Veri ihlali bildirimi: 72 saat kuralı

KVKK'nın 12. maddesi, kişisel verilerin hukuka aykırı olarak işlenmesi veya başkaları tarafından elde edilmesi hâlinde veri sorumlusunun Kurula bildirimde bulunmasını öngörür. Bu bildirimin "ihlalin öğrenildiği tarihten itibaren en kısa sürede ve en geç 72 saat içinde" yapılması gerekir. Süre, AB GDPR'daki 72 saat kuralıyla uyumludur ve ciddiye alınmalıdır.

İhlal tespit edildiğinde ilk adım, olayın kapsamını anlamaktır: Hangi veriler etkilendi, kaç kişi etkilendi, veri sızdı mı yoksa sadece yetkisiz erişim mi söz konusu? Bu soruların yanıtları hem iç süreç (kriz yönetimi, teknik önlemler) hem de Kurul bildirimi için gerekli bilgileri şekillendirir.

Kurula yapılacak bildirimde, ihlalin niteliği, etkilenen veri kategorileri ve kişi sayısı, olası sonuçlar, alınan veya önerilen tedbirler ve iletişim bilgisi gibi unsurlar yer almalıdır. Eksik veya gecikmeli bildirim, idari para cezası gerekçesi olabilir. Bu nedenle önceden bir ihlal bildirim şablonu ve sorumlu kişi listesi hazırlamak işinizi kolaylaştırır.

İhlalin öğrenilme anı, 72 saatin başlangıcıdır. "Öğrenme" genellikle yetkili personelin ihlali fark ettiği veya rapor aldığı an olarak yorumlanır. İç haberleşme gecikmeleri süreyi uzatmaz; Kurul nezdinde sorumluluk veri sorumlusundadır. Bu nedenle tüm birimlerin ihlal durumunda kimlere haber vereceği net olmalıdır.

İhlal bildirimiyle birlikte veya sonrasında, etkilenen ilgili kişilere de aydınlatma yapılması gerekebilir. Kanun, "ilgili kişilerin hakları için gerekli önlemlerin alınması" ifadesiyle bu yükümlülüğe işaret eder. Özellikle veri sızıntısı veya dolandırıcılık riski varsa ilgili kişilere bilgi vermek hem şeffaflık hem de güven açısından önemlidir.

Lexidata'da ihlal bildirimi kayıtları ve 72 saat süre takibi yapabilir; hatırlatmalarla bildirimi zamanında tamamlayabilirsiniz. Böylece hem yasal yükümlülüğü yerine getirir hem de süreci dokümante edersiniz.