Kişisel Verileri Koruma Kurulunun (“Kurul”), Veri Sorumlusu Tarafından, İlgili Kişiye Yapılan Veri İhlali Bildiriminde Yer Alması Gereken Asgari Unsurlara İlişkin 18.09.2019 Ve 2019/271 Sayılı Kararı (“2019/271 Sayılı Karar”), Kişisel Verileri Koruma Kurumunun (“Kurum”) İnternet Sitesinde Yayımlandı.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin (5) numaralı fıkrası uyarınca, işlenen kişisel veriler kanuni olmayan yollarla başkaları tarafından elde edilirse, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
Kurulun 24.01.2019 tarihli ve 2019/10 sayılı önceki bir kararı da, söz konusu veri ihlalinden etkilenen kişilere en kısa sürede, iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusuna ait internet sitesi üzerinden yayımlanması gibi uygun bir yöntemle bildirim yapılmasını öngörmüştü.
2019/271 sayılı Karar kapsamında, bu bildirimin amacının ihlal nedeniyle ilgili kişiler hakkında ortaya çıkabilecek olumsuz sonuçların hızlı bir şekilde önüne geçilmesi veya en aza indirilmesine imkân sağlanması olduğu vurgulanmış; veri ihlali bildiriminde bulunması gereken asgari unsurlar aşağıdaki gibi sıralanmıştır:
- İhlalin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.
