TR EN DE

Veri İhlali Bildirimi

Kişisel veri ihlali, verilerin kazara veya yasadışı olarak yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişilmesi anlamına gelir. KVKK, veri sorumlularına ihlal halinde Kurul'a ve ilgili kişilere bildirim yükümlülüğü getirmektedir.

Summary in English

Overview

A personal data breach means accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access to personal data. Under KVKK, data controllers must notify both the Board and affected data subjects in case of a breach.

Key Points

  • Notification Timeline: The Board must be notified within 72 hours of becoming aware of the breach.
  • Board Notification: Must include breach description, scope, affected data, potential consequences, and remedial measures.
  • Data Subject Notification: Required when breach poses high risk to individuals' rights and freedoms.
  • Incident Response: Organizations should have a breach response plan with designated team and procedures.
  • Consequences: Failure to notify or inadequate security measures can result in significant administrative fines.
Full article in Turkish below

Überblick

Eine Verletzung des Schutzes personenbezogener Daten bedeutet die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unbefugte Offenlegung oder den Zugriff auf personenbezogene Daten. Nach dem KVKK müssen Verantwortliche sowohl die Behörde als auch betroffene Personen im Falle einer Verletzung benachrichtigen.

Kernpunkte

  • Meldefrist: Die Behörde muss innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigt werden.
  • Meldung an die Behörde: Muss Beschreibung der Verletzung, Umfang, betroffene Daten, mögliche Folgen und Abhilfemaßnahmen enthalten.
  • Benachrichtigung Betroffener: Erforderlich, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der Personen darstellt.
  • Incident Response: Organisationen sollten einen Reaktionsplan mit einem benannten Team und Verfahren haben.
  • Konsequenzen: Unterlassene Meldung oder unzureichende Sicherheitsmaßnahmen können zu erheblichen Bußgeldern führen.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Kişisel veri ihlali, günümüz dijital dünyasında her ölçekteki kuruluşun karşılaşabileceği kritik bir risk alanıdır. KVKK, veri ihlali durumunda veri sorumlularına Kurul'a ve ilgili kişilere bildirim yükümlülüğü getirmektedir. Hızlı ve etkin müdahale, hem yasal yükümlülüklerin yerine getirilmesi hem de zararın minimize edilmesi açısından hayati önem taşır.

Karşılaştırmalı Hukuk
AB (GDPR Madde 33-34): Veri ihlali yetkili denetim otoritesine 72 saat içinde bildirilmelidir. İlgili kişilere bildirim, yüksek risk durumunda "gecikmeksizin" yapılmalıdır.

ABD: 50 eyaletin ayrı bildirim yasaları vardır. Genellikle "makul sürede" bildirim öngörülür. CCPA, California sakinleri için 72 saat kuralı getirir.

Almanya: GDPR kuralları geçerlidir. BSI (Federal Bilgi Güvenliği Ofisi) kritik altyapı ihlalleri için ek bildirim gereksinimleri belirler.

Türkiye: KVKK m.12/5 "en kısa sürede" der. Kurul bunu 72 saat olarak yorumlamaktadır.

2. Veri İhlali Kavramı

Kişisel veri ihlali, kişisel verilerin güvenliğinin ihlal edilmesi sonucu verilerin kazara veya yasadışı olarak yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz olarak açıklanması veya bunlara erişilmesidir.

KVKK Madde 12/5 — İhlal Bildirimi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

İhlal Türleri

İhlal Türü Açıklama Örnek
Gizlilik ihlali Yetkisiz veya kazara ifşa/erişim Veri sızıntısı, yanlış alıcıya e-posta gönderimi
Bütünlük ihlali Yetkisiz veya kazara değiştirme Veritabanı manipülasyonu, ransomware şifrelemesi
Erişilebilirlik ihlali Yetkisiz veya kazara kayıp/yok etme Yedeksiz veri kaybı, fiziksel hasar
KARŞILAŞTIRMALI HUKUK
GDPR Madde 33-34 — Veri İhlali Bildirimi
GDPR, veri ihlalinin yetkili denetim otoritesine 72 saat içinde bildirilmesini zorunlu kılar. İhlal, kişilerin hak ve özgürlükleri için yüksek risk oluşturuyorsa ilgili kişilere de "gecikmeksizin" bildirim yapılmalıdır. KVKK'da süre "en kısa sürede" olarak belirlenmiş, Kurul bu süreyi 72 saat olarak yorumlamaktadır.

3. Kurul'a Bildirim

Bildirim Süresi

KVKK'da "en kısa sürede" ifadesi kullanılmış olup, Kurul bu süreyi ihlali öğrendikten itibaren 72 saat olarak belirlemiştir.

KURUL KARARI 2019/10 — BİLDİRİM SÜRESİ
Veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunmalıdır. 72 saatin üzerinde bir sürede yapılan bildirimlerde gecikmenin gerekçesi de açıklanmalıdır.

Bildirim Yöntemi

Kurul'a bildirim, kvkk.gov.tr adresindeki "Veri İhlali Bildirim Formu" aracılığıyla yapılır. Form, elektronik ortamda doldurulur ve sisteme yüklenir.

Bildirimde Bulunması Gereken Bilgiler

Bilgi Kategorisi İçerik
İhlalin tanımı İhlalin niteliği, nasıl gerçekleştiği, etkilenen veri kategorileri
Etki kapsamı Etkilenen kişi sayısı, etkilenen veri kayıt sayısı
İrtibat bilgileri Detaylı bilgi alınabilecek kişi/birim iletişim bilgileri
Olası sonuçlar İhlalin ilgili kişiler üzerindeki muhtemel etkileri
Alınan tedbirler İhlalin etkilerini azaltmak için alınan/alınacak tedbirler
Gecikme gerekçesi 72 saatten geç bildirim yapılıyorsa sebebi
KURUL KARARI
Eksik Bildirim
Kurul, 2020/481 sayılı kararında, veri ihlali bildiriminde etkilenen kişi sayısını ve veri kategorilerini eksik bildiren bir şirkete idari para cezası uygulamıştır. Bildirim, ihlalin tam kapsamını yansıtmalı ve soruşturmayı mümkün kılacak detayları içermelidir.

4. İlgili Kişilere Bildirim

Veri ihlali, ilgili kişilerin hak ve özgürlükleri üzerinde olumsuz etki yaratabilecek nitelikteyse, ilgili kişilere de bildirim yapılması gerekmektedir.

Bildirim Yapılması Gereken Durumlar

Risk Düzeyi Bildirim Gereksinimi Örnek Senaryo
Yüksek risk Zorunlu - derhal bildirim Kimlik bilgileri, finansal veriler, sağlık verileri sızıntısı
Orta risk Değerlendirmeye bağlı Şifrelenmiş verilerin sızıntısı, sınırlı kapsamlı ihlal
Düşük risk Genellikle gerekli değil Anonimleştirilmiş verilerin kaybı, iç erişim ihlali

Bildirim İçeriği

Bilgi Açıklama
İhlalin açıklaması Ne olduğunun anlaşılır dilde açıklanması
Etkilenen veriler Hangi kişisel verilerin etkilendiği
Olası sonuçlar İlgili kişi için potansiyel riskler
Alınan tedbirler Veri sorumlusunun aldığı önlemler
Önerilen eylemler İlgili kişinin kendini korumak için yapabilecekleri
İletişim bilgileri Daha fazla bilgi için başvuru yolu
KURUL KARARI
İlgili Kişilere Bildirim Eksikliği
Kurul, 2021/1187 sayılı kararında, kimlik ve finansal verilerin sızdığı bir ihlalde ilgili kişilere bildirim yapmayan bankaya ceza uygulamıştır. Kararda, bu tür hassas verilerin sızması halinde ilgili kişilerin kimlik hırsızlığı ve dolandırıcılık riski altında olduğu, bu nedenle mutlaka bilgilendirilmesi gerektiği vurgulanmıştır.

5. İhlal Müdahale Süreci

Etkin bir veri ihlali müdahalesi için önceden hazırlanmış bir süreç ve ekip bulunmalıdır.

Müdahale Aşamaları

Aşama Eylemler Süre
1. Tespit İhlalin belirlenmesi, ilk değerlendirme Derhal
2. Sınırlama İhlalin yayılmasının engellenmesi, sistemlerin izolasyonu İlk saatler
3. Değerlendirme Kapsamın belirlenmesi, etkilenen verilerin tespiti 24-48 saat
4. Bildirim Kurul'a ve ilgili kişilere bildirim 72 saat içinde
5. İyileştirme Güvenlik açığının giderilmesi, sistemlerin onarımı İhlale bağlı
6. Dokümantasyon İhlal raporunun hazırlanması, dersler çıkarılması İhlal sonrası

İhlal Müdahale Ekibi

Rol Sorumluluk
Ekip lideri Müdahale sürecinin koordinasyonu, karar alma
BT/Güvenlik Teknik analiz, sınırlama, iyileştirme
Hukuk Yasal değerlendirme, bildirim yükümlülükleri
İletişim İç/dış iletişim, basın açıklamaları
İnsan Kaynakları Çalışan verilerinin etkilendiği durumlarda
Üst Yönetim Stratejik kararlar, kaynak tahsisi
UYGULAMA ÖNERİSİ
İhlal Müdahale Planı
Her kuruluş, veri ihlali durumunda izlenecek adımları tanımlayan yazılı bir müdahale planına sahip olmalıdır. Plan, ekip üyelerini, iletişim zincirini, sorumlulukları ve kontrol listelerini içermelidir. Planın etkinliği düzenli tatbikatlarla test edilmelidir.

6. Kurul İncelemesi ve Kararları

Kurul, bildirilen veri ihlallerini inceler ve gerekli gördüğü hallerde idari yaptırım uygular.

Kurul'un Değerlendirme Kriterleri

Kriter Değerlendirme
Güvenlik tedbirlerinin yeterliliği İhlal öncesi alınan teknik ve idari tedbirler
İhlalin önlenebilirliği Makul tedbirlerle önlenip önlenemeyeceği
Müdahale hızı İhlalin tespit ve bildirim süresi
İyileştirme çabaları Alınan düzeltici tedbirler ve işbirliği
İhlalin kapsamı Etkilenen kişi sayısı ve veri hassasiyeti
KURUL KARARI
Gecikmiş Bildirim
Kurul, 2021/845 sayılı kararında, veri ihlalini öğrendikten 15 gün sonra bildiren bir şirkete idari para cezası uygulamıştır. Kararda, ihlalin hemen ardından teknik inceleme yapılsa bile 72 saat içinde en azından ön bildirim yapılması gerektiği belirtilmiştir.

7. Yaygın İhlal Senaryoları ve Önlemler

Senaryo Önleme Tedbirleri
Phishing saldırısı Çalışan eğitimi, e-posta filtreleme, çok faktörlü kimlik doğrulama
Ransomware Düzenli yedekleme, uç nokta güvenliği, ağ segmentasyonu
Yanlış alıcıya gönderim Otomatik tamamlama kontrolü, gönderim onayı, DLP
Çalışan kaynaklı sızıntı Erişim kontrolü, izleme, gizlilik taahhütnamesi
Fiziksel cihaz kaybı Disk şifreleme, uzaktan silme, MDM
Tedarikçi kaynaklı ihlal Sözleşme şartları, düzenli denetim, erişim sınırlaması

8. İhlal Sonrası Süreç

Veri ihlalinin ardından, sadece acil müdahale değil, uzun vadeli iyileştirme çalışmaları da yapılmalıdır.

9. Sonuç

Veri ihlali bildirimi, hem yasal bir yükümlülük hem de kurumsal sorumluluk göstergesidir. Hızlı ve şeffaf bildirim, ilgili kişilerin kendilerini korumak için önlem almasını sağlar ve Kurul nezdinde iyi niyet göstergesi olarak değerlendirilir.

Veri sorumluları, ihlal gerçekleşmeden önce hazırlıklı olmalı, müdahale planları oluşturmalı ve düzenli tatbikatlar yapmalıdır. İhlal anında panik yerine sistematik bir yaklaşım benimsenmesi, hem zararın azaltılması hem de yasal yükümlülüklerin yerine getirilmesi açısından kritik önem taşır.

KVKK Makale Serisi 9 / 15
Veri Güvenliği Yurt Dışına Aktarım

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.