Yeni Gelişme
Kişisel Verileri Koruma Kurulu’nun (“Kurul“), veri ihlali bildirim usul ve esaslarına ilişkin 24 Ocak 2019 tarih ve 2019/10 sayılı kararı (“Karar“) Kurul’un internet sitesinde yayımlandı. İlgili kararında Kurul, veri sorumlularının veri ihlallerini gecikmesizin en geç 72 saat içinde Kurul’a bildirmesi gerektiğini belirtmiştir.
Karar Ne Anlama Geliyor?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun“) 12. maddesinin 5. fıkrası uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür. İlgili kararında Kurul, hükümde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiş ve bu kapsamda veri sorumlularının söz konusu veri ihlalini öğrendiği tarihten itibaren gecikmesizin ve en geç 72 saat içinde Kurul’a bildirmesi gerektiğini belirtmiştir. Kurul’a yapılacak bildirimlerde Kurul’un internet sitesinde yayımladığı Kişisel Veri İhlali Bildirim Formu’nun kullanılması gerekmektedir. Veri ihlalinden etkilenen kişiler bakımından ise veri sorumluları, bu durumu ilgili kişilere ulaşabildiği hallerde doğrudan, ulaşamadığı hallerde kendi internet siteleri üzerinden yayımlanması gibi uygun yöntemlerle bildirmekle yükümlüdür.
Karara ilişkin duyuruya buradan ulaşabilirsiniz.
Sonuç
Kurul, veri sorumlularına Kişisel Verilerin Korunması Hakkında Kanun kapsamında sahip oldukları yükümlülüklere ilişkin rehberlik etmeye devam ediyor. Bilindiği üzere, veri güvenliğine ilişkin yükümlülüklerin ihlali halinde 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanabilecek. Bu nedenle tüm veri sorumluları Kurul’un söz konusu yükümlülüklere ilişkin rehber ve kararlarını dikkatle takip etmeli ve yükümlülüklerini yerine getirmek için gerekli adımları atmalıdır.