VERİ SORUMLUSU TARAFINDAN İLGİLİ KİŞİYE YAPILAN VERİ İHLALİ BİLDİRİMİNDE YER ALMASI GEREKEN ASGARİ UNSURLARA İLİŞKİN KURUL KARARININ DEĞERLENDİRİLMESİ

Karar Tarihi: 18.9.2019

Karar No: 2019/271

Veri sorumlusunun kişisel veri güvenliğinin sağlanmasına ilişkin yükümlülükleri Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 12. maddesinde düzenlenmiştir. Buna göre, veri sorumlusu;

– Kişisel verilerin hukuka aykırı işlenmesini önlemek,

– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

– Kişisel verilerin muhafazasını sağlamak

amacıyla gerekli her türlü tedbiri almakla yükümlüdür. Kanun, yine aynı maddenin 5. fıkrasında ise, “…İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” demek suretiyle veri ihlali durumunda veri sorumlusunun ilgili kişiye (veri sahibine) bildirim yükümlülüğü olduğunu da düzenlemiştir. Ancak veri ihlali bildiriminin şekline, içeriğine, niteliğine ilişkin detaylı bir düzenleme yapılmamıştır.

Kişisel Verileri Koruma Kurulu, 24.1.2019 tarihli ve 2019/10 numaralı Kurul kararı ile “… Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına…” demek suretiyle bildirimin şekline bir açıklık getirmiştir. Kurul, 18.9.2019 tarihli ve 2019/271 numaralı kararı ile de bildirimin içeriğini ortaya koymuştur.

Buna göre veri ihlali bildirimi açık ve sade bir dille kaleme alınarak ve asgari olarak;

– İhlalin gerçekleştiği zamanı,

– İhlalden etkilenen kişisel verileri,

– Veri ihlalinin olası sonuçlarını,

– Veri ihlalinin olumsuz etkilerinin azaltılması için alınan ve alınması önerilen tedbirleri,

– Veri ihlali ile ilgili bilgi alabilecekleri irtibat kişilerinin veya veri sorumlusunun kimlik ve iletişim bilgilerini kapsamalıdır.

İlgili Kurul kararının tam metnine ulaşmak için; (Lütfen bkz…)

Hukuk Desteği

iletisim: [email protected]

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir