تفرض المادة 12/5 من KVKK التزامًا على مراقب البيانات بإخطار مجلس حماية البيانات الشخصية ومالك البيانات المتأثرة "في أقرب وقت ممكن" في حالة حدوث خرق للبيانات الشخصية. فسرت المؤسسة هذه الفترة على أنها "72 ساعة" (قرار مجلس الإدارة بتاريخ 18.01.2019).
ما هو "الانتهاك"؟
- الوصول غير المصرح به (القرصنة، التسريب الداخلي).
- النقل غير المصرح به (إرسال بريد إلكتروني إلى شخص خاطئ، مشاركة الملفات).
- التعديل أو الحذف غير المصرح به.
- فقدان جهاز/USB غير مشفر.
- هجوم برامج الفدية.
إلزام الإخطار
- إخطار المؤسسة: في غضون 72 ساعة، باستخدام نموذج "إشعار خرق البيانات الشخصية".
- إخطار صاحب البيانات: "في غضون فترة زمنية معقولة" - عادةً من 3 إلى 7 أيام.
- يجب أن يكون الإشعار بلغة واضحة ومفهومة.
- يجب تحديد فئات البيانات المتأثرة وعدد الأشخاص.
- ينبغي الإبلاغ عن التدابير المتخذة والموصى بها.
عواقب تجاوز الموعد النهائي
- غرامة إدارية (100.000 - 5.000.000 ليرة تركية، وفقًا للجدول الزمني الحالي).
- قرار التدمير (الالتزام بالحذف/الإتلاف).
- النشر في قائمة المخالفات (إتلاف السمعة).
- الأساس الملموس لدعاوى التعويض.
محتوى نموذج الإشعارات
- تاريخ ووقت وقوع الحدث.
- نوع الحادث (هجوم ��لكتروني، تسرب داخلي، وما إلى ذلك).
- فئات البيانات المتأثرة (الاسم، الهاتف، الشؤون المالية، الصحة، وما إلى ذلك).
- عدد الأشخاص المتأثرين.
- العواقب المحتملة.
- التدابير المتخذة والتي يتعين اتخاذها.
- نقطة الاتصال (DPO).
إخطار مالك البيانات — التنسيق
- يمكن تسليمها عبر الرسائل القصيرة أو البريد الإلكتروني أو الإرسال.
- العنوان: "إشعار حول خرق البيانات الشخصية".
- ملخص الحدث (لغة واضحة).
- الإجراءات التي يمكن لصاحب البيانات اتخاذها (تغيير كلمة المرور، تحذير البنك).
- نقطة الاتصال.
قرارات مجلس الإدارة — النهج الراسخ
يبدأ مجلس حماية البيانات الشخصية التزام الإخطار من "لحظة الشك"؛ إن انتظار "القرار النهائي" ليس كافيا. عادة ما يؤدي انتهاك الإخطار المتأخر إلى فرض غرامات إدارية؛ ويتم تحديد المبلغ حسب حجم المخالفة.
الإجراءات الوقائية
<يكون>عملية ما بعد الانتهاك
<يكون>تعمل إد��رة اختراق البيانات وفقًا لجدول زمني ضيق. يجب التخطيط للعملية مع محامي قانون KVKK وتكنولوجيا المعلومات.