Veri İhlali Bildirimlerinin Asgari Unsurları

Veri İhlalinden Etkilenenlere Yapılacak Bildirimlerde Yer Alması Gereken Asgari Unsurlar

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin 5. fıkrası uyarınca, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde” veri sorumlularının bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmeleri gerekmektedir.

Kurul daha önce 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlalinden etkilenen kişilere yapılacak bildirimin kişilerin iletişim adreslerine doğrudan, bunun mümkün olmaması halinde ise veri sorumlusunun internet sitesi üzerinden duyuru yayımlanması gibi uygun yöntemlerle yapılmasına karar vermiştir.

Bahse konu mevzuat, Kurul Kararı ve Kurum’a intikal eden veri ihlalleri Kurum tarafından göz önünde bulundurularak, veri ihlallerinden etkilenen kişilere yapılan bildirimlerin, kişiler açısından aydınlatıcı ve olumsuz etkileri ortadan kaldırıcı/azaltıcı etkiye sahip olması için, bazı asgari unsurları taşıması gerektiği değerlendirilmiştir. Bu doğrultuda Kurul, 18.09.2019 tarih ve 2019/271 sayılı kararı ile, kişilere yapılacak ihlal bildirimlerinin açık, sade ve anlaşılır bir dille yapılmasının yanı sıra, aşağıda sıralanan unsurları da içermesi gerektiğine karar vermiştir:

  • İhlalin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.

Herhangi bir veri ihlali gerçekleştiğinde, Kurul’a yapılacak bildirimin şekli daha önce Kurul tarafından 24.01.2019 tarih ve 2019/10 sayılı karar ile belirlenmiş olmakla birlikte ihlalden etkilenenlere yapılacak bildirimler ile ilgili bu yönde bir düzenleme yapılmamıştı. Bu yazımıza konu karar sonrasında veri sorumlularının veri ihlali bildirimlerini, Kurul’a Kişisel Veri İhlali Bildirim Formu ile, ihlalden etkilenenlere ise belirtilen asgari unsurları içerecek şekilde doğrudan iletişim adresleri ya da mümkün olmaması halinde internet sitesi aracılığı ile gerçekleştirmeleri gerekecektir.

Kurul’un karar özetine https://kvkk.gov.tr/Icerik/5547/2019-271 adresinden erişilebilir. (15.10.2019)

Av. Dilara Duygu KOŞAY