Veri Güvenliği Yükümlülükleri ve İhlal Bildirim Yönetimi (72 Saat Kuralı)

KVKK · İhlal Bildirimi · 72 Saat Kuralı

Veri Güvenliği Yükümlülükleri ve İhlal Bildirim Yönetimi

Q: Sır saklama yüküm lülüğü görevden ayrılınca sona erer mi?

Hayır. Sır saklama yüküm lülüğü, veri sorumlusunun çalışanları ve veri işleyenler için görevden ayrılmalarından sonra dahi devam eder. Bu nedenle işten ayrılış süreçlerinde erişim haklarının kapatılması ve gizlilik taahhütlerinin saklanması önemlidir.

Q: KVKK’ya göre veri ihlali bildirimi ne kadar sürede yapılmalıdır?

Kurumun 24.01.2019 tarih ve 2019/10 sayılı kararına göre Kanundaki “en kısa sürede” ifadesi 72 saat olarak yorumlanmıştır. Veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunmalıdır.

Q: Kurula yapılan bildirimin yanı sıra ilgili kişilere de bildirim yapılmalı mıdır?

İhlalin ilgili kişiler açısından yüksek risk doğurduğu durumlarda, Kurula yapılan bildirime ek olarak ilgili kişilerin de uygun yöntemlerle (e-posta, SMS, internet sitesi duyurusu gibi) bilgilendirilmesi beklenir. Bildirim, risk ve alınabilecek önlemleri net bir dille açıklamalıdır.

Q: İhlal bildirim süreci için kurum içinde ne tür hazırlıklar yapılmalıdır?

Kurum içinde veri ihlali durumunda devreye girecek bir olay müdahale ekibi tanımlanmalı, ihlal senaryoları için prosedür ve bildirim şablonları oluşturulmalı, bu süreçler düzenli eğitim ve tatbikatlarla test edilmelidir. Böylece 72 saatlik süre etkin ve kontrollü biçimde yönetilebilir.

KVKK kapsamında veri sorumluları; denetim ve gözetim yükümlülüğünü yerine getirmek, öğrendikleri kişisel verileri sır saklama yükümlülüğü çerçevesinde korumak ve kanuni olmayan yollarla gerçekleşen kişisel veri ihlallerini en kısa sürede, en geç 72 saat içinde Kurula bildirmekle yükümlüdür.

Bu rehber; veri sorumlularının denetim sorumluluğu, veri sorumlusu ve veri işleyenler için geçerli olan sır saklama yükümlülüğü, ihlal bildirim süreçleri ve etkin bir veri güvenliği politikası kurgulamak için atılması gereken teknik ve idari adımları kurumsal bir dille özetler.

İhlal Bildirim Süreçlerinizi ve 72 Saat Kuralına Uyumunuzu Gözden Geçirmek mi İstiyorsunuz?
KVKK’ya uyum için ihlale müdahale planları, bildirim şablonları ve denetim mekanizmalarının önceden tanımlanması; idari yaptırımları ve itibar riskini azaltır, olay anında hızlı ve kontrollü hareket etmenizi sağlar.

1. KVKK Kapsamında Veri Güvenliği Yükümlülükleri Neden Kritik?

Kişisel verilerin hukuka uygun işlenmesi, yalnızca teknik bir BT konusu değil; aynı zamanda kurumsal yönetişim, risk yönetimi ve hukuki uyum açısından temel bir sorumluluktur. Veri sorumluları, kendi bünyelerinde veya dış hizmet sağlayıcılar (veri işleyenler) aracılığıyla işledikleri her kişisel veri için, KVKK’nın öngördüğü güvenlik tedbirlerini almak zorundadır.

Bu çerçevede; Kanun’un uygulanmasını sağlamak üzere denetim ve gözetim yapmak, öğrenilen kişisel veriler bakımından sır saklama yükümlülüğüne uymak ve olası bir veri ihlalini Kurula ve ilgili kişilere zamanında bildirmek temel yükümlülükler arasında yer alır.

Özetle: Veri güvenliği; teknik sistemlerin ötesinde, kurum genelinde benimsenmesi gereken bir kültür ve süreç yönetimi konusudur.

2. Yükümlülüklerin Uygulanması: Denetim ve Gözetim

Veri sorumlusu, kendi kurum ve kuruluşunda Kanun’un hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmakla sorumludur. Bu, “bir defaya mahsus” bir kontrol değil, sürekli uyumun sağlanması için kritik bir idari tedbirdir.

2.1 Denetim Kapsamının Oluşturulması

Kişisel veri işleme faaliyetlerinin envanter bazında tespit edilmesi,
Bu faaliyetlere ilişkin risklerin değerlendirilmesi,
Teknik ve idari tedbirlerin etkinliğinin periyodik olarak test edilmesi,
Veri işleyenler üzerinde sözleşmesel haklar çerçevesinde denetim yapılması.

Denetimler; iç denetim birimleri, bilgi güvenliği ekipleri veya dış bağımsız denetçiler aracılığıyla gerçekleştirilebilir. Önemli olan; bulguların dokümante edilmesi ve iyileştirme planlarına dönüştürülmesidir.

Veri sorumlularına rehberlik etmek amacıyla hazırlanan “Kişisel Veri Güvenliği Rehberi”ne, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden “Yayınlar > Rehberler” bölümünden erişilebilir.

3. Sır Saklama Yükümlülüğü

Veri sorumluları, görevleri sebebiyle öğrendikleri kişisel verileri Kanun’a aykırı olarak başkalarına ifşa edemez ve işleme amacı dışında kullanamazlar. Bu yükümlülük; yalnızca aktif çalışma süresiyle sınırlı olmayıp, görevden ayrılmalarından sonra dahi devam eder.

Aynı sır saklama yükümlülüğü, veri sorumlusu adına kişisel veri işleyen veri işleyenler için de geçerlidir. Dolayısıyla:

Çalışanlar, danışmanlar ve dış hizmet sağlayıcılar için gizlilik taahhütnameleri alınmalı,
Veri işleyenlerle yapılan sözleşmelere açık gizlilik ve sır saklama hükümleri eklenmeli,
Yetki değişikliği veya görevden ayrılma durumlarında erişim hakları derhal sonlandırılmalı.

Sır saklama yükümlülüğü, ihlal edildiğinde yalnızca idari yaptırımlara değil, cezai ve tazminata yönelik sonuçlara da yol açabilir. Bu nedenle hem farkındalık hem de kontrol mekanizmaları önemlidir.

4. Veri İhlallerinin Yönetimi ve Bildirim Süresi (72 Saat Kuralı)

4.1 Kanuni Olmayan Yollarla Veri Elde Edilmesi

Veri sorumlusunun bir diğer önemli yükümlülüğü, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde devreye girer. Böyle bir durumda veri sorumlusu, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür.

Kurul, gerek görmesi halinde bu ihlali kendi internet sitesinde veya uygun göreceği başka bir yöntemle kamuoyuna açıklayabilir. Bu, hem şeffaflık hem de benzer ihlallerin önlenmesi açısından önemli bir mekanizmadır.

4.2 Kritik Kurul Kararı: “En Kısa Sürede” İfadesinin 72 Saat Olarak Yorumlanması

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında, Kanun’un 12. maddesinin beşinci fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar verilmiştir.

Bu kapsamda; veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunması gerekmektedir.

4.3 İhlal Bildiriminde Asgari İçerik

Uygulamada ihlal bildirimlerinde aşağıdaki unsurların yer alması beklenir:

İhlalin ne zaman ve nasıl gerçekleştiğine ilişkin özet açıklama,
Etkilenen ilgili kişi grupları (müşteri, çalışan, kullanıcı vb.) ve veri kategorileri,
İhlalden etkilenen yaklaşık kayıt/kayıt sahibi sayısı,
İhlalin olası sonuçları ve riskler,
Alınan veya planlanan teknik ve idari tedbirler,
İlgili kişilerin kendilerini korumak için atabilecekleri adımlara yönelik bilgilendirme.

Bildirim; Kurula yapılmakla sınırlı olmayıp, riskin yüksek olduğu durumlarda ilgili kişilerin de uygun araçlarla, açık ve anlaşılır biçimde bilgilendirilmesini içerir.

5. Veri Güvenliği Politikaları ve İhlal Yönetim Planı

Veri sorumluları, olası güvenlik ihlallerine karşı hazırlıklı olmak ve etkili bir veri ihlali yönetim planı oluşturmak zorundadır. İyi tasarlanmış bir politika, ihlal anında panik yerine prosedürlere dayalı kontrollü bir müdahale yapılmasını sağlar.

5.1 İhlal Müdahale Planının Temel Unsurları

İhlali tespit ve doğrulama adımlarının tanımlanması,
Teknik ekipler, hukuk, KVKK irtibat kişisi ve üst yönetim dahil olmak üzere olay müdahale ekibinin belirlenmesi,
Kurula ve ilgili kişilere yapılacak bildirim için standart şablon ve süreçlerin hazırlanması,
İhlal kayıtlarının tutulması ve sonrasında kök neden analizi yapılması,
İyileştirici ve önleyici faaliyetlerin (CAPA) planlanması.

İhlal yönetim planı kağıt üzerinde kalmamalı; düzenli tatbikatlar, masa başı senaryolar ve testlerle canlı tutulmalıdır.

6. Teknik ve İdari Tedbirler, Eğitim ve Uyum

Veri sorumluları, kişisel verilerin korunmasını sağlamak için gerekli teknik ve idari önlemleri hayata geçirmekle yükümlüdür. Güvenli bir çalışma ortamı oluşturmak için aşağıdaki unsurlar kritik önem taşır.

6.1 Teknik Tedbirlere Örnekler

Güvenli sunucu ve ağ altyapısı, güvenlik duvarları ve segmentasyon,
Veri şifreleme, erişim kontrol mekanizmaları ve log yönetimi,
Düzenli güvenlik yamaları, antivirüs ve zararlı yazılımdan koruma çözümleri,
Yedekleme ve felaket kurtarma planlarının uygulanması ve test edilmesi.

6.2 İdari Tedbirler ve Kurumsal Uyum

Veri güvenliği politikaları, prosedürler ve talimatların yazılı hale getirilmesi,
Veri işleme süreçlerinde görev ve sorumlulukların net olarak tanımlanması,
Veri işleyenlerle yapılan sözleşmelerde güvenlik ve ihlal bildirimi hükümlerine yer verilmesi,
Düzenli iç denetimler ve gerektiğinde bağımsız denetimlerin yapılması.

6.3 Eğitim ve Farkındalık

Veri sorumluları, çalışanlarına düzenli olarak veri güvenliği ve KVKK farkındalık eğitimleri sağlamalıdır. Bu eğitimler:

Veri politikalarının ve prosedürlerin anlaşılmasını,
Sosyal mühendislik ve oltalama saldırılarına karşı farkındalığın artmasını,
İhlal şüphesi durumunda kimin, neyi, ne zaman yapacağının bilinmesini

sağlar ve kurumda sürdürülebilir bir veri güvenliği kültürü oluşmasına katkıda bulunur.

Etkin bir veri güvenliği programı; teknik sistemler, süreçler ve insan faktörünü birlikte ele alan bütünsel bir yaklaşım gerektirir.

Sık Sorulan Sorular: Veri Güvenliği Yükümlülükleri ve İhlal Bildirimi

Veri sorumlusu ne sıklıkta denetim yapmalıdır?

Kanunda belirli bir periyot tanımlanmamış olmakla birlikte, veri sorumlusu Kanun hükümlerinin sürekli uygulanmasını sağlamakla yükümlüdür. Bu nedenle denetimlerin risk düzeyine göre periyodik (örneğin yılda en az bir kez) yapılması ve kritik değişiklikler sonrasında da ek denetimlerin planlanması önerilir.

Sır saklama yükümlülüğü görevden ayrılınca sona erer mi?

Hayır. Sır saklama yükümlülüğü, veri sorumlusunun çalışanları ve veri işleyenler için görevden ayrılmalarından sonra dahi devam eder. Bu nedenle işten ayrılış süreçlerinde erişim haklarının kapatılması ve gizlilik taahhütlerinin saklanması önemlidir.

KVKK’ya göre veri ihlali bildirimi ne kadar sürede yapılmalıdır?

Kurulun 24.01.2019 tarih ve 2019/10 sayılı kararına göre Kanundaki “en kısa sürede” ifadesi 72 saat olarak yorumlanmıştır. Veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunmalıdır.

Kurula yapılan bildirimin yanı sıra ilgili kişilere de bildirim yapılmalı mıdır?

Evet. İhlalin ilgili kişiler açısından yüksek risk doğurduğu durumlarda, Kurula yapılan bildirime ek olarak ilgili kişilerin de uygun yöntemlerle (e-posta, SMS, internet sitesi duyurusu gibi) bilgilendirilmesi beklenir. Bildirim, teknik detaydan ziyade risk ve alınabilecek önlemleri net şekilde açıklamalıdır.

Veri ihlali bildirimi geç yapılırsa ne olur?

Geç veya eksik bildirim; idari yaptırımların yanı sıra Kurul nezdinde olumsuz bir izlenime yol açabilir. Ayrıca ilgili kişilerin zararlarının artmasına sebep olabilir. Bu nedenle ihlal yönetim süreci ve bildirim adımları önceden planlanmalı ve sorumlular netleştirilmelidir.

İhlal bildirim süreci için kurum içinde ne tür hazırlıklar yapılmalıdır?

Kurum içinde veri ihlali durumunda devreye girecek bir olay müdahale ekibi tanımlanmalı, ihlal senaryoları için prosedür ve bildirim şablonları oluşturulmalı, bu süreçler düzenli eğitim ve tatbikatlarla test edilmelidir. Böylece 72 saatlik süre etkin ve kontrollü biçimde yönetilebilir.

7. Sonuç: İhlal Bildirimi ve Veri Güvenliği Sürekli Bir Yükümlülüktür

Veri güvenliği yükümlülükleri; denetim, sır saklama, ihlal bildirimi ve güvenlik politikalarıyla birlikte ele alınması gereken bütünsel bir çerçevedir. KVKK, veri sorumlularına yalnızca teknik kontroller kurma görevi vermemekte; aynı zamanda sürekli gözetim ve iyileştirme sorumluluğu da yüklemektedir.

Özellikle kişisel veri ihlali durumunda; 72 saat içinde Kurula bildirim yapılması ve risk düzeyi yüksekse ilgili kişilerin bilgilendirilmesi kritik önemdedir. Bu yükümlülüklere uyum için; teknik tedbirlerin yanında güçlü bir organizasyonel yapı, net süreçler ve farkındalığı yüksek ekipler gereklidir.

Böylece veri güvenliği; yalnızca bir mevzuat zorunluluğu olmaktan çıkar, kurumun itibarını, güvenilirliğini ve sürdürülebilirliğini güçlendiren stratejik bir unsur haline gelir.