Kişisel Verileri Koruma Kurumu, kişisel veri ihlallerinde bildirim ve ilan süreçlerine ilişkin yeni uygulamayı kamuoyuna duyurdu. Duyuruda, kişisel verilerin hukuka aykırı şekilde elde edilmesi halinde veri sorumlusunun hem ilgili kişileri hem de Kurulu bilgilendirme yükümlülüğünün bulunduğu hatırlatıldı. Ayrıca ihlal bildirimlerinin Kurumun internet sitesinde ilan edilmesine ilişkin süre uygulamasında yeni bir sınırlamaya gidildiği belirtildi.
Duyuru Neyi Hatırlatıyor
Kişisel Verilerin Korunması Kanunu’nun veri güvenliğine ilişkin hükmü uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla elde edilmesi durumunda veri sorumlusu, durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlü tutuluyor. Kurulun gerekli görmesi halinde ihlale ilişkin bilgilendirmenin internet sitesinde veya uygun görülen başka bir yöntemle ilan edilebileceği ifade ediliyor.
Bildirim Süresi Ne Kadar
Kurul tarafından daha önce belirlenen usul ve esaslar çerçevesinde, “en kısa sürede” ifadesinin uygulamada yetmiş iki saat olarak değerlendirildiği hatırlatıldı. Buna göre veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki saat içinde Kurula bildirim yapmakla yükümlü kabul ediliyor. İhlalden etkilenen kişilerin belirlenmesinin ardından, ilgili kişilere de makul olan en kısa sürede bildirim yapılması gerektiği vurgulanıyor. Doğrudan iletişim mümkünse kişiye ulaşarak, mümkün değilse veri sorumlusunun kendi internet sitesi üzerinden duyuru gibi yöntemlerle bilgilendirme yapılabileceği ifade ediliyor.
İlan Süresi Neden Sınırlandı
Duyuruda, ihlal bildirimlerinin Kurumun internet sitesinde ilan edilip edilmeyeceğine karar verilirken çeşitli kriterlerin değerlendirildiği belirtildi. Etkilenen kişi grubu ve kişi sayısı, etkilenen verinin niteliği ve kapsamı, ihlalin oluş biçimi, veri sorumlusunun faaliyet alanı ve ilgili kişilere ayrıca bildirim yapılıp yapılmadığı gibi başlıkların dikkate alındığı kaydedildi.
Yeni düzenleme kapsamında ise Kurul kararıyla, ihlal bildirimlerinin internet sitesinde ilan edilmesine belirli bir süre sınırı getirildiği ve ilan süresinin altmış gün ile sınırlandığı bildirildi. Ayrıca daha kısa bir süre içinde ilgili kişilere bildirim yapıldığının veri sorumlusu tarafından kanıtlanması halinde, ilanın internet sitesinden kaldırılabileceği belirtildi.
Dikkat Edilmesi Gerekenler
Kurumun açıklamasında, bildirim ve ilan süreçlerinin temel amacının ihlalden etkilenen kişiler hakkında doğabilecek olumsuz sonuçların önlenmesi veya etkilerinin azaltılması için hızlı önlem alınmasına imkân sağlamak olduğu vurgulanıyor. Bu nedenle veri sorumlularının ihlal tespiti halinde olay yönetimi, kayıt altına alma, etki analizi, ilgili kişi bilgilendirmesi ve Kurula bildirim süreçlerini gecikmeye yol açmadan işletmesi önem taşıyor. İlgili kişiye bildirim yapılmasının tevsik edilebilmesi için kullanılan yöntemin ve bilgilendirme kayıtlarının saklanması da uygulamada kritik görülüyor.