Ticari ve Hukuki Danışmanlık

Kişisel Veri İhlali Bildirimi: KVKK’da 72 Saat Kuralı ve Şirket Yükümlülükleri

Veri güvenliği ve sunucu sistemleri

Bir veri ihlali yaşandığında saatler kritik önem taşır. KVKK, veri sorumlularına ihlali hızla bildirme yükümlülüğü getirir; bu yükümlülüğün ihmali ağır idari para cezalarına yol açabilir. Bu rehberde kişisel veri ihlali bildiriminin yasal temelini, 72 saat kuralını ve şirketlerin yapması gerekenleri açıklıyoruz.

Yasal Dayanak

Yükümlülüğün temeli, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesinin beşinci fıkrasıdır: işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, bu durumu en kısa sürede ilgili kişiye ve Kurula bildirir. Kişisel Verileri Koruma Kurulu'nun 24 Ocak 2019 tarihli ve 2019/10 sayılı kararı ile bu süre, ihlalin öğrenildiği andan itibaren en geç 72 saat olarak belirlenmiştir.

Konu Nedir?

Kişisel veri ihlali; kişisel verilerin kazara veya hukuka aykırı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşası veya bu verilere yetkisiz erişim gibi güvenlik ihlallerini kapsar.

Veri sorumlusu, ihlali öğrenir öğrenmez Kurula bildirim yapmak; ihlal ilgili kişilerin haklarını yüksek riske sokuyorsa, etkilenen kişilere de makul sürede bilgi vermek zorundadır.

Kimleri Etkiler?

  • Veri sorumlusu sıfatıyla kişisel veri işleyen tüm şirketler
  • E-ticaret, sağlık, finans ve teknoloji başta olmak üzere veri yoğun sektörler
  • VERBİS'e kayıtlı işletmeler

Pratik Adımlar

  • İhlal öğrenildikten sonra en geç 72 saat içinde Kurula 'Veri İhlali Bildirim Formu' ile bildirim yapılması
  • 72 saatin aşılması halinde gecikme gerekçesinin açıklanması
  • Yüksek risk varsa etkilenen ilgili kişilere uygun yolla bildirim yapılması
  • Parola sıfırlama ve ek güvenlik tedbirleri gibi acil önlemlerin alınması
  • Olayın tüm aşamalarının ihlal envanterinde belgelenmesi ve veri işleyenle ilişkilerin gözden geçirilmesi

Hukuki Riskler

Bildirim yükümlülüğüne aykırılık, KVKK'nın 18. maddesi uyarınca idari para cezasına tabidir; bu tutarlar her yıl güncellenir. Ayrıca veri ihlali, ilgili kişilerin tazminat talepleri, itibar kaybı ve sözleşmesel yaptırımlar gibi sonuçlar da doğurabilir.

Sonuç ve Tavsiye

Veri ihlaline hazırlıklı olmanın yolu, olay yaşanmadan önce bir müdahale planı ve kayıt düzeni oluşturmaktan geçer. 72 saatlik süreyi kaçırmamak için bildirim sürecini önceden tanımlamanız, teknik ve hukuki ekiplerinizi koordine etmeniz; hem cezai riski hem de itibar kaybını azaltır.

Merak Ettiklerin ve Detaylı Bilgi İçin
Bizimle İletişime Geç!