KVKK

KVKK veri ihlali

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında bir veri ihlali meydana geldiğinde, yapılması gerekenlerden birisi de bu veri ihlalini Kişisel Verileri Koruma Kurumu’na (Kurum) bildirmektir. Peki, ama veri ihlali nedir ve KVKK veri ihlali bildirimi nasıl yapılır?

Veri ihlali nedir?

Veri ihlali mevzuatta açıkça tanımlanmamış olsa da KVKK kapsamında bir veri ihlali tanımlaması yapmak çok zor değildir.

Buna göre KVKK veri ihlali; 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan bir veri işleme faaliyetinin herhangi bir aşamasında meydana gelen bir veri kaybı, usulsüz bir veri paylaşımı veya veri çalınması olarak tanımlanabilir.

6698 sayılı Kanun’un 15’nci maddesinin 5’inci maddesinde yer alan bildirim yükümlülüğü esas alınarak daha temiz ve net bir veri ihlali tanımı yapmak da mümkündür. Böylece veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi olarak da tanımlanabilir.

veri ihlali nedir

KVKK veri ihlalinin bildirilmesi

Veri sorumlusu (Bkz: https://mustafabaysal.com/kvkk-veri-sorumlusu/) tarafından işlenen kişisel verilerin muhafazası için tedbir alınmış olsa da olmasa da bu kişisel verilerin başkalarınca izinsiz olarak elde edilmesi her zaman muhtemeldir.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Nitekim 6698 sayılı Kanun’un 12’nci maddesinde bu durum öngörülmüş ve işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiği belirtilmiştir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan etme hakkına sahiptir.

Böyle bir durumun yaşanması halinde, başta “en kısa süre” kavramı olmak üzere temel standartları belirlemek isteyen Kurul, 24/01/2019 tarih ve 2019/10 sayılı kararı almıştır: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

Bu karara göre;

  • “En kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına
  • Kurula yapılacak bildirimde, kitabımızın altıncı bölümünde bir örneği yer alan “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına

Karar verilmiştir. Bu bağlamda; işlediği kişisel verileri kanuni olmayan yollarla başkalarını tarafından ele geçirilen veri sorumlusunun, bu durumu öğrendiği andan itibaren en geç 72 saat içinde Kurul’a bilgi vermeye gayret göstermesi, özellikle idari para cezasına maruz kalmamak adına iyi niyetini göstermesi açısından önem arz eder.

Veri ihlali bildirim süresi

Karardan da açıkça görüleceği üzere; kişisel veri ihlalinin yaşanması halinde, bu durumun öğrenilmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapılması gerekmektedir.

KVKK veri ihlali bildirimi nasıl yapılır?

Kurul’a bildirim iki usulle yapılabilir. Bunlardan ilki veri ihlal formunu doldurarak yazılı surette Kurum’a bilgi vermek iken, ikincisi Kurum web sitesinde oluşturulan online platform vasıtasıyla bildirim yapmaktır.

Pdf formatında hazırlanarak Kurum tarafından kamuoyunun kullanımına sunulan “Kişisel veri ihlali bildirimi” formunun en güncel halini şu adresten istediğiniz zaman indirebilirsiniz:

https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi#

Ayrıca aynı adreste bulunan bağlantıya tıklayarak, veri ihlal bildirimini online olarak Kurum web sitesi üzerinden de yapabilirsiniz.

Veri ihlali bildirimi ile ilgili detaylı bilgilerin yer aldığı “Veri ihlali bildirim kılavuzu” da aynı adreste yer almaktadır.

kvkk veri ihlali

KVKK veri ihlali cezası

KVKK idari para ceza miktarlarının ne kadar olduğunu şu yazımda izah etmiştim: https://mustafabaysal.com/kvkk-idari-para-cezalari/

O yazıdan da görüleceği üzere Kişisel Verileri Koruma Kurulu’nun uyguladığı idari para cezaları yaklaşık 10.000 TL’den başlar ve neredeyse 2 milyon liraya kadar ulaşır.

Veri güvenliğinin sağlanmaması halinde uygulanacak idari para cezaları da bu aralıkta olacaktır.

Ancak bağlantıdaki Kurul kararından da görüleceği üzere; veri ihlali yaşandığı halde, gerekli tedbirleri alan, veri ihlalini zamanında tespit eden ve bildiren veri sorumlusu hakkında idari para cezası uygulanmamıştır: https://www.kvkk.gov.tr/Icerik/6860/2020-787

SONUÇ

KVKK veri ihlali yaşanmaması için veri sorumlusu ne kadar tedbir almış olursa olsun, bir veri ihlali her an ve her yerde yaşanabilir.

Böyle bir veri ihlalinin sonucunda veri sorumlusuna, duruma göre milyonlarca lira tutarında idari para cezası uygulanabileceği gibi hiçbir yaptırım da uygulanmayabilir.

Burada Kişisel Verileri Koruma Kurulu’nun beklediği ve istediği şey, elbette öncelikle veri güvenliğine ilişkin tedbirlerin alınması ve her şeye rağmen bir veri ihlali yaşanırsa da bunun en kısa sürede Kurul’a bildirilmesidir.

Veri ihlali yaşayan bir veri sorumlusu hiç durmadan bunu Kurul’a iletmelidir. Aksi takdirde çok büyük idari ve adli yaptırımlarla karşılaşılması muhtemel olacaktır.

Mustafa Baysal

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Aşağıdaki yazılara bakmadan gitme!
Kapalı
Başa dön tuşu