KVKK m.12: Veri sorumlusu, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde Kurul'a ve ilgili kişilere bildirim yapmak zorundadır.
İhlal Türleri
- Hacker saldırısı (siber sızıntı)
- Çalınan dizüstü/USB bellek
- Yanlış e-posta gönderimi
- Yetkisiz personel erişimi
- Veritabanı yedeklemesinin sızması
Bildirim Süresi
- İhlalin öğrenilmesinden itibaren 72 saat içinde Kurul'a bildirim
- İlgili kişilere "makul sürede" bildirim
- Veri Sızıntı Bildirim Formu (Kurul web sitesinde)
Bildirim İçeriği
- İhlalin tarihi ve süresi
- Etkilenen veri kategorileri ve sayısı
- İhlalin olası sonuçları
- Alınan tedbirler
- İletişim noktası
İdari Yaptırımlar
- Bildirim yapmama: yıllık güncel idari para cezası
- Geç bildirim: ek ceza
- Yetersiz güvenlik tedbiri: ayrı ceza
- İhlal hâlinde mağdurlara maddi-manevi tazminat
KVKK Kurulu Kararları
KVKK Kurulu, son yıllarda büyük şirketlere (banka, telekom, e-ticaret) milyonlarca TL idari para cezası uygulamaktadır. Özellikle veri minimizasyonu ihlallerine dikkat çekmektedir.
Pratik Tavsiyeler
- İhlal müdahale planı önceden hazırlayın
- 72 saat süresini takvime alın
- Bildirim süreçleri için hukuki destek alın
- Mağdurlara şeffaf bilgilendirme
KVKK uzmanı avukat önerilir.