Veri İhlali Nedir? Veri İhlali Bildirimi Nasıl Yapılır? Veri İhlalinde Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri ihlali nedir?

İşlenen kişisel verilerin yasal olmayan yöntemlerle başkaları tarafından elde edilmesine veri ihlali denilmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğünde veri ihlali şu şekilde tanımlanmıştır; aktarılarak, depolanarak ya da başka şekillerde işlenen kişisel verilerin istem dışı veya hukuka aykırı şekilde imhasına, ifşasına veya ele geçirilmesine yol açan haller.

Veri ihlali bildirimi ne demek?

Veri sorumluları, kişisel verilerin mevzuata aykırı olarak işlenmesini, erişilmesini ve muhafazasını önlemek maksadıyla teknik ve idari önlemleri almakla yükümlüdür.

Kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusunun konuyu 72 saat içerisinde ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmesi gerekmektedir. Kurul, gerekli gördüğü takdirde ihlal bildirimini, kendi internet sitesinde ya da farklı bir yöntemle ilan etmektedir.

Veri ihlali bildiriminin amacı, ihlal sebebiyle ilgili kişilere ilişkin oluşabilecek olumsuz sonuçların engellenmesi ya da minimum seviyeye indirilmesini sağlayacak tedbirlerin alınmasını sağlamaktır.

Veri ihlali durumunda veri sorumlusunun yükümlülükleri nelerdir?

• İşlenen kişisel verilerin yasal olmayan yöntemlerle başkaları tarafından ele geçirilmesi halinde, veri sorumlusu konuyu öğrendiği tarihten itibaren en geç 72 saat içerisinde ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür.
• Veri sorumlusunca Kurul'a haklı bir gerekçeyle 72 saat içerisinde tebliğ yapılamaması durumunda, yapılacak bildirimle beraber gecikmeye neden olan sebeplerin de açıklanması gerekmektedir.
• Kişisel Veri İhlal Bildirim Formu kullanılarak Kurul'a bildirim yapılması ve formda istenilen bilgilerin aynı zamanda sağlanması mümkün değilse, söz konusu bilgilerin kademeli olarak gecikmeye mahal vermeden sağlanması zaruridir.
• Veri sorumlusunca, veri ihlalleriyle ilgili bilgilerin, etkilerinin ve alınan tedbirlerin kayıt edilmesi ve Kurul tarafından incelemeye tabi tutulması durumunda hazır bulundurulması zorunludur.
• Veri işleyen nezdinde olan verilerin yasal olmayan yöntemlerle başkaları tarafından ele geçirilmesi durumunda, veri işleyenin ivedilikle bu durumu veri sorumlusuna bildirmesi gerekmektedir.
• Veri ihlalinin yurtdışında yerleşik veri sorumlusu nazarında meydana gelmesi durumunda, söz konusu ihlalin neticelerinin Türkiye'de yerleşik ilgili kişileri etkilemesi ve kişilerin sunulan ürün ve hizmetlerden Türkiye'de yararlanmaları halinde, veri sorumlusunca Kurula bildirilmesi gerekir.
• Son olarak da veri sorumluları tarafından veri ihlali müdahale planının hazırlanması gerekmektedir.

Veri ihlali bildirim süresi ne kadar?

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusu bu durumu öğrendiği tarihten itibaren en geç 72 saat içinde ilgilisine ve Kurula bildirmekle yükümlüdür.

VERİ İHLALİ BİLDİRİMİ NASIL YAPILIR?

Veri ihlali bildirimi, Hakkınızda, İhlal Hakkında, Bildirim, Olası Sonuçlar ve Ekler olmak üzere 5 aşamadan oluşmaktadır. Veri ihlali bildirimini aşağıdaki adımları takip ederek yapabilirsiniz.

İhlal bildirimi oluşturmak ve Kuruma göndermek için https://ihlalbildirim.kvkk.gov.tr/ sayfasında yer alan "Bildirim Oluştur" butonunu tıklayın.

Hakkınızda

• Hakkınızda bölümünde gerekli alanları eksiksiz olarak doldurun ve Kaydet butonunu tıklayarak kaydedin.
• "Veri Sorumlusunun Unvanı/İsmi" ve "Veri Sorumlusunun Adresi" bölümlerine veri ihlalinin gerçekleştiği gerçek ya da tüzel kişiliğin adı ve adresini yazarak Kaydet tıklayın.
• Ardından bir güvenlik kodu (takip numarası) ekrana gelecektir. Bu kod bildirimin sorgulanması ve güncellenmesi için gereklidir.

İhlal Hakkında

• İlk defa veri ihlali bildirimi yapacaksanız "Bildirim Türü" bölümüne "İlk Bildirim" kutucuğunu işaretleyin.
• İhlalin başlama tarih alanına, veri ihlalinin başladığı tarihi yazın.
• İhlalin sona erme tarihi alanına, veri ihlalinin sona erdiği tarihi yazın.
• İhlalin tespit tarihi alanına, veri sorumlusunun ihlalden ilk haberdar olduğu tarihi yazın.
• Veri ihlalinin, veri işleyen nazarında olması ve veri sorumlusuna bildirilmesi halinde "İhlal veri işleyen tarafından veri sorumlusuna bildirildiyse" yazan bölüm tam olarak doldurulmalıdır. Veri ihlali, veri işleyen nazarında olmadıysa bu alanın doldurulması gerekmez.
• Veri ihlalinin kaynağı ve nasıl gerçekleştiği konusunda lüzumlu bilgileri yazın.
• Veri ihlalinin etkisini belirtin.
• Veri ihlalinin nasıl ve kim tarafından tespit edildiği hakkında bilgi verin.
• Veri ihlalinden etkilenen kişisel veri kategorilerini yazın.
• Veri ihlalinden etkilenen kişi ve kayıt sayısını yazın.
• Veri ihlalinden etkilenen ilgili kişi grupları ve etkilerini yazın ve Kaydet tıklayın.

Bildirim

• İlgili kişilere ihlal bildirimi yapılıp yapılmadığını yazın.
• İlgili kişilere yapılan ya da yapılması planlanan bildirimin tarihini yazın.
• Bildirim yöntemini yazın.
• İlgili kişilerin veri ihlali ile ilgili bilgi alabileceği iletişim kanallarını yazın.
• Türkiye'de bulunan yargı, kolluk kuvvetleri ya da diğer kamu kurumlarının görev alanına giren bir husus olması halinde bu kurumlara bilgi verilip verilmediğini seçin.
• Yurtdışında bulunan diğer organizasyon veya kurumlara ihlalle ilgili bilgi verilip verilmediğini seçin.

Olası Sonuçlar

• İlgili kişilerin olumsuz etkilere maruz kalma olasılığı seçeneklerinden birini işaretleyin.
• İhlalin organizasyonunuza olan etkilerini seçerek Kaydet tıklayın.

Önlemler

• Çalışanların kişisel verilerin korunması konusunda son bir sene içinde aldığı eğitimleri yazın.
• Veri ihlalinden önce alınan teknik ve idari tedbirleri yazın.
• Veri ihlalinden sonra alınan teknik ve idari tedbirleri yazın.

Ekler

Veri ihlali ile ilgili tevsik edici belgeleri konusuna göre "İlgili Soru" bölümünden seçerek "Dosya Seç" butonuna tıklayarak geçerli dosya formatları halinde yükleyin. Yüklenecek tevsik edici belgenin konusu "İlgili Soru" bölümünde yoksa "Diğer" seçeneğini işaretleyin.

Kaydet butonuna tıklandığınız zaman o ana kadar bütün bölümlerde yapılan işlemler kaydedilmiş olur. Kaydet ve Kuruma Gönder butonuna tıkladığınız zaman kayıt işlemi tamamlanır.

Veri ihlal bildirimi sorgulama işlemi nasıl yapılır?

• İhlal bildirimi sorgulamak ve güncellemek için https://ihlalbildirim.kvkk.gov.tr/ ekranından "Bildirim Sorgula/Bildirim Güncelle" seçeneğini tıklayın.
• Çıkan sorgu ekranına yer alan ve her bir ihlal bildirimi için verilen güvenlik kodunu ve güvenlik sorusunun cevabını yazarak "Sorgula" butonuna tıklayın.
• Bildirimi düzenlemeye yarayan sayfa açılacaktır. Bildirimi Düzenle butonuna tıklandığınız zaman, düzenleme metodu, bildirimi hazırlayan kişinin kaydetme biçimine göre farklılık göstermektedir. Şayet bildirimi hazırlayan kişi, "Kaydet" butonuna tıklayıp çıkış yapmış ise tüm bölümlerde güncelleme yapabilir. Ancak "Kaydet ve Kuruma Gönder" butonuna tıklayıp çıkış yapmış ise yalnızca "Ekler" bölümünde düzenleme yapabilir.

Veri İhlali Bildirim Formuna ulaşmak için tıklayınız. 

Veri İhlali Bildirim Formu (PDF) ulaşmak için tıklayınız.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

Kişisel Veri İhlali Bildirim Formu Kılavuzuna ulaşmak için tıklayınız.