Veri İhlali: Saatler İçinde Karar Vermek Zorundayız
Siber saldırılar, sistem hataları ya da insan kaynaklı hatalar sonucunda kişisel veri ihlali yaşayan şirketler, KVKK kapsamında hem yetkili otoriteye hem de etkilenen kişilere bildirim yapmakla yükümlüdür. Bu sürecin yanlış yönetilmesi, cezai ve idari yaptırımların yanı sıra ciddi itibar kayıplarına zemin hazırlayabilir.
Veri İhlali Nedir?
İletilen, saklanan ya da başka biçimlerde işlenen kişisel verilerin kazara ya da hukuka aykırı biçimde imha edilmesi, kaybolması, değiştirilmesi veya yetkisiz kişilerce ifşa edilmesi ya da bu verilere erişilmesi veri ihlali sayılır.
KVK Kurulu’na Bildirim Süresi
KVKK’nın 12. maddesi ve Kurul kılavuzları uyarınca, veri ihlalinin öğrenilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirim yapılması gerekmektedir. Bu sürenin aşılması, ihlalin kendisinden bağımsız olarak ayrı bir yaptırım konusu oluşturabilir.
Etkilenen Kişilere Bildirim
İhlalin ilgili kişiler açısından yüksek risk oluşturduğu durumlarda, etkilenen kişilere de gecikmeksizin bildirim yapılması gerekmektedir. Bu bildirimde ihlalin niteliği, olası sonuçları ve alınan ya da alınması planlanan önlemler açıklanmalıdır.
Şirketin Yapması Gerekenler
- İhlali tespit et ve kapsama al
- Delilleri güvence altına al
- Risk değerlendirmesi yap: Hangi veriler, kaç kişi, ne tür risk?
- 72 saat içinde KVK Kurulu’na ön bildirim yap
- İç soruşturma ve iyileştirme planı hazırla
- Tekrarı önleyici teknik tedbirleri al
Şirketler Nasıl Hazırlıklı Olabilir?
Veri ihlali müdahale planı (Incident Response Plan), her şirketin bünyesinde hazır bulundurması gereken kritik bir belgedir. Bu plan; sorumlulukları, bildirim süreçlerini ve teknik adımları önceden tanımlar. Tatbikatlarla test edilen bir hazırlık, gerçek bir ihlal anında panik yerine sistemli müdahale sağlar.
Sonuç
Veri ihlali yönetimi artık yalnızca IT departmanının değil, hukuk ve üst yönetimin de öncelikli gündem maddesidir. KVKK uyum programı ve ihlal müdahale planı hazırlamak için uzman hukuki danışmanlık almak, şirketin hem regülasyon riskini hem de itibar hasarını minimize eder.
Bu konuda kurumsal danışmanlık için iletişim sayfasından bize yazabilirsiniz.