6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler”, 12/5 fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Bu yükümlülüğü yerine getirmeyen kişisel veri sorumlusuna ₺141.934,00 – ₺9.463.213,00 idari para cezası uygulanmaktadır.
Kişisel veri ihlallerini Kişisel Verileri Koruma Kurumu web https://www.kvkk.gov.tr/veri-ihlali-bildirimi/ adresi üzerinden duyurmaktadır.
Veri İhlaline Uğrayan Kişisel Veri Sorumlusu Neler Yapmalı?
1. İhlalin kaynağını ve kapsamını belirleyin. Yapılacak ilk şey, ihlalin kaynağını ve kapsamını belirlemektir, böylece en kısa sürede sorunu çözebilirsiniz. Bu tür güvenlik olaylarını sizin için otomatik olarak izleyen izinsiz giriş algılama ve önleme sistemlerine sahip olmanız gerekir. Bu şekilde ihlalin kaynağını bulabilir, hangi dosyalara erişildiğini ve bilgisayar korsanı tarafından hangi eylemlerin gerçekleştirildiğini görebilirsiniz. Bu bilgiler sonraki adımlarınız için çok önemli olacaktır.
2. Kullanıcılarınızı açık bir şekilde bilgilendirin. Kullanıcıları ihlal ile ilgili en erken zamanda bilgilendirmek; parolalarını değiştirme, kredi kartlarını iptal etme ve banka hesap numaralarını değiştirme gibi bir dizi önlem almalarını sağlar. Bu onlar için bir rahatsızlık olabilir, ancak kimlik hırsızlığı nedeniyle daha büyük sorunlar yaşamalarından daha iyidir. Müşterileri bir ihlal konusunda ne kadar erken uyarırsanız, kendilerini dolandırıcılıktan korumak için o kadar çok zamanları olur. İhlalin niteliği ve kapsamı hakkında bazı bilgiler vermeye çalışın ve hangi verilerinin çalındığını söyleyin. Gerekirse, müşterilerinizin kendilerini koruyabilmeleri için atmaları gereken adımlar konusunda yardımcı olun.
3. Siber saldırganların ne tür bilgiler çaldığını tespit edin. Siber saldırganların hangi verileri sızdırdığını belirlemek gerekiyor. Çalınan bilgiler, sosyal güvenlik numaraları, kredi kartı bilgileri veya sağlık verileri gibi kişisel olarak tanımlanabilir bilgiler ise bunların tümü etkilenen kişilere rapor edilmelidir.
4. Kullanıcılarınızın ve çalışanlarınızın parolalarını değiştirin. Kullanıcılarınız, sisteminize giriş yaptığında parolalarını değiştirmeleri gereken bir bağlantıya yönlendirin veya ihlalin ardından bir e-posta ile yeni bir şifre edinmelerini sağlayın. Birçok veri ihlali, şirketinizdeki uç noktalardan kaynaklandığı için çalışanlarınızın da şifrelerini değiştirmeleri ve güvenlik konusunda eğitim almaları gerekmektedir.
5. Antivirüs yazılımı kullanın. Şirketinize yönelik olası saldırıları ve veri ihlallerini engellemek için kurumsal bir güvenlik çözümü kullanın.
6. KVKK’ya veri ihlal bildiriminde bulunun. Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında veri sorumlusunca;
• Veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde, 72 saat içinde bildirim yapılamaması halinde, gecikme nedeninin Kurula bildirmesi,
• Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması,
• Kurula yapılacak bildirimde Kişisel Veri İhlal Bildirim Formunun kullanılması,
• Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması,
• Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması,
• Veri işleyen nezdinde bulunan kişisel verilerin ihlali halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması,
• Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulması,
• Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi,
Uygulamalarının yerine getirilmelidir.
