Tanım
Kişisel veri ihlali, kişisel verilerin kazara veya yasa dışı olarak yok edilmesine,
kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya kişisel verilere erişime yol açan
bir güvenlik ihlali anlamına gelir.
İlgili Kanun
6698 sayılı KVKK’nın 12. maddesinde, veri sorumlularının veri güvenliğine ile ilgili
yükümlülükleri hazırlanmıştır.
İçerik
Veri sorumluları, başta kişisel verilerin hukuka aykırı bir şekilde işlenmesini ve kişisel
verilere hukuka aykırı bir şekilde erişim sağlanmasının önüne geçmek ile kişisel verilerin
korunmasını sağlamak maksadıyla uygun güvenlik seviyesini elde etmek ve gerekli her
türden teknik ve idari önlemleri almak mecburiyetindedir. Aynı zamanda, veri sorumluları
işlenen kişisel verilerin yasal olmayan şekillerde, başkalarının elde etmesi durumunda,
bu durumu en kısa süre zarfında ilgilisine ve Kişisel Verileri Koruma Kuruluna
bildirmekle sorumludur.
Veri İhlali Nedir ?
Veri ihlali, KVKK çerçevesinde “işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi” olarak tanımlanırken, Avrupa Birliği Genel Veri
Koruma Tüzüğü (GDPR) çerçevesinde “iletilen, saklanan veya işlenen kişisel verilerin
kazara veya yasa dışı yollarla değiştirilmesi, imha edilmesi, kaybı, yetkisiz şekilde
açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” şeklinde açıklanmıştır.
Gerçekleşen veri ihlalinde, ihlalin ilgili kişiler üzerinde ne oranda bir olası etkiye sebep
olduğunun değerlendirilmesi ve ihlal seviyesinin saptanması gerekmektedir. Bahsi
geçen olası etki değerlendirilirken; ihlalin özelliği, ihlalin sebebi, ihlale maruz kalan
verinin türü, ihlalin etkisinin düşürülmesinde alınan tedbirler ile ihlalden etkilenen ilgili
kişi grupları göz önünde tutulmalıdır. Bununla birlikte; ihlaller, oluşturduğu risklere göre
üçe ayrılmaktadır:
1. Düşük düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz hiçbir etkiye sebep
olmamakta ya da bu etki göz ardı edilebilir seviyede kalmaktadır.
2. Orta düzeyde risk: İhlal, ilgili kişiler üzerinde olumsuz etkilere sebep olabilir;
ancak bu etki büyük çaplı değildir.
3. Yüksek düzeyde risk: İhlal, etkilenen kişiler üzerinde ciddi seviyede olumsuz
etkilere sebep olmaktadır.
İhlal Bildirimleri
Veri sorumluları, veri ihlali hususunda yasal olarak ihlalden etkilenen kişilere ve Kişisel
Verileri Koruma Kuruluna ihlal ile alakalı bildirimde bulunmak mecburiyetindedir. Bu
bildirimin maksadı, ihlal sebebiyle bu kişiler konusunda açığa çıkabilecek olumsuz
neticelerin bir an önce önlenmesi veya en aza indirgenmesine olanak sağlayacak
tedbirler alınmasını sağlamak zorunda olmasıdır.
Veri İhlali Tedbir ve Müdahale Planları
• Veri ihlali sonucunda, veri sorumlularının, 72 saatlik zaman zarfı içerisinde bu
konuyu Kişisel Verileri Koruma Kuruluna iletmeleri gerekmektedir. 72 saatlik zaman zarfı
içerisinde haklı bir neden ile bildirimde bulunulmaması sonucunda, bildirim ile beraber
gecikmenin nedeni Kişisel Verileri Koruma Kurumuna açıklanacaktır.
• Veri sorumluları, veri ihlalinden etkilenmiş olan kişileri saptandıktan sonra,
belirli bir süre içerisinde ilgili kişilere bildirimde bulunmalıdır. Söz konusu bildirim, iletişim
bilgileri biliniyorsa direkt olarak ilgili kişiye yapılacak, aksi hâlde veri sorumlusunun
internet sitesinde yayımlanarak veya benzeri şekillerde gerçekleştirilecektir.
• Kişisel Verileri Koruma Kuruluna yapılacak olan veri ihlali bildirimleri, Kişisel
Veri İhlali Bildirim Formu’ndan yararlanılarak yapılacaktır. Veri ihlali bildirimlerinin
düzenlenebilmesi amacıyla Kişisel Verileri Koruma Kurumu aracılığıyla Kişisel Veri İhlali
Bildirim Formu Kılavuzu düzenlenmiş ve Kurumun internet sitesinde yayımlanmıştır.
Mevcutsa, formda belirtilen bilgileri destekler nitelikteki belgeler forma eklenmelidir.
Formda yer bulunan bilgilerin aynı anda verilmesinin olanağı olmayan durumlarda,
gerekli bilgiler veri sorumlusu aracılığıyla gecikmeksizin kademeli olarak
sağlanabilecektir.
• Veri ihlali ile ilgili bilgiler, ihlalin etkileri ve ihlale karşı alınan önlemler Kişisel
Verileri Koruma Kurulunun incelemesine hazır olacak biçimde veri sorumlusu
aracılığıyla kayıt altında tutulacaktır.
• Veri işleyen aracılığıyla işlenen kişisel verilerin yasal olmayan şekillerde
başkalarının elde etmesi durumunda, veri işleyen aracılığıyla veri sorumlusuna
gecikmeksizin bildirimde bulunulacaktır. Veri sorumlusunun veri ihlali ile alakalı bildirim
yükümlülüğünü gerçekleştirebilmesi amacıyla, veri işleyenin veri ihlalini acilen veri
sorumlusuna bildirmesi gereklidir.
• Veri ihlalinin yurt dışında yerleşik veri sorumlusu gözetiminde gerçekleşmesi ve
ihlalin Türkiye’de yerleşik olan ilgili kişileri etkilemesi sonucunda, yurt dışında yerleşik
olan veri sorumlularının da veri ihlali ile alakalı Kişisel Verileri Koruma Kuruluna
bildirimde bulunmakla yükümlüdür.
Veri Tedbirleri İle İlgili Sorumlular
Hakan Bıyıklıoğlu CTO
İbrahim Kılıç IT Manager
Bu politika 01.01.2024 tarihinde yönetim kurulu tarafından onaylanmış ve yürürlüğe
girmiştir.
