Anasayfa/ Makale/ Veri İhlali Bildirim Süreçleri ve Prosedürleri

Veri İhlali Bildirim Süreçleri ve Prosedürleri

Kişisel veri ihlallerinde, veri sorumlularının denetim makamlarına ve veri öznelerine bildirim yükümlülükleri büyük önem taşır. Bu makale, ihlal anından itibaren izlenmesi gereken yasal prosedürleri, 72 saat kuralını ve içerik şartlarını GDPR ve KVKK kapsamında hukuki boyutuyla incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
CEZA HUKUKU KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) VERİ İHLALİ

Kişisel verilerin hukuka aykırı yollarla elde edilmesi, değiştirilmesi veya yetkisiz kişilerin erişimine açılması olarak tanımlanan kişisel veri ihlali, veri sorumluları için acil hukuki aksiyon gerektiren kritik bir güvenlik olayıdır. Gerek Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gerekse 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), böylesi bir kriz anında veri sorumlularına net ve katı bildirim yükümlülükleri yüklemektedir. Hukuki uygulamada veri ihlali bildirimleri, ihlalin tespitinden itibaren zamanla yarışılan, titizlikle yürütülmesi gereken idari bir süreçtir. Doğru yönetilmeyen bir kriz, veri öznelerinin haklarının geri dönülemez biçimde zedelenmesine yol açarken, veri sorumluları açısından da telafisi güç idari yaptırımlara zemin hazırlamaktadır. Bu çerçevede, ilgili idari makamlara ve ihlalden etkilenen veri öznelerine yapılacak bildirimlerin yasal sürelere uygun, şeffaf ve kanunun aradığı maddi unsurları barındıracak şekilde tasarlanması hukuki bir zorunluluktur.

Denetim Makamına Bildirim Süreci ve 72 Saat Kuralı

GDPR 33. madde düzenlemesi uyarınca, veri sorumlusu bir kişisel veri ihlalinden haberdar olduktan sonra en geç 72 saat içinde yetkili denetim makamına bildirimde bulunmakla mükelleftir. Bu yasal süre, ihlalin gerçek kişilerin temel hak ve özgürlükleri açısından risk teşkil etmediği istisnai haller dışında mutlak bir kuraldır. Eğer bildirim 72 saat kuralı aşılarak yapılıyorsa, bu gecikmenin hukuki ve makul gerekçeleri de makama sunulmalıdır. Türk hukuku bağlamında ise KVKK 12. madde kapsamında veri sorumlusunun kanuna aykırı ele geçirmeleri en kısa sürede Kişisel Verileri Koruma Kuruluna bildirmesi gerektiği ifade edilmiştir. Ancak Kurulun 2019/10 sayılı kararı ile bu en kısa süre ibaresi de tıpkı GDPR'daki gibi 72 saat olarak yorumlanmış ve yeknesaklık sağlanmıştır. Veri işleyenler ise ihlali tespit ettiklerinde doğrudan makama değil, derhal veri sorumlusuna bildirim yapmak zorundadır.

Bildirimde Bulunması Gereken Maddi Unsurlar

Etkili bir idari sürecin yürütülebilmesi için veri sorumlularının makama sunacağı bildirim metninin, mevzuatın öngördüğü asgari unsurları eksiksiz içermesi şarttır. GDPR 33. maddenin 3. fıkrası bağlamında yapılacak bildirimde öncelikle kişisel veri ihlalinin mahiyeti, etkilenen veri öznelerinin kategorileri ve yaklaşık sayısı ile etkilenen veri kayıtlarının türleri açıkça ortaya konulmalıdır. Bunun yanı sıra, soruşturma ve irtibat süreçlerini kolaylaştırmak adına veri koruma görevlisinin (DPO) veya yetkili diğer bir temsilcinin iletişim bilgileri sunulmalıdır. Hukuki değerlendirme kapsamında, söz konusu veri ihlalinin doğurabileceği muhtemel riskler ve olumsuz sonuçlar şeffaf bir dille izah edilmelidir. Son olarak, veri sorumlusu tarafından bu ihlalin zararlarını hafifletmek veya ortadan kaldırmak amacıyla alınan ya da alınması planlanan teknik ve idari tedbirler detaylıca raporlanmalıdır. Bilgilerin tümüne aynı anda ulaşılamadığı durumlarda mevzuat, eksik bilgilerin aşamalı iletilmesine izin vermektedir.

Veri Öznesine (Veri Sahibine) Yapılacak Bildirimler

Denetim makamına yapılan resmi bildirimin yanı sıra, veri sorumlularının ihlalden etkilenen bireylere karşı da doğrudan sorumlulukları mevcuttur. GDPR 34. madde uyarınca, gerçekleşen kişisel veri ihlali, gerçek kişilerin temel hak ve özgürlükleri bakımından yüksek seviyede bir tehlike arz ediyorsa, veri sorumlusu vakit kaybetmeksizin ilgili veri öznesine durumu bildirmelidir. Hukuki terminolojiden uzak, veri öznesinin kolayca anlayabileceği açık ve sade bir dil kullanılarak hazırlanan bu bildirimler, bireylerin kendi güvenlik önlemlerini alabilmeleri açısından hayati değere sahiptir. Bildirim metninde; ihlalin olası sonuçları, alınan düzeltici önlemler ve iletişim kurulacak yetkilinin bilgileri yer almalıdır. Ayrıca, şüpheli linklere tıklanmaması veya oltalama saldırılarına karşı dikkatli olunması gibi koruyucu tavsiyelerin verilmesi, zararın etkilerini hafifletmek amacıyla veri sorumlusunun uyması beklenen bir özen yükümlülüğüdür.

Veri Öznesine Bildirim Yükümlülüğünün İstisnaları

Kanun koyucu, her veri ihlalinde veri öznesinin bilgilendirilmesini zorunlu tutmamış, iş yükünü ve paniği önlemek adına belirli hukuki istisnalar öngörmüştür. İlgili mevzuat uyarınca, aşağıdaki durumların varlığı halinde veri öznesine bildirim yapma zorunluluğu ortadan kalkar:

  • Şifreleme gibi koruyucu tedbirlerin uygulanması: İhlale uğrayan veriler üzerinde, yetkisiz kişilerin erişimini veya veriyi anlamlandırmasını imkansız kılan uçtan uca şifreleme gibi güçlü teknik tedbirlerin önceden alınmış olması.
  • Yüksek riskin sonradan bertaraf edilmesi: Veri sorumlusunun, ihlal gerçekleştikten hemen sonra aldığı hızlı ve ek idari ile teknik tedbirler sayesinde, veri öznelerinin haklarına yönelik yüksek tehlike ihtimalinin başarılı bir şekilde engellenmesi.
  • Orantısız çaba gerektirmesi: İhlalden etkilenen kişi sayısının çok yüksek olması sebebiyle birebir bildirimin orantısız bir maliyet ve çaba gerektirdiği durumlarda, bunun yerine aynı etkiyi sağlayacak kamuya açık bir duyuru yapılması.
Şirketimiz hacklendi, kuruma haber vermek için ne kadar süremiz var? expand_more
Mevzuat uyarınca, bir kişisel veri ihlalinden haberdar olduğunuz andan itibaren en geç 72 saat içinde yetkili denetim makamına durumu bildirmeniz hukuki bir zorunluluktur. Bu süre, ancak ihlalin kişilerin temel hak ve özgürlükleri açısından bir risk teşkil etmediği çok istisnai durumlarda aşılabilir. Eğer 72 saatlik bu katı kuralı geçirerek bildirimde bulunursanız, söz konusu gecikmenin makul ve hukuki gerekçelerini de makama sunmakla yükümlüsünüz. Bu süreci zamanında ve doğru yönetmemek, veri sorumluları açısından telafisi güç idari yaptırımlarla karşılaşmanıza zemin hazırlayacaktır.
Şirketin verileri çalındı, devlete bildirim yaparken neleri yazmam lazım? expand_more
İlgili idari makamlara sunacağınız bildirim metni, etkili bir kriz yönetimi için mevzuatın öngördüğü asgari unsurları eksiksiz şekilde barındırmalıdır. Öncelikle ihlalin mahiyetini, hangi veri kategorilerinin ve yaklaşık kaç kişinin etkilendiğini açıkça ortaya koymanız şarttır. Buna ek olarak, şirketinizin veri koruma görevlisinin (DPO) iletişim bilgilerini eklemeli ve bu ihlalin doğurabileceği muhtemel riskleri şeffaf bir dille makama izah etmelisiniz. Son olarak, doğan zararları hafifletmek veya ortadan kaldırmak amacıyla şirket olarak aldığınız ya da planladığınız tüm teknik ve idari tedbirleri detaylıca raporlamalısınız.
Müşterilerin bilgileri sızdı, tek tek hepsine haber vermek zorunda mıyım? expand_more
Kanun gereği, gerçekleşen veri ihlali gerçek kişilerin temel hak ve özgürlükleri bakımından yüksek seviyede bir tehlike arz ediyorsa, vakit kaybetmeksizin etkilenen müşterilerinize durumu bildirmeniz gerekir. Bu bildirimi hazırlarken karmaşık hukuki terimlerden kaçınmalı, kişilerin kolayca anlayıp kendi tedbirlerini alabilecekleri açık ve sade bir dil kullanmalısınız. İleteceğiniz metinde ihlalin olası sonuçları, sizin aldığınız düzeltici önlemler ve sizinle irtibat kurabilecekleri iletişim bilgileri mutlak surette yer almalıdır. Ayrıca kişilerin oltalama saldırılarına karşı dikkatli olmaları veya şüpheli linklere tıklamamaları gibi koruyucu tavsiyelerde bulunmanız, hukuken sizden beklenen bir özen yükümlülüğüdür.
Çalınan veriler şifreliydi, yine de müşterilere haber vermem gerekir mi? expand_more
Kanun koyucu, her ihlal durumunda bireylerin bilgilendirilmesini zorunlu tutmamış, iş yükünü ve paniği önlemek maksadıyla belirli hukuki istisnalar öngörmüştür. Eğer ele geçirilen veriler üzerinde yetkisiz kişilerin erişimini veya anlamlandırmasını imkansız kılan uçtan uca şifreleme gibi güçlü teknik koruyucu tedbirler önceden alınmışsa, müşterilerinize doğrudan bildirim yapma zorunluluğunuz ortadan kalkar. Aynı şekilde, ihlal yaşandıktan hemen sonra uyguladığınız ek tedbirlerle risk ihtimalini ortadan kaldırdıysanız da bildirim yükümlülüğünden muaf olursunuz. Ancak kişi sayısının çok yüksek olduğu ve birebir bildirimin orantısız çaba gerektirdiği durumlarda, bildirim zorunluluğunun kalkmadığını ve bunun yerine kamuya açık bir duyuru yapmanız gerektiğini de hatırlatmak isterim.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir