Veri İhlali Halinde Yapılması Gerekenler

  1. Veri ihlali nedir?

Veri ihlali 6698 sayılı Kişisel Verilerin Korunması Kanunu Madde 12 uyarınca “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi”dir.

  • Veri İhlali Halinde Ne Yapılması Gerekmektedir?

      Veri ihlali halinde veri sorumlusunun yapması gerekenler:

  • Veri ihlalinin engellenmesi için gerekli teknik ve idari tedbirleri almalı,
  • Veri ihlali müdahale planı devreye sokulmalı,
  • KVKK Madde 12/5 uyarınca “Kurul”a bildirimde bulunmalı,
  • KVKK Madde 12/5 uyarınca “ilgili kişi” ye bildirimde bulunmalı,
  • Veri ihlalinden etkilenen veri grupları, ihlalden etkilenen kişi sayısı ve veri sahibi kategorileri, ihlalin kaynağı, ihlalin gerçekleşme tarihi ve saati belirlenmeli,
  • İhlale dair etki analiz yapılmalı,
  • İhlalin gerçekleştiğine yönelik belgelendirme yapılmalı ve kayıt tutulmalı,
  • İhlale dair takip bildiriminin yapılmalı,
  • İyileşme zamanı tespit edilmeli,
  • Kurul dışında kanun yahut sözleşmeden kaynaklı olarak başka bir kurum, kuruluş, organizasyon veya resmi kurum; veri sorumlusu tarafından tespit edilen bir yabancı otorite varsa ona da bildirim yapılmalıdır.
  • Veri İhlali Bildirimi Ne Zaman Yapılmalıdır?

      Kurul’un 4 Ocak 2019 tarihli, 2019/10 sayılı kararı gereği veri sorumlusu en geç 72 saat içinde Kurul’a veri ihlalini bildirmelidir. İlgili kişi de ihlal ile ilgili en kısa sürede bilgilendirilmelidir.

  • Veri İhlali Halinde Kurul’a Bildirim Yapılması

      Kurul, 2019/10 sayılı kararında yayımladığı “Kişisel Veri İhlali Bildirim Formu” ile veri sorumlularının kendilerine bildirimde bulunması gerektiğini belirtmiştir. Kurul’un web sitesinde de çevrimiçi formatta yer almaktadır.

  • Veri İhlali “İlgili Kişi” ye Bildirim Yapılması

5.1. Veri İhlalinin;

  • Ne zaman gerçekleştiği,
  • Hangi kişisel verilerin ihlalden etkilendiği,
  • Veri ihlalinin olası sonuçlarının neler olduğu,
  • Veri ihlalinin olumsuz sonuçlarının azaltılması için alınması önerilen tedbirler,
  • Veri sorumluları ile irtibat kurulacak kişinin isim, iletişim detayları, şirketin çağrı merkezi vb.

ile ilgili bilgiler en kısa sürede ilgili kişiye verilmelidir.

5.2. Veri ihlali bildirimi ilgili kişinin iletişim bilgilerine ulaşılıyorsa;

  • Doğrudan (E-Posta aracılığıyla)

Ulaşılmıyorsa;

  • Veri sorumlusunun web sayfasında yayımlanması ile yapılır.

sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Şirket’in web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

       6. Veri İhlalinin Bildirilmemesinin Yaptırımı Nedir?

      Veri ihlaline dönük yaptırımlar idari ve cezai yaptırımlar olarak ikiye ayrılmaktadır:

  • İdari Yaptırım:
  • KVKK Madde 18 uyarınca 9.0384-1.966.689 TL arasında değişen idari para cezasıdır.
  • Cezai Yaptırım:
  • TCK Madde 135 uyarınca kişisel verileri hukuka aykırı kaydedenler hakkında 1 yıldan 4,5 yıla,
  • TCK Madde 136 uyarınca verileri hukuka aykırı olarak verme veya ele geçirme hakkında 2 yıldan 6 yıla,
  • TCK Madde 138 uyarınca kanunların belirlediği sürelerin geçmiş olmasına karşın verileri yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde, 1 yıldan 3 yıla kadar hapis cezası verilir.

DPC Veri Güvenliği ve Danışmanlık Hizmetleri alanında uzman ekibiyle kişisel verilerin güvenliğini sağlamak adına hizmet vermektedir. Veri ihlalinin tespiti, ne yapılması gerektiğine dair daha fazla bilgi almak ve hukuki danışmanlık hizmetinden faydalanmak için DPC Veri Güvenlik iletişim adresinden bizlere ulaşabilirsiniz.