Ortalama okuma süresi : 1 dakika
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrasında veri sorumlusunun; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiştir. Bununla birlikte; KVKK’nın 12. Maddesinin 5. fıkrasında da, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildireceği hükme bağlanmıştır.
İlgili hüküm uyarınca; veri sorumlularının, veri ihlalinden haberdar olur olmaz en kısa sürede Kurul’a bilgi vermesi gerekmekte olup, Kişisel Verileri Koruma Kurulu tarafından “en kısa sürede” ifadesi 04.01.2019 tarih ve 2019/10 sayılı kararda açıklığa kavuşturulmuştur. İş bu karar uyarınca; veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gerekmektedir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaz ise, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanmalıdır.
Kuruma intikal eden veri ihlal bildirimleri, somut olayın koşulları gözetilerek değerlendirilmekte olup, öncelikle söz konusu ihlâl bildirimine konu vakanın meydana geliş biçimi, etkilenen kişi sayısı, ihlâle konu verinin/verilerin niteliği, veri ihlâline ilişkin bildirimin Kuruma ve ilgili kişilere süresinde yapılıp yapılmadığı gibi hususlar irdelenerek inceleme yapılmasına gerek olup olmadığına karar verilmektedir. Ayrıca, veri ihlal bildiriminde bulunan veri sorumlusunun veri güvenliğine ilişkin teknik ve idari tedbirleri alıp almadığı da değerlendirilmekte ve sonucunda idari yaptırım uygulanmasına veya uygulanmamasına hükmedilmektedir.