KVKK'da Kişisel Veri İhlali Bildirimi: Şirketler ve Bireyler İçin Yükümlülükler

Bir çalışanın iş bilgisayarından veri sızdırması, bir yazılım açığından yararlanılarak müşteri kayıtlarına izinsiz erişilmesi ya da e-posta yoluyla gönderilen yanlış kişisel veriler — bunların hepsi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) anlamında "veri ihlali" sayılabilir. Bu tür bir olayın yaşanması halinde şirketlerin ne kadar sürede, nasıl ve kime bildirim yapması gerektiğini bilmek artık hukuki bir zorunluluktur.

KVKK m.12 Kapsamında Veri Güvenliği Yükümlülükleri

KVKK'nın 12. maddesi, veri sorumlusuna üç temel yükümlülük yükler: kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişilmesini engellemek ve verilerin muhafazasını sağlamak. Bu amaçla uygun güvenlik düzeyini temin etmeye yönelik gerekli tüm teknik ve idari tedbirlerin alınması zorunludur.

Aynı maddenin beşinci fıkrası ise ihlal bildiriminin temel düzenleyici hükmüdür: işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu'na (KVK Kurulu) bildirmekle yükümlüdür.

Bildirim Süreleri: "En Kısa Süre" Ne Anlama Gelir?

KVK Kurulu'nun 2019/10 sayılı Kararı, "en kısa süre" ifadesini somutlaştırmıştır. Buna göre veri sorumlusu, ihlali öğrendiği tarihten itibaren 72 saat içinde Kurul'a bildirimde bulunmak zorundadır. Bu süreye uyulamaması halinde gecikmenin gerekçesi de bildirimle birlikte sunulmalıdır. İlgili kişilere yapılacak bildirim ise ihlalın niteliğine ve kapsamına göre değişen bir zaman çerçevesinde, gecikmeksizin gerçekleştirilmelidir.

Kurula Bildirim: Ne İçermelidir?

KVK Kurulu'na yapılacak bildirim standart bir formla gerçekleştirilir ve aşağıdaki bilgileri içermelidir:

• İhlal tarih ve saati (biliniyorsa)
• Etkilenen kişi sayısı ve veri kategorileri
• İhlalin olası sonuçları
• Alınan ya da alınması planlanan önlemler
• Veri Koruma Sorumlusu (DPO) bilgileri (varsa)
• Bildirimin gecikmesi halinde gecikmesinin gerekçesi

Bildirim, Kurum'un resmi web sitesindeki elektronik sistem üzerinden yapılabilmektedir.

İlgili Kişilere Bildirim

İlgili kişilere bildirim, ihlalin onlar açısından yüksek risk doğurduğu durumlarda zorunlu hâle gelir. Bildirimin; ihlalin niteliğini, etkili iletişim kanallarını, alınan tedbirleri ve KVK Kurulu ile iletişim bilgilerini içermesi gerekmektedir. Kişisel bildirim yapılamıyorsa (örneğin kişi sayısının çok fazla olması ya da iletişim bilgisinin bulunmaması halinde) kamuoyu duyurusu yoluna gidilebilir.

Veri İhlali Protokolü: Şirketler İçin Pratik Adımlar

1. Tespit ve Sınırlama: İhlali fark eder etmez sistemi izole edin, erişimi kesin, ilave veri sızıntısını durdurun.
2. İç Soruşturma: Hangi verilerin, kaç kişinin etkilendiğini, ihlalin nasıl gerçekleştiğini belgeleyin.
3. Risk Değerlendirmesi: İlgili kişiler açısından oluşabilecek zarar büyüklüğünü değerlendirin.
4. 72 Saat Sayacı: İhlali öğrendiğiniz andan itibaren süre işlemeye başlar. Hukuk danışmanınızla derhal iletişime geçin.
5. Kurul Bildirimi: Formu doldurun ve kanıtlarla birlikte Kurul'a iletin.
6. İlgili Kişilere Bildirim: Risk düzeyine göre bireysel veya toplu bildirim yapın.
7. Kayıt Tutma: Tüm süreci belgeleyin; Kurul denetim hakkını saklı tutmaktadır.

İdari Para Cezaları

KVKK m.18 uyarınca veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumlusuna iki milyon Türk lirasına kadar idari para cezası uygulanabilir. Ayrıca bildirim yükümlülüğünün ihlali bağımsız bir ihlal kategorisi olarak kabul edilmekte ve ayrıca cezaya konu olabilmektedir. Cezalar yıldan yıla güncellenen yeniden değerleme oranlarına göre artırılmaktadır.

Sıkça Sorulan Sorular

Her veri ihlali Kurul'a bildirilmeli midir? Hayır. Bildirim yükümlülüğü, ihlalin ilgili kişiler açısından risk doğurduğu durumlarda geçerlidir. Düşük riskli ihlaller için iç kayıt tutmak yeterli olabilir; ancak bu değerlendirme yazılı olarak belgelenmelidir.

72 saatlik süre içinde tüm bilgilerin hazır olması şart mı? Hayır. Kurul, bilgilerin aşamalı olarak sunulabileceğini kabul etmektedir. İlk bildirimde mevcut bilgileri paylaşın, eksik kalan hususları sonradan tamamlayın.

Küçük işletmeler de KVKK'ya tabi midir? KVKK, kural olarak kişisel veri işleyen tüm gerçek ve tüzel kişilere uygulanır. Küçük ölçek muafiyet sağlamaz.

Veri ihlali cezai sorumluluk doğurabilir mi? Evet. Verilerin ifşası ya da yetkisiz erişim, KVKK'nın yanı sıra Türk Ceza Kanunu'nun 136. maddesi kapsamında cezai yaptırıma da yol açabilir.

Yurt dışına veri aktarımı içeren ihlallerde ek yükümlülük var mı? KVKK m.9 kapsamındaki yurt dışı aktarım ihlalleri ayrı bir değerlendirmeye tabidir ve çok taraflı bildirim yükümlülüğü doğurabilir.

Mona Hukuk Nasıl Yardımcı Olabilir?

Veri ihlali anlarında saatler kritiktir. Mona Hukuk olarak şirketlere ihlal protokolü hazırlama, KVK Kurulu bildirimi, ilgili kişilere yönelik iletişim yönetimi ve olası idari soruşturmalarda hukuki temsil konularında destek veriyoruz.

Antalya'da danışmanlık için contact@monahukuk.com adresinden yazabilir ya da +90 (242) 606 14 32 numarasını arayabilirsiniz.