Veri İhlalinde “En Kısa Süre” Sınırı: 17 Aylık Gecikmeye Ağır Yaptırım

Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli duyurusu ile veri sorumlularının en sık hata yaptığı konulardan biri olan “ihlal bildirimi süresi”ne dair emsal teşkil eden bir kararını paylaşmıştır. Bu karar, bir veri ihlali yaşandığında “bekle-gör” stratejisinin ne denli ağır sonuçlar doğurabileceğini açıkça ortaya koymaktadır.

---

1. Olayın Özeti: Aylar Süren Sessizlik

Bir veri sorumlusu bünyesinde işlenen kişisel veriler, kanuni olmayan yollarla üçüncü kişilerin eline geçmiştir. Ancak veri sorumlusu, bu sızıntıyı:

• İlgili kişilere (mağdurlara) tam 17 ay,
• Kişisel Verileri Koruma Kurulu’na ise 10 ay gecikmeyle bildirmiştir.

Veri sorumlusu ihlali fark etmiş olmasına rağmen, bildirim yükümlülüğünü yerine getirmek için neredeyse bir buçuk yıl beklemiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “En Kısa Süre” Nedir?

Kurul, uyuşmazlığı 6698 sayılı Kanun’un 12 nci maddesinin (5) numaralı fıkrası üzerinden değerlendirmiştir:

“İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.”

• Zaman Unsuru: Kurul, 10 ve 17 aylık sürelerin “en kısa süre” kavramıyla hiçbir şekilde bağdaşmayacağına hükmetmiştir. (Hatırlatmak gerekir ki Kurul, daha sonra yayımladığı ilke kararıyla bu süreyi kural olarak 72 saat olarak somutlaştırmıştır).
• Veri Güvenliği İhlali: Bildirimin geç yapılması, sadece prosedürel bir hata değil, doğrudan bir veri güvenliği ihlali olarak kabul edilmiştir. Çünkü geç bildirim, ilgili kişilerin verileri üzerindeki kontrolünü kaybetmesine ve maruz kalabilecekleri risklere (dolandırıcılık, kimlik hırsızlığı vb.) karşı önlem alamamasına neden olmaktadır.

[Image showing a hourglass running out of sand with a notification symbol being blocked by a red “X”, representing delayed breach notification]

---

3. Karar Sonucu: İdari Para Cezası

Kurul, bildirim yükümlülüğünü süresi içinde yerine getirmeyen veri sorumlusu hakkında Kanun’un 18 inci maddesi uyarınca idari para cezası uygulanmasına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Geç Gelen Bilgi, Bilgi Değildir”

Bilişim hukuku alanındaki tecrübemizde şunu gördük: Şirketler genellikle “ihlal tam olarak ne boyutta, bir anlayalım da öyle bildirelim” diyerek vakit kaybediyorlar. Oysa KVKK dünyasında kural nettir; kriz yönetiminde dürüstlük ve hız, teknik mükemmeliyetten daha önce gelir. 17 ay beklemek, hukuk diliyle “ihmali kasta yaklaştıran” bir durumdur.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Veri sızıntısını gizlemek, sızıntının kendisinden daha büyük bir cezaya yol açar. Kurul, “teknik olarak engelleyemedim” diyenlere karşı daha esnek olabilirken, “bildiğim halde sakladım” diyenlere karşı en üst sınırdan yaptırım uygulamaktadır. Şirketler, bir veri ihlali müdahale planı hazırlamalı ve 72 saatlik geri sayımın, ihlalin fark edildiği an başladığını unutmamalıdır.

---

Sıkça Sorulan Sorular

1. Veri ihlali gerçekleştiğinde tam olarak ne kadar sürem var?

Kurul’un 2019/10 sayılı ilke kararı uyarınca, veri sorumlusu ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunmalıdır.

2. İhlalin boyutunu henüz tam bilmiyorsam ne yapmalıyım?

Bilgiler netleşene kadar beklememelisiniz. İlk etapta elinizdeki mevcut bilgilerle “kademeli bildirim” yapabilir, detaylar ortaya çıktıkça Kurul’a ek bilgi sunabilirsiniz.

3. Bildirimi geç yaparsam ceza neye göre kesilir?

Kurul; gecikme süresini, etkilenen kişi sayısını, verilerin niteliğini (özel nitelikli olup olmaması) ve veri sorumlusunun bu sürede aldığı önlemleri dikkate alarak ceza miktarını belirler.

4. İlgili kişilere (mağdurlara) bildirim yapmak zorunda mıyım?

Evet. Kurul’a yapılan bildirimin yanı sıra, ihlalden etkilenen kişilere de uygun yöntemlerle (e-posta, SMS, web sitesi ilanı) ulaşıp hangi verilerinin sızdığını ve ne yapmaları gerektiğini anlatmanız şarttır.

5. Sızıntı benden değil, hizmet aldığım bir yazılım firmasından kaynaklıysa sorumluluk kimde?

Veri sorumlusu siz olduğunuz için bildirim yükümlülüğü size aittir. Yazılım firması (veri işleyen), durumu size bildirmekle; siz ise Kurula ve ilgilisine bildirmekle yükümlüsünüz.

---

Kaynaklar

• KVKK Kurumu Duyurusu – 02.08.2018
• 6698 Sayılı KVKK (Madde 12 ve 18)
• Kurulun 24/01/2019 Tarihli ve 2019/10 Sayılı İlke Kararı (Veri İhlali Bildirim Usul ve Esasları)

---

Etiketler

#KVKK, #Veriİhlali, #72SaatKuralı, #VeriGüvenliği, #İdariParaCezası, #EnKısaSüre, #BilişimHukuku, #ÖzgürEralp, #KişiselVeriSızıntısı, #HukukiYükümlülük, #VeriSorumlusu, #İhlalBildirimi