Anasayfa Makale Veri İhlali Bildirim Süreçleri ve Prosedürleri

Makale

Kişisel veri ihlallerinde, veri sorumlularının denetim makamlarına ve veri öznelerine bildirim yükümlülükleri büyük önem taşır. Bu makale, ihlal anından itibaren izlenmesi gereken yasal prosedürleri, 72 saat kuralını ve içerik şartlarını GDPR ve KVKK kapsamında hukuki boyutuyla incelemektedir.

Veri İhlali Bildirim Süreçleri ve Prosedürleri

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) VERİ İHLALİ KVKK

Kişisel verilerin hukuka aykırı yollarla elde edilmesi, değiştirilmesi veya yetkisiz kişilerin erişimine açılması olarak tanımlanan kişisel veri ihlali, veri sorumluları için acil hukuki aksiyon gerektiren kritik bir güvenlik olayıdır. Gerek Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gerekse 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), böylesi bir kriz anında veri sorumlularına net ve katı bildirim yükümlülükleri yüklemektedir. Hukuki uygulamada veri ihlali bildirimleri, ihlalin tespitinden itibaren zamanla yarışılan, titizlikle yürütülmesi gereken idari bir süreçtir. Doğru yönetilmeyen bir kriz, veri öznelerinin haklarının geri dönülemez biçimde zedelenmesine yol açarken, veri sorumluları açısından da telafisi güç idari yaptırımlara zemin hazırlamaktadır. Bu çerçevede, ilgili idari makamlara ve ihlalden etkilenen veri öznelerine yapılacak bildirimlerin yasal sürelere uygun, şeffaf ve kanunun aradığı maddi unsurları barındıracak şekilde tasarlanması hukuki bir zorunluluktur.

Denetim Makamına Bildirim Süreci ve 72 Saat Kuralı

GDPR 33. madde düzenlemesi uyarınca, veri sorumlusu bir kişisel veri ihlalinden haberdar olduktan sonra en geç 72 saat içinde yetkili denetim makamına bildirimde bulunmakla mükelleftir. Bu yasal süre, ihlalin gerçek kişilerin temel hak ve özgürlükleri açısından risk teşkil etmediği istisnai haller dışında mutlak bir kuraldır. Eğer bildirim 72 saat kuralı aşılarak yapılıyorsa, bu gecikmenin hukuki ve makul gerekçeleri de makama sunulmalıdır. Türk hukuku bağlamında ise KVKK 12. madde kapsamında veri sorumlusunun kanuna aykırı ele geçirmeleri en kısa sürede Kişisel Verileri Koruma Kuruluna bildirmesi gerektiği ifade edilmiştir. Ancak Kurulun 2019/10 sayılı kararı ile bu en kısa süre ibaresi de tıpkı GDPR'daki gibi 72 saat olarak yorumlanmış ve yeknesaklık sağlanmıştır. Veri işleyenler ise ihlali tespit ettiklerinde doğrudan makama değil, derhal veri sorumlusuna bildirim yapmak zorundadır.

Bildirimde Bulunması Gereken Maddi Unsurlar

Etkili bir idari sürecin yürütülebilmesi için veri sorumlularının makama sunacağı bildirim metninin, mevzuatın öngördüğü asgari unsurları eksiksiz içermesi şarttır. GDPR 33. maddenin 3. fıkrası bağlamında yapılacak bildirimde öncelikle kişisel veri ihlalinin mahiyeti, etkilenen veri öznelerinin kategorileri ve yaklaşık sayısı ile etkilenen veri kayıtlarının türleri açıkça ortaya konulmalıdır. Bunun yanı sıra, soruşturma ve irtibat süreçlerini kolaylaştırmak adına veri koruma görevlisinin (DPO) veya yetkili diğer bir temsilcinin iletişim bilgileri sunulmalıdır. Hukuki değerlendirme kapsamında, söz konusu veri ihlalinin doğurabileceği muhtemel riskler ve olumsuz sonuçlar şeffaf bir dille izah edilmelidir. Son olarak, veri sorumlusu tarafından bu ihlalin zararlarını hafifletmek veya ortadan kaldırmak amacıyla alınan ya da alınması planlanan teknik ve idari tedbirler detaylıca raporlanmalıdır. Bilgilerin tümüne aynı anda ulaşılamadığı durumlarda mevzuat, eksik bilgilerin aşamalı iletilmesine izin vermektedir.

Veri Öznesine (Veri Sahibine) Yapılacak Bildirimler

Denetim makamına yapılan resmi bildirimin yanı sıra, veri sorumlularının ihlalden etkilenen bireylere karşı da doğrudan sorumlulukları mevcuttur. GDPR 34. madde uyarınca, gerçekleşen kişisel veri ihlali, gerçek kişilerin temel hak ve özgürlükleri bakımından yüksek seviyede bir tehlike arz ediyorsa, veri sorumlusu vakit kaybetmeksizin ilgili veri öznesine durumu bildirmelidir. Hukuki terminolojiden uzak, veri öznesinin kolayca anlayabileceği açık ve sade bir dil kullanılarak hazırlanan bu bildirimler, bireylerin kendi güvenlik önlemlerini alabilmeleri açısından hayati değere sahiptir. Bildirim metninde; ihlalin olası sonuçları, alınan düzeltici önlemler ve iletişim kurulacak yetkilinin bilgileri yer almalıdır. Ayrıca, şüpheli linklere tıklanmaması veya oltalama saldırılarına karşı dikkatli olunması gibi koruyucu tavsiyelerin verilmesi, zararın etkilerini hafifletmek amacıyla veri sorumlusunun uyması beklenen bir özen yükümlülüğüdür.

Veri Öznesine Bildirim Yükümlülüğünün İstisnaları

Kanun koyucu, her veri ihlalinde veri öznesinin bilgilendirilmesini zorunlu tutmamış, iş yükünü ve paniği önlemek adına belirli hukuki istisnalar öngörmüştür. İlgili mevzuat uyarınca, aşağıdaki durumların varlığı halinde veri öznesine bildirim yapma zorunluluğu ortadan kalkar:

  • Şifreleme gibi koruyucu tedbirlerin uygulanması: İhlale uğrayan veriler üzerinde, yetkisiz kişilerin erişimini veya veriyi anlamlandırmasını imkansız kılan uçtan uca şifreleme gibi güçlü teknik tedbirlerin önceden alınmış olması.
  • Yüksek riskin sonradan bertaraf edilmesi: Veri sorumlusunun, ihlal gerçekleştikten hemen sonra aldığı hızlı ve ek idari ile teknik tedbirler sayesinde, veri öznelerinin haklarına yönelik yüksek tehlike ihtimalinin başarılı bir şekilde engellenmesi.
  • Orantısız çaba gerektirmesi: İhlalden etkilenen kişi sayısının çok yüksek olması sebebiyle birebir bildirimin orantısız bir maliyet ve çaba gerektirdiği durumlarda, bunun yerine aynı etkiyi sağlayacak kamuya açık bir duyuru yapılması.
4 dk okuma Yayınlanma: Güncelleme: