ANKARA (AA) - Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir, Kişisel Verileri Koruma Kurulu'na yapılan veri ihlal bildirimlerinde son dönemde artış yaşandığını belirterek, kendilerine bu yılın ilk 3 aylık döneminde 36 veri ihlal bildirimi ulaştığını açıkladı.
Faruk Bilir, Kişisel Verileri Koruma Kurulu'na yapılacak veri ihlal bildirimleriyle ilgili açıklamasında, veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine göre kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu aktardı.
Ayrıca kanun kapsamında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildireceğini, Kurulun da gerektiğinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceğini belirten Bilir, kurula yapılan veri ihlal bildirimlerinde son dönemde artış yaşandığını kaydetti.
2018'de toplam 29 veri ihlal bildirimi yapılırken, bu yılın ilk 3 aylık döneminde 36 veri ihlal bildirimi ulaştığını aktaran Bilir, bu bildirimlerdeki artışta ocak ayında alınan Kurul kararının yanı sıra kamuoyunda veri koruma konusunda oluşan farkındalığın etkili olduğu değerlendirmesinde bulundu.
- İhlal bildirimlerinden 22'si Kurulun internet sitesinden paylaşıldı
Kurula bu bildirimleri gerekli gördüğü takdirde yayınlama yetkisinin kanunla verildiğini anımsatan Bilir, bugüne kadar veri ihlal bildirimlerinden 22'sinin kurum internet adresinden duyurularak kamuoyuyla paylaşıldığını belirtti.
Kişisel Verileri Koruma Kurumu Başkanı Bilir, açıklamasında veri sorumlusunun veri ihlalinden etkilenen kişileri belirledikten sonra ilgili kişilere makul olan en kısa sürede bildirimde bulunması, kişinin iletişim adresine ulaşabiliyorsa doğrudan, ulaşamıyorsa da kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapması gerektiğini vurgulayarak, şunları kaydetti:
"Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bundan etkilenenlerin Türkiye'de bulunması ve bu kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda, aynı esaslar çerçevesinde veri sorumlusu Kurula bildirimde bulunmak zorundadır."
Bilir ayrıca veri sorumlularının veri ihlal bildirimlerini en geç 72 saat içinde yapmaları gerektiğini ifade ederek, bu sayede veri ihlal bildirimlerinin süresi konusunda belirsizliğin ortadan kaldırıldığını ve kararın Avrupa Genel Veri Koruma Tüzüğü ile de uyumlu olduğunu aktardı.
- 1 milyon liraya kadar idari para cezası
Hazırlanan Kişisel Veri İhlal Bildirim Formunun kurumun internet sitesinden kamuoyuyla paylaşıldığını, veri sorumlularınca Kurula yapılacak bildirimlerde bu formun kullanılması gerektiğinin altını çizen Bilir, veri sorumlusunun veri ihlal bildirimi yükümlülüğünü yerine getirmemesinin veri güvenliğine ilişkin yükümlülüklerin ihlali anlamına geleceğini ifade etti. Bilir, bu durumda kanunda 15 bin liradan 1 milyon liraya kadar idari para cezasının öngörüldüğünü hatırlattı.
Veri sorumlularının mutlaka bir veri ihlali müdahale planı hazırlamaları ve bu planın belli aralıklarla gözden geçirilmesi gerektiğini söyleyen Bilir, "Daha önce kişisel verilerin işlenmesi, silinmesi, yok edilmesi ve imha edilmesi gibi konulara ilaveten pro-aktif bir yaklaşımla kriz anında hızlı ve etkili adımlar atılarak zararın en aza indirgenmesini sağlamak amacıyla veri ihlali durumunda da ilke ve prosedürlerin belirlenmesi zorunluluğunu getirmiş olduk." açıklamasını yaptı.
Bilir, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin olarak, 2019/10 Sayılı Kurul Kararı ile uygulamada yanlış algılara ve yorum farklılıklarına neden olabilecek bir hususu daha açıklığa kavuşturduklarını bildirdi.