6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, veri sorumlularının kişisel verilerin korunmasına yönelik önemli yükümlülükleri bulunmaktadır. Bu yükümlülüklerden biri de kişisel veri ihlali durumunda en geç 72 saat içinde bildirim yapılması zorunluluğudur. Bu yazıda, veri ihlali bildirimi süreci, kimlerin bu bildirimi yapması gerektiği ve sürecin detaylarını ele alacağız.

---

Veri İhlali Nedir?

Veri ihlali, kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi, ifşa edilmesi, değiştirilmesi ya da yok edilmesi gibi durumları ifade eder. Örneğin:

• Bir şirketin sistemine sızılması sonucu müşteri verilerinin çalınması
• Bir çalışan tarafından USB bellekle verilerin dışarı çıkarılması
• Yanlış kişiye e-posta gönderimi ile kişisel verilerin ifşa edilmesi

Bu gibi olaylar, KVKK kapsamında “kişisel veri ihlali” olarak değerlendirilir.

---

72 Saat Kuralı Nedir?

Kişisel Verileri Koruma Kurulu tarafından yapılan açıklamaya göre, veri sorumluları, bir kişisel veri ihlali tespit ettiklerinde:

En geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim yapmakla yükümlüdür.

Bu sürenin amacı, ihlalin etkilerinin hızlıca değerlendirilmesi ve zararın asgariye indirilmesidir. Kuruma yapılacak bildirim Veri İhlali Bildirim Formu üzerinden elektronik ortamda iletilir.

---

Bildirimde Hangi Bilgiler Yer Almalıdır?

Veri sorumlusu tarafından Kurum’a yapılacak bildirimin içeriğinde şu bilgiler bulunmalıdır:

• İhlalin ne zaman ve nasıl gerçekleştiği
• Hangi kişisel verilerin etkilendiği
• Etkilenen kişi sayısı
• Alınan önlemler
• Veri sorumlusunun iletişim bilgileri
• İhlalden etkilenen ilgili kişilere yapılacak bilgilendirme yöntemi

Kuruma yapılan bildirim, gerekirse daha sonra detaylı bilgi ile güncellenebilir.

---

İlgili Kişilerin Bilgilendirilmesi Zorunlu mu?

Evet. Kişisel verisi ihlal edilen bireylerin (ilgili kişilerin) bu durumdan makul süre içinde haberdar edilmesi gerekir. Bu bildirim genellikle:

• E-posta
• SMS
• Kurumun web sitesi üzerinden
• Diğer etkili iletişim yolları ile yapılabilir.

---

Süreye Uyulmaması Durumunda Ne Olur?

72 saat içinde bildirim yapılmaması, KVKK kapsamında ihlal olarak değerlendirilir ve idari yaptırımlar gündeme gelir. Bu durumda:

• Kurul, idari para cezası uygulayabilir.
• İlgili şirketin itibarı zarar görebilir.
• Gecikmeli bildirim, ihlalin etkilerinin artmasına neden olabilir.

---

Süreci Nasıl Yönetmeliyim?

KVKK veri ihlali bildirim sürecinin doğru yürütülmesi için şirketlerin:

• Veri ihlali müdahale planı oluşturması
• Acil durum iletişim zinciri belirlemesi
• Veri koruma görevlisi veya danışmanlık firmasıyla çalışması önerilir.

Şirketinizin bu konuda profesyonel destek alması gerekiyorsa, KVKK danışmanlık hizmeti sunan firmamızdan destek alabilirsiniz. Yılların tecrübesiyle veri güvenliği süreçlerinizi güvence altına alıyoruz. Hemen bizimle iletişime geçin.

---

Sıkça Sorulan Sorular

1. Veri ihlali bildirimi ne zaman yapılmalıdır?
KVKK’ya göre, veri ihlali tespit edildikten sonra en geç 72 saat içinde KVK Kurumu’na bildirim yapılmalıdır.

2. Veri ihlali bildirim formu nasıl doldurulur?
KVKK web sitesinde yer alan Veri İhlali Bildirim Formu doldurularak Kurum’a gönderilir. Detaylı bilgi danışmanlık ekibimizden alınabilir.

3. Bildirimi kim yapmalıdır?
Bildirim, veri sorumlusu veya onun yetkilendirdiği temsilcisi tarafından yapılmalıdır.

4. İhlal bildirimi yapılmazsa ne olur?
72 saat içinde bildirim yapılmazsa, Kurul tarafından idari para cezaları uygulanabilir.

5. Bu süreci sizin adınıza yönetebilir misiniz?
Evet. KVKK danışmanlık hizmetlerimiz kapsamında, veri ihlali sürecini sizin adınıza mevzuata uygun şekilde yönetiyoruz.