Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.
Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.
Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
unsurlarına yer verilmesi gerektiğine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
……………………………………..A.Ş./LTD
SAYI:
VERİ SORUMLUSU:
VERİ SORUMLUSU ADINA SÜREÇ TAKİBİ YAPAN KURUM/KİŞİ:
İLGİLİ KİŞİ:
KONU: …….tarihinde gerçekleşen kişisel veri ihlaliyle alakalı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrası uyarınca ilgilinin bilgilendirilmesi hakkında,
OLAYIN ÖZETİ: …………tarihinde ……kişisi tarafından siz ilgilinin ……………….kişisel verileri hukuka aykırı şekilde …………kişileriyle paylaşılmış olup. Süreçle alakalı olarak adli mercilere ve Kişisel Verileri Koruma Kurumuna .../…/… tarihinde bildirimde bulunularak süreç yakından takip edilmektedir. Söz konusu veri ihlalinin tarafınız açısından olumsuz sonuçları ;
…………………şeklinde olup. Söz konusu ihlalin tekrar gerçekleşmemesi için aşağıdaki tedbirler alınmıştır;
……………………………
Detaylı bilgileri ………….numaralı telefondan ………..isimli kişiden alabilirsiniz. …/…/…
EKLER
Suç Duyurusu
KVKK Bildirim Formu
İş Yeri Olay Tutanağı