Veri İhlali Bildirimi: 72 Saat Kuralı ve Kurul Kararları Işığında Yapılması Gerekenler

BumerangData Hukuk Ekibi · · 11 dk okuma
Veri İhlali Bildirimi: 72 Saat Kuralı ve Kurul Kararları Işığında Yapılması Gerekenler

Kişisel veri ihlalleri, işletmeler için hem hukuki hem de itibar açısından ciddi riskler taşımaktadır. KVKK, veri ihlali durumunda 72 saat içinde Kurul'a bildirim yapılmasını zorunlu kılmaktadır. Bu süreyi kaçıran veya bildirim yapmayan şirketlere ağır yaptırımlar uygulanmaktadır.

Veri İhlali Nedir?

Kişisel veri ihlali, kişisel verilerin kazara veya yasadışı olarak yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya erişilmesi durumudur. Yaygın ihlal örnekleri:

  • Siber saldırı sonucu müşteri verilerinin çalınması
  • Çalışanın yanlış kişiye e-posta göndermesi
  • Veritabanı yedeklerinin şifresiz ortamda bırakılması
  • Fiziksel belgelerin kaybolması veya çalınması
  • Eski çalışanın sisteme yetkisiz erişimi

72 Saat Kuralı Nasıl İşler?

KVKK m.12/5 uyarınca, veri sorumlusu bir kişisel veri ihlali tespit ettiğinde:

  1. En kısa sürede ve en geç 72 saat içinde Kurul'a bildirim yapmalıdır
  2. İhlalin veri sahiplerini etkilemesi halinde, ilgili kişilere de en kısa sürede bildirim yapılmalıdır
  3. 72 saatlik süre, ihlalin tespit edildiği andan itibaren başlar

Kurul'a Bildirimde Bulunması Gereken Bilgiler

Kurul'a yapılacak veri ihlali bildiriminde aşağıdaki bilgiler yer almalıdır:

  • İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği
  • İhlalden etkilenen kişisel veri kategorileri ve tahmini kişi sayısı
  • İhlalin olası sonuçları
  • İhlalin olumsuz etkilerini azaltmak için alınan veya alınması önerilen tedbirler
  • İrtibat kişisinin adı ve iletişim bilgileri

Kurul Kararlarından Örnekler

Kurul, veri ihlali bildirim yükümlülüğünü yerine getirmeyen şirketlere ciddi cezalar vermektedir:

  • Bir banka, müşteri verilerinin sızdırılmasını 72 saat içinde bildirmediği için 1.750.000 TL idari para cezası almıştır.
  • Bir e-ticaret platformu, veri ihlalini tespit etmesine rağmen Kurul'a bildirim yapmadığı için 900.000 TL ceza ile karşılaşmıştır.
  • Bir telekomünikasyon şirketi, ihlal bildiriminde eksik bilgi verdiği gerekçesiyle 600.000 TL cezaya çarptırılmıştır.

Veri İhlali Müdahale Planı Oluşturma

Her işletmenin önceden hazırlanmış bir veri ihlali müdahale planı olmalıdır. Bu plan şunları içermelidir:

  1. Tespit: İhlali hızlı tespit edecek izleme ve alarm sistemleri
  2. Sınırlama: İhlalin yayılmasını önleyecek acil müdahale adımları
  3. Değerlendirme: İhlalin kapsamını ve etkisini analiz etme
  4. Bildirim: Kurul'a ve etkilenen kişilere zamanında bildirim
  5. İyileştirme: Tekrarını önleyecek kalıcı tedbirler

BumerangData ile Veri İhlali Yönetimi

BumerangData platformu, veri ihlali süreçlerinizi sistematik olarak yönetmenizi sağlar:

  • Veri ihlali kayıt ve takip modülü
  • 72 saat süre takibi ve otomatik hatırlatmalar
  • Kurul'a bildirim için hazır şablonlar
  • Etkilenen veri sahiplerine toplu bildirim gönderimi
  • İhlal sonrası iyileştirme eylem planı takibi

Bu içerik bilgilendirme amaçlıdır, hukuki danışmanlık yerine geçmez.