KVKK’da 72 Saat Kuralı: Veri İhlali Bildirim Usul ve Esasları (2019/10 Sayılı Karar)
Kişisel verilerin güvenliğini sağlamak, veri sorumlusunun en temel borçlarından biridir. Ancak tüm önlemlere rağmen verilerin sızması veya yetkisiz kişilerin eline geçmesi durumunda, “kriz yönetimi” süreci başlar. KVKK Kurulu, 24.01.2019 tarihli ve 2019/10 sayılı kararı ile veri ihlali durumunda yapılması gerekenleri net bir takvime ve standarda bağlamıştır.
“En Kısa Süre” Artık 72 Saat
Kanun’un 12. maddesinde yer alan “en kısa sürede bildirim” ifadesi, Kurul tarafından Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olacak şekilde 72 saat olarak yorumlanmıştır. Bu, veri dünyasında “altın saatler” olarak adlandırılan sürenin resmiyet kazanmasıdır.
Karar Uyarınca Veri Sorumlusunun Ödevleri
Veri ihlali gerçekleştiğinde veya öğrenildiğinde, kurumların şu adımları izlemesi zorunludur:
- Kurula Bildirim: İhlal öğrenildiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirilmelidir. Haklı bir gerekçeyle bu süre aşılırsa, gecikmenin nedenleri de açıklanmalıdır.
- İlgili Kişilere Bildirim: İhlalden etkilenen kişiler belirlenir belirlenmez, makul olan en kısa sürede (varsa iletişim adresinden doğrudan, yoksa web sitesi ilanıyla) bilgilendirilmelidir.
- Standart Form Kullanımı: Bildirimler, Kurum’un yayımladığı resmi “Kişisel Veri İhlal Bildirim Formu” kullanılarak yapılmalıdır.
- Kayıt Tutma: Veri sorumlusu, yaşanan ihlalleri, etkilerini ve alınan önlemleri kendi bünyesinde kayıt altına almalı ve Kurul incelemesine hazır tutmalıdır.
- Müdahale Planı: Her kurumun, ihlal anında kimin ne yapacağını, kime raporlama yapacağını belirleyen bir “Veri İhlali Müdahale Planı” hazırlaması ve bunu güncel tutması şarttır.
Veri İşleyen ve Yurt Dışı Sorumluluğu
- Veri İşleyenler: Veri sorumlusu adına veri işleyen (bulut servisleri, yazılım firmaları vb.) bir kurumda ihlal yaşanırsa, veri işleyen durumu gecikmeksizin veri sorumlusuna bildirmelidir.
- Yurt Dışı Yerleşikler: Yurt dışındaki bir veri sorumlusunda yaşanan ihlal Türkiye’deki kullanıcıları etkiliyorsa, aynı 72 saat kuralı ve esaslar çerçevesinde Türkiye’deki Kurul’a bildirim yapılmalıdır.
Özgür Eralp Perspektifi: “İhlal Kaçınılmaz Olabilir, Ancak Sessiz Kalmak Kusurdur”
25 yıllık bilişim hukuku kariyerimizde ve siber güvenlik odaklı bilirkişi raporlarımızda gördük ki; Kurul, bir ihlalin yaşanmasından ziyade, bu ihlalin gizlenmesine veya geç bildirilmesine çok daha ağır yaptırımlar uygulamaktadır. 72 saatlik süre, teknik analiz yapmak için oldukça kısıtlı bir süredir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: İhlal anında paniklememek için önceden hazırlanmış bir “Müdahale Planı”nızın olması hayati önem taşır. Formdaki tüm bilgileri hemen sağlayamasanız bile, 72 saat içinde “kademeli bildirim” yaparak süreci başlatmak sizi ağır idari para cezalarından ve itibar kaybından koruyacak yegane yoldur.
Sıkça Sorulan Sorular
1. 72 saatlik süre ne zaman başlar?
Süre, veri sorumlusunun ihlalden haberdar olduğu (farkına vardığı) andan itibaren başlar.
2. İhlalden etkilenen herkesi hemen tespit edemezsek bildirim yapmalı mıyız?
Evet. Bilgilerin tamamına sahip olmasanız bile 72 saat içinde Kurul’a ön bildirim yapmalı, detaylı bilgileri ise “aşamalı olarak” gecikmeksizin sunmalısınız.
3. Küçük bir veri sızıntısı için de bildirim gerekir mi?
Kural olarak tüm ihlaller bildirilmelidir. Ancak ihlalin ilgili kişiler üzerinde bir risk doğurmadığı çok açık olan durumlarda Kurul’un değerlendirmesi önem kazanır; yine de bildirim yapıp kararı Kurul’a bırakmak en güvenli yoldur.
4. İlgili kişilere bildirim yapmazsak ne olur?
İlgili kişilere bildirim yapmamak, ihlalin sonuçlarını ağırlaştıracağı için KVKK Madde 18 kapsamında ciddi idari para cezası sebebidir.
5. Formu e-posta ile mi göndermeliyiz?
Kurum’un internet sitesindeki online bildirim kanalı veya resmi yazışma yolları (KEP gibi) kullanılabilir. Formun güncel versiyonu Kurum web sitesinden temin edilmelidir.
Kaynaklar
- KVKK Kurumu – 2019/10 Sayılı Karar Metni ve Duyurusu
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 12/5)
- Kişisel Veri İhlal Bildirim Formu ve Kılavuzu
- GDPR (General Data Protection Regulation) Madde 33 ve 34
- Ankara Barosu Bilişim Kurulu Yayınları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),
