Bilgilendirme:

KİŞİSEL VERİLERİ KORUMA KURULU’NDAN VERİ GÜVENLİĞİ İHLALLERİNE YÖNELİK KARAR

KİŞİSEL VERİLERİ KORUMA KURULU’NDAN VERİ GÜVENLİĞİ İHLALLERİNE YÖNELİK KARAR

Kişisel Verileri Koruma Kurulu (“Kurul”), veri güvenliği ihlallerinin yönetilmesi ile Kurul’a ve ilgili kişilere bildirilmesine ilişkin 24.01.2019 tarih ve 2019/10 sayılı kararını, 13 Şubat 2019 tarihinde internet sitesinde bir duyuru olarak yayımladı. Kurul ayrıca veri sorumlusuna başvuru ve Kurul’a şikayet sürelerinin hesaplanmasındaki “yorum farklılıklarına açıklık getirmek üzere” de 24/01/2019 tarihli ve 2019/9 sayılı kararını ilan etti.

Uygulamada standartlaşma sağlanabilmesinin amaçlandığını belirten Kurul, öncelikle Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) veri güvenliğine ilişkin hükümlerini hatırlatmış ve sonrasında veri güvenliği ihlallerinin yönetilmesi ve bunların Kurul ile ilgili kişilere bildirilmesinin usul ve esaslarını tespit etmiştir.

Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

KVK Kanunu’nun 12. maddesi uyarınca veri sorumlusu (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ise veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek durumundadır. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilmektedir.

Veri Güvenliği İhlallerinin Yönetimi ve Bildirimi

Veri güvenliği ihlallerine ilişkin 2019/10 sayılı Kurul kararının özetini aşağıda sunmaktayız.

Müdahale Planı Hazırlanması ve Kayıt Tutma

  • Veri sorumlusu, bir "Veri İhlali Müdahale Planı" hazırlamalı ve bu planda (i) ihlalin gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı ve (ii) ihlalin olası sonuçlarının değerlendirilmesi ve gerekli bildirimlerin yapılması hususunda sorumluluğun kimde olduğunun belirlenmesi gibi konuları düzenlemelidir.
  • Veri sorumlusu, (i) veri güvenliği ihlallerine ilişkin bilgiler, (ii) ihlalin etkileri ve (iii) bunlara ilişkin alınan önlemleri kayıt altına almalı ve Kurul’un incelemesine hazır halde bulundurmalıdır.

İhlal Bildirim Süreleri

  • Kurul’a Bildirim: Veri sorumlusu, veri güvenliği ihlalini öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmelidir. Bildirimin 72 saatlik süre içerisinde yapılamaması halinde veri sorumlusu, gecikmenin nedenlerini de Kurula açıklamalıdır. Veri güvenliği ihlallerinde belirlenen bu 72 saatlik süre, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde belirlenen süre ile uyumludur.
  • İlgili Kişilere Bildirim: İhlalden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere “makul olan en kısa süre içerisinde” veri sorumlusu tarafından bildirimin yapılması gerekmektedir.

İhlal Bildirim Usulleri

  • Kurul’a Bildirim: Kurul’a yapılacak bildirimde Kurul’un internet sitesinde yayımlanan “Kişisel Veri İhlal Bildirim Formu” kullanılmalıdır. Formda yer alan bilgilerin tek seferde sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin Kurul’a aşamalı olarak sağlanmalıdır.
  • İlgili Kişilere Bildirim: İlgili kişilere yapılacak bildirimlerin, ilgili kişinin iletişim bilgisi veri sorumlusunda mevcutsa doğrudan, mevcut değilse diğer "uygun yöntemlerle" yapılması (örneğin veri sorumlusunun kendi internet sitesinde duyuru yayımlaması) gerektiği belirtilmiştir.

Veri İşleyenler ve Yurt Dışında Yerleşik Veri Sorumluları

  • İhlalin veri işleyen nezdinde yaşanması halinde veri işleyen, "herhangi bir gecikmeye yer vermeksizin" veri sorumlusuna bildirimde bulunmalıdır.
  • İhlalin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde Kurul’a yapılacak bildirimin, iki şartın sağlanması halinde yapılmasının zorunlu olduğu belirtilmiştir: (i) İhlal sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve (ii) ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları.

Veri Sorumlusuna Başvuru ve Kurul’a Şikâyet Süreleri

Veri sorumlusuna başvuru ve Kurul’a şikayet sürelerinin hesaplanmasına ilişkin 24/01/2019 tarihli ve 2019/9 sayılı Kurul kararında aşağıdaki hususlar vurgulanmıştır:

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişi veri sorumlusunun cevabını müteakip yalnızca 30 gün içerisinde şikâyette bulunabilecek, ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük bir süresi bulunmayacaktır.
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ilgili kişi, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurul’a şikâyette bulunabilecektir. Ancak belirtmek isteriz ki ilgili kişi başvurusunu, bu 60 günlük sürenin ikinci yarısında yapabilecektir, zira veri sorumlusunun başvuruya cevap vermek için 30 günlük bir süresi olacaktır.
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişi, veri sorumlusuna tanınan 30 günlük sürenin dolması ile birlikte Kurul’a şikâyette bulunabilecek ve bu 30 günlük süreden sonra verilecek herhangi bir cevabı beklemekle yükümlü olmayacaktır. Bu durumda ilgili kişinin, veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 günlük bir şikâyet süresi bulunacaktır. Yine belirtmek isteriz ki ilgili kişi başvurusunu, bu 60 günlük sürenin ikinci yarısında yapabilecektir, zira veri sorumlusunun başvuruya cevap vermek için 30 günlük bir süresi olacaktır.

Kurul tarafından vurgulanan bu hususlar, KVK Kanunu’nun hükümlerinden de aynı şekilde anlaşılmakla birlikte Kurul’a yapılan şikâyetlerde ilgili kişiler ve/veya veri sorumluları tarafından bu sürelerin karıştırılması sebebiyle Kurul’un bu kararı almış olabileceğini öngörmekteyiz.

Konuyu açık hale getirmek adına ilgili kişilerin veri sorumlusuna ve Kurul’a şikâyet sürelerine ilişkin bir görseli aşağıda paylaşmaktayız:

Image

ETİKETLER

finans, gayrimenkul, yatırım, ticaret, bilgi teknolojileri, e-ticaret, enerji, icra kabiliyeti, dava, veri koruma, şahsi kefalet, şirketler, yönetmelik, esas sözleşme, bağımsız denetim

SON YAZILAR

Bilgileriniz kaydedilmiştir. Teşekkürler.