6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, veri sorumlusuna, işlediği kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na ("Kurul") bildirmesi yükümlülüğü getirilmiş ve Kurul'un, gerekmesi hâlinde, bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. 

Kişisel Verileri Koruma Kurumu tarafından 15 Şubat 2019 tarihinde yayımlanan 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ("Karar") ile ihlal durumunda yapılması gereken başvurunun kuralları netleştirilmiştir. Karar kapsamında aşağıdaki düzenlemeler getirilmiştir:

1 - Veri İhlalinin Bildirileceği Süre 

KVKK kapsamında ihlal hâlinde bildirimin "en kısa sürede" yapılacağı belirtilmekle birlikte, bu süreye ilişkin herhangi bir açıklama bulunmamaktaydı. Karar kapsamında Kurul "en kısa sürede" ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. 

Şu hâlde, veri ihlaline ilişkin bir durum olması hâlinde veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirmesi gerekmektedir. Karar'da ayrıca veri sorumlusu tarafından Kurul'a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması hâlinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul'a açıklanması gerektiği ifade edilmiştir. 

2- Veri İhlalinin Bildirimi için Başvuru Formu 

Başvuruların Karar ile birlikte yayımlanan Kişisel Veri İhlal Başvuru Formu ("Başvuru Formu") ile yapılacağı belirtilmiştir. Bu Başvuru Formu altında birçok başlık altında başvuruyu yapan kişiden bilgi talep edilmektedir. Diğer bilgilerin yanında, (i) ihlale ilişkin bilgiler (ilk bildirim mi yoksa takip bildirimi mi olduğu, ihlalin gerçekleşme ve tespit zamanı, ihlalin kaynağı, ihlalden etkilenen kişisel veri kategorileri, etkilenen tahmini kişi ve kayıt sayısı, etkilenen ilgili kişi grupları ve etkileri, ihlal bildirimine ilişkin gecikme olması hâlinde buna ilişkin bilgiler), (ii) ihlalin ilgili kişilere ve organizasyona olası sonuç ve potansiyel etkileri gibi bilgiler, (iii) varsa siber saldırıya özgü sonuçlar, ve (iv) alınan önlemlere ilişkin bilgiler istenmektedir. 

Başvuru Formu altında açıklanan hususlara ilişkin destekleyici belgeler de forma eklenecektir. 

3- İhlalden Etkilenen İlgili Kişilerin Bilgilendirilmesi

KVKK kapsamında veri sorumlularının veri ihlali hâlinde ilgili kişilere bildirimi düzenlenmişti. Karar kapsamında veri ihlalinden etkilenen kişilerin belirlenmesini müteakip, bu kişilere makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine doğrudan, bu adres yoksa veri sorumlusunun kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılacağı belirtilmiştir. 

4- Veri İhlallerine İlişkin Kayıt Tutma Yükümlülüğü

Karar'da veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul'un incelemesine hazır hâlde bulundurulmasına karar verildiği ifade edilmiştir. 

5- Veri İhlali Müdahale Planı Oluşturma Yükümlülüğü

Karar'da, veri ihlali gerçekleşmesi hâlinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, KVKK kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda kendi içinde yetkili ve sorumlu olarak belirlenen kişiye ilişkin bilgi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü getirilmiştir.

6- Yabancı Veri Sorumlularının Bildirimi 

Karar kapsamında veri ihlali sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda, yurt dışında yerleşik veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurul'a bildirimde bulunulması gerektiği ifade edilmiştir.

7 - Veri İşleyenlerin Bildirim Yükümlülüğü

Daha önce Kurul tarafından yayımlanan çeşitli rehber ve açıklamalarda yer verildiği gibi, Karar'da da veri ihlalinin, veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi şeklinde gerçekleşmesi hâlinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması gerektiği de açıkça ifade edilmiştir. Zira veri ihlali ile ilgili yükümlülüğün veri sorumlusu nezdinde olduğu, dolayısıyla bu ihlale ilişkin de veri sorumlusunun bildirim yükümlülüklerini yerine getirmesi gerekeceği göz önünde bulundurulmalıdır.