İhlal Yönetimi


NASIL YAPILIR?


Veri İhlalinin Veri Sorumlusu, Veri İşleyen Veya Veri Sahibi Tarafından Tespiti Halinde Olay Yönetimi Nasıl Yapılmalıdır?

Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 

Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır. 

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanır. Veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gereklidir.
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmalıdır.
  • Kurula yapılacak bildirimde Kurul'ca hazırlanmış ve internet sitesinde yayımlanmış olan “Kişisel Veri İhlal Bildirim Formu" kullanılacaktır, Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması mümkündür.
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması gerekir,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunması gerekir.


Veri Sorumlusunun veya  Veri İşleyenin; 

  •  KVK Komitesi veya ilgili yetkilisi veya bir çalışanı, 
  • veya (varsa) Veri Sorumlusu İç Denetçileri, 
  • veya hukuk, bağımsız denetim, sağlık hizmeti veya sair hizmetler sunan herhangi bir danışman  tarafından,

Şirket Çalışanlarınca veya üçüncü kişiler tarafından, Kişisel Verilerin Korunması Politikasına uyumsuz olarak;  kişisel veri elde edildiğinin, saklandığının, sızdırıldığının, aktarıldığının, üçüncü kişiler tarafından hukuka aykırı olarak ele geçirildiğinin  tespit edilmesi ile süreç başlar.

Bu tespit veri sahibinin veri sorumlusuna başvurusu ile de ortaya çıkabilir bu durumda da bu prosedür uygulanacaktır.

SÜREÇ YÖNETİMİ İŞLEMLERİ NELER OLMALIDIR?

1. Komite veya ilgili yetkili kişi konuyla ilgili ihlal tespitinin kesin olup olmadığını inceler. İhlal tespiti kesin ise, özellikle ihlal nedenleri ile konunun kapsamı hakkında detaylı soruşturma başlatır ve konuyla ilgili üyeler arasından iki kişi görevlendirir. Bu iki kişi tercihen Komite başkanı ile veri ihlalinin nedenine göre o departmanın sorumlusu olmalıdır. Komite olmayan yerlerde bu soruşturmayı yapacaklar ilgili yetkili kişi ile veri ihlalinin gerçekleştiği departman amiri olmalıdır.

2. Konu derhal hukuk danışmanı ve önemine binaen veri sorumlusu yönetim organına iletilir.

İhlal eğer veri sahibi/sahipleri nezdinde zarar doğurabilecek boyutta ise, ihlal hakkında Hukuk Danışmanı  ve Veri Sorumlusu yönetim organının nihai görüşleri alınarak durum ilgili kişilere ve 72 saat içinde de  KVKK’ya bildirilir.

3. Komite veya ilgili yetkili kişi ile hukuk müşavirinin ortak çalışmaları sonucunda ihlal nedeni ve ihlali gerçekleştiren kişi/kişiler ile ihlalin boyutları tam olarak tespit edilir. 

İhlalin gerçekleşme nedenine göre organizasyonda alınacak teknik ve idari tedbirler gözden geçirilir. 

Konunun tazminat ve suç hukuku boyutlarının değerlendirilmesi mutlaka yapılmalıdır.

4. Komite veya ilgili yetkili kişi ile hukuk müşaviri, ihlal konusunda organizasyonda alınan tedbirler ile  ihlalin/uyumsuzluğun olası sonuçları hakkında veri sorumlusu yönetim organı tüm detaylarıyla bilgilendirilir.

6. İhlal, Veri Sorumlusu çalışanı, çalışanları veya veri işleyen(üçüncü kişi)  tarafından gerçekleştirilmiş ise, ihlali gerçekleştiren veya ihlalin önlenmesinde ihmali bulunan kişi veya kişiler konu hakkında detaylı olarak bilgilendirilerek, Komite veya ilgili yetkili ve Hukuk müşavirinin görüşüne ve ihlalin boyutuna göre disiplin cezası veya iş akdinin feshi ile cezalandırılabilir. En azından yazılı olarak ikaz edilirler. İhlal Veri İşleyen bir taraf nezdinde meydana gelmiş ise Veri işleyen hakkında, ilgili ticari sözleşme ve veri işleme hizmet sözleşmesi kuralları çerçevesinde en uygun karar verilir. 

5. Uyumsuzluk üçüncü kişilerin haklarını tartışmasız zarara uğratabilecek/uğratacak ve veri sorumlusu tarafından engellenemeyecek sonuç/lar içeriyor ise (örneğin SİBER saldırıya uğranılmış olması) derhal bu sonuçların ortadan kaldırılması için gereken tedbirler de değerlendirilir ve gereken adımlar atılır.  Veri işleyen nezdinde bu ihlal gerçekleşmiş ise veri işleyenin de aynı adımları atması sağlanır.

6. Uyumsuzluğun yeniden gündeme gelmemesi için gerekli tedbirler alınır,  eğitimler, denetimler yeniden gözden geçirilerek, ihtiyaç halinde ilgili tüm personel yeniden bilgilendirilir.


Devamını Gör
İLGİLİ MEVZUAT


Mevzuat 

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurula şikâyet 

MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. 

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. 

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. 

Şikâyet üzerine veya resen incelemenin usul ve esasları 

MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. 

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz. 

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. 

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. 

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. 

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir. 

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

İndirilebilir Evraklara Göz Atın