0312 216 50 00

ALO 198 Informations-Beratungszentrum für Datenschutz

Kişisel Veri İhlali Bildirim Usul Ve Esaslarina İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayili Kararina İlişkin Duyuru

Kişisel Veri İhlali Bildirim Usul Ve Esaslarina İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayili Kararina İlişkin Duyuru

Kişisel Veri İhlali Bildirim Usul Ve Esaslarina İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayili Kararina İlişkin Duyuru

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) 12. maddesinin (1) numaralı fıkrası uyarınca, veri Sorumlusunun aşağıdaki amaçlarla yeterli güvenlik düzeyini sağlamak için gerekli tüm teknik ve idari tedbirleri almakla yükümlü olduğu tespit edilmiştir:

(1) Kişisel verilerin kanuna aykırı olarak işlenmesini önlemek amacıyla,

(2) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

(3) Kişisel verilerin korunmasını sağlamak.

Madde 12 (5) uyarınca, işlenen verilerin üçüncü kişiler tarafından hukuka aykırı yollarla elde edilmesi hâlinde, veri sorumlusunun ihlali ilgili kişiye (ilgili gerçek kişiye) bildirmesi ve durumu en kısa sürede Kurul’a bildirmesi gerekmektedir. Kişisel Verileri Koruma Kurulu, söz konusu ihlali gerektiği takdirde resmi internet sitesinde veya uygun göreceği başka bir yolla ilan edebilir.

Bir veri ihlali durumunda, kişisel veri ihlallerinin denetim otoritesine bildirilmesinin ve ilgili kişinin bilgilendirilmesinin amacı, ihlalin bu kişiler üzerinde yaratabileceği olumsuz sonuçların önlenmesi veya en aza indirilmesi için aksiyon alınmasını sağlamaktır.

Bu doğrultuda Kurul tarafından şu kararlar alınmıştır:

Veri sorumlusu, ihlali öğrendiği tarihten itibaren derhal ve en geç 72 saat içinde Kurul'a bildirimde bulunmak zorundadır. Ayrıca, veri ihlalinden etkilenen kişiler tespit edildikten sonra, ihlalin makul bir süre içinde bildirilmesi gerekir. İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan bildirim yapılmalı, ulaşılamıyorsa veri sorumlusunun internet sitesinde yayınlama gibi uygun yöntemlerle bildirim yapılmalıdır. Bu bildirim 72 saat içinde yapılamıyorsa gecikme nedenleri de açıklanmalıdır.

Bildirim için aşağıdaki “Kişisel Veri İhlal Bildirim Formu” kullanılmalıdır.

Formdaki bilgilerin aynı anda verilmesinin mümkün olmadığı durumlarda bu bilgiler kademeli olarak ve gecikmeksizin sağlanacaktır.

Veri sorumlusu, veri ihlalleri, etkileri ve alınan önlemler hakkındaki bilgileri kaydetmeli ve incelenmek üzere Kurul'a sunmalıdır.

Veri işleyen tarafından işlenen kişisel veriler, kanuna aykırı yollarla başkaları tarafından elde edilirse, veri işleyen veri sorumlusuna gereksiz bir gecikme olmaksızın bilgilendirecektir.

Veri ihlalinin yurt dışında bulunan veri sorumlusu nezdinde meydana gelmesi halinde, bu ihlalin sonuçları Türkiye'de bulunan ilgili kişileri etkiliyorsa ve ilgili kişiler Türkiye'de sunulan ürün ve hizmetlerden yararlanıyorsa, veri sorumlusu tarafından aynı esaslar çerçevesinde Kurula bildirimde bulunulması gerekir.

Veri sorumlusu, ihlaller için bir müdahale planı oluşturmalı ve bu planı periyodik olarak gözden geçirmelidir. Bu, veri sorumlusunun raporu kime ileteceği, bir veri ihlalinin olası sonuçlarının değerlendirilmesinden kimin sorumlu olduğunun belirlenmesi ve veri ihlalinin olası sonuçlarının değerlendirilmesi gibi konuları içerir.

İhlalleri bildirmek için aşağıdaki bağlantıyı kullanın.

 

Der Beschluss Nr. 2019/10 vom 24.01.2019 über die Verfahren und Grundsätze für die Meldung von Verstößen gegen personenbezogene Daten.

 

Gemäß Artikel 12 Absatz (1) des Gesetzes zum Schutz personenbezogener Daten Nr. 6698 (Gesetz) ist festgelegt, dass der Verantwortliche verpflichtet ist, alle erforderlichen technischen und administrativen Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau für die folgenden Zwecke zu gewährleisten:

  1. Um die unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern,
  2. Um unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern,
  3. Um den Schutz personenbezogener Daten zu gewährleisten.

Gemäß Artikel 12 Absatz (5) muss der Verantwortliche für den Fall, dass Dritte auf rechtswidrige Weise an die verarbeiteten Daten gelangen, den Verstoß der betroffenen Person (betroffene natürliche Person) mitteilen und ihn innerhalb kürzester Zeit dem Datenschutzausschuss mitteilen. Bei Bedarf kann der Datenschutzausschuss einen solchen Verstoß auf seiner offiziellen Website oder auf andere Weise, die er für angemessen hält, bekannt geben.

Im Falle von Verstößen besteht der Zweck der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und der Benachrichtigung der betroffenen Person darin, sicherzustellen, dass Maßnahmen ergriffen werden, um die negativen Folgen, die sich aus der Verletzung für diese Personen ergeben können, zu verhindern oder zu minimieren.

Dementsprechend wurden vom Datenschutzausschuss folgende Beschlüsse gefasst:

Der Verantwortliche muss den Datenschutzausschuss unverzüglich und spätestens innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes benachrichtigen. Darüber hinaus müssen nach der Identifizierung der von der Datenschutzverletzung betroffenen Personen innerhalb kürzester angemessener Zeit über die Verletzung informiert werden. Wenn die Kontaktadresse der betroffenen Person erreichbar ist, sollte die Benachrichtigung direkt erfolgen, wenn sie nicht erreichbar ist, sollte die Benachrichtigung über geeignete Methoden erfolgen, wie z.B. die Veröffentlichung auf der Website des für die Verarbeitung Verantwortlichen.

Wenn eine solche Benachrichtigung nicht innerhalb von 72 Stunden erfolgen kann, sollten die Gründe für die Verzögerung ebenfalls erläutert werden.

Für die Meldung ist das unten angegebene „Formular zur Meldung von Verstößen gegen personenbezogene Daten“ zu verwenden.

In Fällen, in denen es nicht möglich ist, die Informationen im Formular gleichzeitig bereitzustellen, werden dieser Informationen schrittweise und unverzüglich bereitgestellt.

Der Verantwortliche sollte die Informationen über Verstößen, ihre Auswirkungen und die ergriffenen Maßnahmen aufzeichnen und sie dem Datenschutzausschuss zur Überprüfung zur Verfügung stellen.

Wenn die vom Auftragsverarbeiter gespeicherten personenbezogenen Daten von anderen auf rechtswidrige Weise erlangt werden, muss der Auftragsverarbeiter den Datenverantwortlichen unverzüglich benachrichtigen.

Für den Fall, dass der Datenverstoß beim im Ausland ansässigen Datenverantwortlichen auftritt, wenn die Folgen dieses Verstoßes die in der Türkei ansässigen betroffenen Personen betreffen und wenn die betroffenen Personen von den in der Türkei bereitgestellten Produkten und Dienstleistungen profitieren, muss der Datenverantwortliche dies ebenfalls den Datenschutzausschuss im Rahmen der gleichen Grundsätze benachrichtigen.

Der Verantwortliche sollte einen Reaktionsplan für Verstößen erstellen und diesen Plan regelmäßig überprüfen. Dieser umfasst Themen wie an wen der Verantwortliche den Bericht weiterleitet, die Festlegung, wer für die Bewertung der möglichen Folgen einer Datenschutzverletzung verantwortlich ist, sowie die Einschätzung möglicher Folgen der Datenschutzverletzung.

Für die Meldung von Verstößen ist der folgende Link zu verwenden.