veri ihlali durumunda ne yapılmalı

Veri İhlali Yaşandığında Ne Yapmalısınız? KVKK Bildirim Süreci ve Şirket Yükümlülükleri

Yazının Ana Başlıkları

Sistemlerinize yetkisiz erişim yapıldığını fark ettiniz. Ya da bir çalışan hatasıyla müşteri verileri yanlış kişilere gönderildi. Belki bir fidye yazılımı şirket sunucularınızı kilitledi. Ne olursa olsun, bu noktada yapılacak ilk hata genellikle aynı: beklemek.

Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri ihlali yaşandığında ne kadar sürede, nasıl ve kime bildirim yapılacağını açıkça düzenliyor. Bu kurallara uymamak, ihlalden çok daha ağır sonuçlar doğurabiliyor.

Bu yazıda, bir veri ihlaliyle karşılaşan şirketin adım adım ne yapması gerektiğini, Kişisel Verileri Koruma Kurulu'nun belirlediği bildirim usulünü ve süreci yanlış yönetmenin yarattığı hukuki riskleri ele alıyoruz.

Veri İhlali Nedir?

Veri ihlali, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi, ifşa edilmesi, değiştirilmesi veya yok edilmesidir. Yalnızca siber saldırılar değil; yanlış e-posta gönderimi, fiziksel belge kaybı, yetkisiz çalışan erişimi ya da üçüncü taraf hizmet sağlayıcı kaynaklı sızıntılar da bu kapsamda değerlendirilebilir.

Önemli olan, ihlal türü değil sonucu: kişisel veriler, yetkisiz kişilerin eline geçmiş ya da zarar görmüştür.

Veri İhlalinde 72 Saatlik Kural Nedir?

KVKK'nın 12. maddesinin 5. fıkrası, veri sorumlusuna açık bir yükümlülük getiriyor: işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusu bu durumu en kısa sürede ilgili kişilere ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır.

Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararıyla bu "en kısa süre" ifadesi 72 saat olarak tanımlanmıştır. Yani ihlali öğrendiğiniz andan itibaren 72 saat içinde Kurul'a bildirim yapmanız zorunludur.

72 Saati Aştıysanız Ne Olur?

Geçerli bir gerekçeyle bu süre aşılmışsa, bildirimle birlikte gecikmenin nedenlerini de Kurul'a açıklamanız gerekmektedir. Ancak bu bir istisna değil, zorunlu hallere özgü bir esneklik. "Henüz tam olarak tespit edemedik" gerekçesi, bildirimi ertelemeniz için yeterli bir neden sayılmıyor. Kurul, aşamalı bildirime izin veriyor: bilgilerin tamamı hazır olmasa bile, elinizdeki bilgilerle 72 saat içinde ilk bildirimi yapıp eksik bilgileri sonradan tamamlayabilirsiniz.

KVKK Veri İhlali Bildirimi Nasıl Yapılır?

Kurul'a yapılacak bildirim, ihlalbildirim.kvkk.gov.tr adresindeki çevrimiçi form üzerinden gerçekleştirilir. Bu form, veri sorumlusu tarafından doldurulur. Avukat veya danışman aracılığıyla bildirim yapılacaksa, vekaletname veya temsil sözleşmesi de forma eklenmesi gerekir.

Bildirim Formu Hangi Bilgileri İçermelidir?

Kurul'un belirlediği form altı ana bölümden oluşmaktadır:

Veri Sorumlusuna İlişkin Bilgiler: Şirketin unvanı, adresi ve bildirimi hazırlayan yetkili kişinin iletişim bilgileri.

İhlal Hakkında Bilgiler: İhlalin başlama tarihi, sona erme tarihi ve şirket tarafından tespit edildiği tarih. İhlalin kaynağı (siber saldırı, zararlı yazılım, insan hatası vb.) ve nasıl gerçekleştiği ayrıntılı biçimde açıklanmalıdır. Etkilenen kişisel veri kategorileri (kimlik bilgileri, iletişim bilgileri, finansal veriler vb.), etkilenen kişi sayısı ve kayıt sayısı da bu bölümde yer alır.

Bildirim Bilgileri: İlgili kişilere bildirim yapılıp yapılmadığı, yapıldıysa hangi yöntemle (e-posta, SMS, web sitesi ilanı vb.) ve hangi tarihte yapıldığı.

Olası Sonuçlar: İhlalin etkilenen kişiler ve şirket organizasyonu üzerindeki olası etkilerinin değerlendirilmesi.

Alınan Önlemler: İhlalden önce mevcut olan teknik ve idari güvenlik tedbirleri ile ihlal sonrasında alınan ek önlemler.

Ekler: Süreci belgeleyen yazışmalar, raporlar, suç duyurusu gibi destekleyici belgeler.

Etkilenen Kişilere Bildirim Nasıl Yapılmalıdır?

Kurul'a bildirim yeterli değil. İhlalden etkilenen kişilere de makul olan en kısa sürede bildirim yapılması zorunludur. Bildirim yöntemi, kişiye doğrudan ulaşılıp ulaşılamadığına göre belirlenir.

İletişim adresine ulaşılabiliyorsa doğrudan bildirim yapılır; e-posta, SMS veya mektup bu amaçla kullanılabilir. İletişim adresine ulaşılamıyorsa şirketin web sitesi üzerinden ilan yayımlanması gibi uygun alternatif yöntemlere başvurulur.

Etkilenen kişilerin hangi veri ihlaliyle karşılaştığını, bu ihlalden nasıl etkilenebileceklerini ve kendileriyle ilgili bilgi alabilecekleri iletişim kanallarını öğrenme hakkı bulunduğunu unutmamak gerekir.

Veri İhlali Sonrasında Şirketin Yapması Gerekenler

İhlali Tespit Edin ve Kayıt Altına Alın

İhlalin ne zaman başladığı, ne zaman sona erdiği ve ne zaman fark edildiği net biçimde belgelenmelidir. Bu tarihlerin Kurul'a yapılacak bildirimde doğru aktarılması hem hukuki zorunluluk hem de şirket lehine önemli bir belgedir.

İhlalin Kapsamını Belirleyin

Hangi veriler etkilendi? Kaç kişi ve kaç kayıt zarar gördü? Veriler yalnızca ifşa mı edildi, yoksa değiştirildi ya da yok mu edildi? Bu soruların yanıtları hem bildirim formunun doğru doldurulması hem de alınacak önlemlerin belirlenmesi açısından kritiktir.

Teknik Önlemleri Derhal Devreye Alın

İhlal devam ediyorsa önce durdurulması gerekir. Etkilenen sistemler izole edilmeli, yetkisiz erişim noktaları kapatılmalı ve sistemlerin güvenlik durumu değerlendirilmelidir.

Kurul'a Bildirimi Yapın

ihlalbildirim.kvkk.gov.tr üzerinden, ihlali öğrendiğiniz tarihten itibaren 72 saat içinde bildirim formunu doldurun. Bilgilerin tamamı hazır değilse bile mevcut bilgilerle ilk bildirimi gönderin, eksik bilgileri sonradan güncelleyin.

Etkilenen Kişileri Bilgilendirin

İlgili kişilere yapılacak bildirimde; ihlal hakkında açıklayıcı bilgi, etkilenmiş olabilecek veriler ve şirketin aldığı önlemler aktarılmalıdır. Ayrıca kişilerin daha fazla bilgi alabileceği bir iletişim kanalı (çağrı merkezi, e-posta adresi vb.) sağlanmalıdır.

Hukuki Süreçleri Başlatın

İhlalin niteliğine göre savcılığa suç duyurusunda bulunmak gerekebilir. Özellikle siber saldırı kaynaklı ihlallerde bu adım hem hukuki koruma sağlar hem de Kurul'a yapılan bildirimde olumlu bir etken olarak değerlendirilir.

Veri İhlali Müdahale Planı Neden Şart?

Kurul, şirketlerin veri ihlali gerçekleşmeden önce bir müdahale planı hazırlamasını ve bu planı belirli aralıklarla güncellemesini açıkça düzenliyor. Bu plan; ihlal durumunda kimin sorumlu olduğunu, iç raporlama akışını, Kurul'a bildirim sürecini ve olası sonuçların nasıl değerlendirileceğini içermelidir.

Müdahale planı olmayan şirketler, ihlal anında hem zaman kaybeder hem de panik içinde yapılan hatalı kararlarla süreci içinden çıkılmaz hale getirebilir. 72 saatlik süre, hazırlıksız bir şirket için son derece kısa.

Ankara'da Veri İhlali Yaşayan Şirketler İçin

KVKK Kurumu, Ankara'da Çankaya'da faaliyet gösteriyor. Bu durum, Kurul incelemelerinde yerinde denetim, evrak tebligatı veya kurumla doğrudan yazışma söz konusu olduğunda Ankara'daki şirketlerin süreci çok daha hızlı ve yakın takip etmek zorunda kalması anlamına geliyor.

Ankara'da teknoloji, kamu tedarikçiliği, sağlık ve finans sektörlerinde büyük hacimde kişisel veri işleyen çok sayıda şirket bulunuyor. Güneş Partners olarak Ankara'da faaliyet gösteren şirketlere veri ihlali süreçlerinin her aşamasında hukuki destek sağlıyoruz. İhlal anındaki 72 saatlik bildirim sürecinden Kurul savunmasına, etkilenen kişilere yapılacak bildirimlerden müdahale planı hazırlığına kadar süreci sizin adınıza yönetiyoruz. Veri ihlaliyle karşılaştığınızda ya da öncesinde hazırlıklı olmak istediğinizde bizimle iletişime geçebilirsiniz.

Sık Sorulan Sorular

Veri ihlalini 72 saat içinde bildiremezsek ne olur?

Geçerli bir gerekçe varsa, gecikmenin nedenleriyle birlikte bildirim kabul edilebilir. Ancak gerekçesiz gecikme, Kurul tarafından başlı başına bir ihlal olarak değerlendirilebilir ve idari para cezasına yol açabilir.

Veri ihlali küçük çaplıysa da bildirim zorunlu mu?

Etkilenen kişi sayısı az olsa bile bildirim yükümlülüğü ortadan kalkmıyor. Belirleyici olan, kişisel verilerin hukuka aykırı biçimde başkalarının eline geçip geçmediğidir.

Veri ihlali üçüncü taraf hizmet sağlayıcımızdan kaynaklandıysa sorumluluk kime ait?

Veri işleyen (hizmet sağlayıcı) konumundaki taraf, ihlali derhal veri sorumlusuna bildirmekle yükümlüdür. Ancak Kurul'a bildirim yapma sorumluluğu veri sorumlusuna, yani şirkete aittir. Bu nedenle hizmet sağlayıcılarla imzalanan sözleşmelerde bildirim yükümlülüklerinin açıkça düzenlenmesi kritik önem taşır.

Yurt dışı merkezli bir şirketiz ama Türkiye'deki kullanıcılarımızı etkileyen bir ihlal yaşandı. Bildirim yapmamız gerekiyor mu?

Evet. Kurul kararına göre, yurt dışında yerleşik veri sorumlularının da Türkiye'deki ilgili kişileri etkileyen ihlalleri aynı esaslar çerçevesinde bildirmesi gerekmektedir.

Bildirim formunu avukat doldurup gönderebilir mi?

Evet. Ancak bu durumda formun Ekler bölümüne vekaletname veya temsil sözleşmesinin eklenmesi zorunludur.

{ "name": "ankara avukat", "type": "Pillar", "words": "3000–5000", "children": [ { "name": "ankara kvkk avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara rekabet hukuku avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara reklam hukuku avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara iş davası avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara miras avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara bişim avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara idare hukuku avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara marka avukatı", "type": "Cluster", "words": "1500–2500", "children": [] }, { "name": "ankara boşanma avukatı", "type": "Cluster", "words": "1500–2500", "children": [] } ] }