmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına da tutulması ve Kurul’un incelemesine hazır halde bulundurulmasına,
  • Veri ihlalinin veri işleyen huzurunda gerçekleşmesi halinde, veri işleyenin bu konuda herhangi bir gecikme olmasına izin vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu huzurunda olması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı gereklilikler çerçevesinde Kurul’a bildirimde bulunulmasına,
  • Bir veri ihlali müdahale planı hazırlanmasına ve bu planın belirli zaman dilimlerinde gözden geçirilmesine.

 

Kararı alındı.

Kişisel Verileri Koruma Kurumu (KVKK) ya da veri sahiplerine bir bildirim yapılması gereğinin doğması için öncelikle, işlenen kişisel verilerin

  • Kanuni olmayan yollarla ve
  • Başkaları tarafından elde edilmesi

Gerekmektedir. Bu durumda özellikle üzerinde durulması gereken ayrıntı, verinin kanuni olmayan bir yolla 3. Kişi tarafından eline geçmemesi gerektiği. Bunun dışındaki durumların Kanun’un 12. maddesi genelinde bir bildirime dâhil olmadığını varsaymak gerekir.

Örneğin, elde edilme riskinin oluşması ihlal bildirimi için yeterli olmamalı, verinin elde edilmiş olması gerekmelidir.

Kaynak: kvkk.gov.tr