Veri işleyen şirketler, veri ihlali yaşamaları durumunda bunu Kişisel Verileri Koruma Kurumuna ve verisi ihlal edilen kişilere bildirmek zorundalar. Kuruma bu zamana kadar yapılan veri ihlal bildirimleri sayesinde milyonlarca kişinin korunması sağlandı. Kişisel Verileri Koruma Kurumuna şimdiye kadar 129 veri ihlal bildirimi yapıldı. Kişisel veri ihlallerinden yaklaşık 3 milyon kişi etkilendi. Kişisel Verileri Koruma Kurumu gototechno dergisi haberi
Kişisel veri ihlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini sağlıyor. Kişisel Verileri Koruma Kurumuna bu zamana kadar 129 “veri ihlal bildirimi” yapıldı. Kuruma bildirimi yapılan veri ihlallerinden yaklaşık 3 milyon kişi etkilendi. Bu ihlal bildirimlerinin 36 tanesi Kurumun internet sitesinde yayınlandı.
Kişisel Verileri Koruma Kuruluna yapılan veri ihlal bildirimleri, gerekli görülmesi durumunda Kurumun web sitesinden veya başka bir yöntemle kamuoyuna duyuruluyor. Buna göre veri sorumluları, veri ihlalini öğrendikleri andan itibaren en geç 72 saatte Kuruma bildirmenin yanı sıra, ihlalden etkilenen kişileri belirleyerek en kısa süre içerisinde onlara ulaşmak ve bilgi vermek zorundalar. 72 saat içinde bildirim yapılamaması halinde ise, yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklanması gerekiyor.
Her türlü tedbir alınmalı
Kurula yapılacak bildirimde Kişisel Verileri Koruma Kurumunun web sitesinde yer alan “Kişisel Veri İhlal Bildirim Formu” kullanılıyor. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması şartı var.
Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde ise, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirim yapılması gerekiyor. Ayrıca şirketlerin veri ihlali müdahale planlarını hazırlamaları, belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü bulunmaktadır.
Alınan tedbirler de açıklanmak zorunda
Kişisel Verileri Koruma Kurulu, veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kararında veri sorumlusunun ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğini açıkladı.
Söz konusu Karara göre, veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılmasının yanı sıra; ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hakkındaki bilgileri içermesi gerektiği belirtildi.
