Уведомление за 72 часа об утечке данных KVKK: практическое руководство для компании

Первые 72 часа имеют решающее значение в случае утечки данных. Уведомление КВКК+коммуникация+план расследования должны осуществляться параллельно; Задержка уведомления сама по себе является отягчающим фактором.

Какое событие считается «нарушением»?

Первые 72 часа — шаги

Содержимое формы уведомления

Критерии административного штрафа

Часто задаваемые вопросы

Прошло 72 часа, мы до сих пор не сообщили об этом; что нам делать?

Немедленно сообщите + предоставьте обоснование (процесс анализа занял время, последствия были неясны). Позднее уведомление является отягчающим фактором; но меньше, чем вообще не сообщать.

Должны ли мы обязательно уведомить жертв?

Обязательно, если существует «высокий риск» (статья 12/5 КВКК + Решение Совета директоров 2019/271). Если риск низкий, можно обратиться за рекомендациями к Совету директоров; но прозрачность в целом в нашу пользу.

Атака внешняя, это не наша вина; Нас накажут?

«Обязательство по обеспечению безопасности данных» было введено статьей 12/1 КВКК; Даже если нападение является внешним, возникает вопрос, были ли приняты адекватные меры предосторожности. Такие документы, как пен-тест, ISO 27001 и управление журналами, имеют решающее значение для защиты.

Можно ли подать иск о компенсации?

Да, владелец данных может запросить компенсацию в соответствии со статьей 14 КВКК. Духовный диапазон 5 000–50 000 TL является обычным; Единовременная компенсация (например, если пострадают 100 тысяч человек) может исчисляться миллионами.

Общий регламент по защите данных тоже срабатывает?

Да, если затронут субъект данных из ЕС; GDPR Ст. 33 — Уведомление соответствующего органа по защите данных (DPA) в течение 72 часов. Требуется параллельное уведомление KVKK Турции + EU DPA; Оба учреждения могут налагать свои собственные штрафы.

Соответствующее законодательство