Yeni Gelişme
Kişisel Verileri Koruma Kurulu’nun (“Kurul“), ilgili kişiye yapılan veri bildiriminde yer alması gereken asgari unsurlara ilişkin 18 Eylül 2019 tarih ve 2019/271 sayılı kararı (“Karar“) Kurul’un internet sitesinde yayımlandı. İlgili kararında Kurul, ilgili kişilere yapılacak veri ihlali bildirimlerinde ihlalin zamanı, ihlalin olası sonuçları ve alınan tedbirler gibi birtakım unsurlara yer verilmesi gerektiğini belirtmiştir.
Karar Ne Anlama Geliyor?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun“) 12. maddesinin 5. fıkrası uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür. İlgili kararında Kurul, ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sadece bir dille yapılmasını belirterek aşağıdaki unsurlara yer verilmesi gerektiğini ifade etmiştir:
- İhlalin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. gibi iletişim yolları.
Karara ilişkin duyuruya buradan ulaşabilirsiniz.
Sonuç
Kurul, veri sorumlularına Kişisel Verilerin Korunması Hakkında Kanun kapsamında sahip oldukları yükümlülüklere ilişkin rehberlik etmeye devam ediyor. Bilindiği üzere, Kurul veri güvenliğine ilişkin yükümlülüklerin ihlali halinde idari para cezası kesmektedir. Bu nedenle tüm veri sorumluları Karar ışığında süreçlerini Karar’a uygun olacak şekilde gözden geçirmelidir.
