Giriş

Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 12'nci maddesi, veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu "en kısa sürede" ilgilisine ve Kişisel Verileri Koruma Kurulu'na ("Kurul") bildirme yükümlülüğünü düzenlenmektedir.

Kurul yakın zamanda kendi internet sitesinde yaptığı bir açıklama ile ihlalin bildirilmesi gereken "en kısa süre"nin Avrupa Birliği Veri Koruma Tüzüğü ("GDPR") ile uyumlu olacak şekilde azami 72 saati ifade ettiğini belirtmiştir.

Kişisel Veri İhlali Bildirimi

Kurul'un bu kararı doğrultusunda, bir veri sorumlusu, kendi nezdinde bulundurduğu veya KVKK uyarınca müşterek sorumlu olduğu veri işleyene sağladığı kişisel verilerin hukuka aykırı olarak elde edilmesi halinde (örneğin bazı verilerin teknik bir saldırı ile ele geçirilmesi veya veri sorumlusunun bir çalışanı tarafından üçüncü kişilere ifşa edilmesi), ilgili ihlali öğrenmesinden itibaren 72 saat içinde Kurul'un internet sitesinde sağlanan formu doldurmak suretiyle Kurul'a ve ihlalden etkilenmesi muhtemel veri sahiplerine ihlali ve ihlal ile bağlantılı riskleri bildirmekle yükümlüdür. İhlalden etkilenen kişilere ulaşılmaması halinde, veri sorumlusunun kendi internet sitesinde ihlale ilişkin bir bildiri yayımlanmalıdır.

İlgili hüküm ve süre koşulu, veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda da geçerli olacaktır.

Kişisel Veri İhlali Bildiriminde KVKK ve GDPR Farkı

Kurul her ne kadar GDPR uygulamaları ile yeknesaklık sağlamak amacıyla "en kısa süre" için GDPR'da yer alan azami 72 saatlik süre sınırını benimsemiş olsa dahi, halen kişisel veri ihlal bildirimlerine ilişkin KVKK hükümleri ilgili GDPR hükümleri tamamen uyumlu hale getirilmemiş, bu nedenle KVKK hem de GDPR'a tabi veri sorumluları açısından bir eylem birliği oluşturulamamıştır.

GDPR altında bir ihlalin etkilenen ilgili kişilere bildirilmesi ancak bu ihlalin bu kişilerin hak ve özgürlükleri üzerinde ciddi risk oluşturması halinde zorunlu iken, bu kriter KVKK kapsamında veya Kurul'un bir kararı ile benimsenmemiştir. İhlalin ciddiyetine ilişkin GDPR uygulamasının kasten göz ardı edilip edilmediği belli olmamakla beraber, mevcut halde, Kurul'un bu yöndeki içtihatları yerleşene kadar, ihlalin ciddiyeti önem teşkil etmeksizin tüm ihlallerin Kurul'a ve ilgililere azami 72 saat içinde bildirilmesi en güvenli yaklaşım olacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.