KVK Kurulu İhlal Bildiriminde Bulunması Gereken Asgari Şartları Yayımladı
6698 sayılı Kişisel Verilerin Korunması Kanuna madde 12 (1) uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu yükümlülüğün gereğince yerine getirilememesi sonucu ortaya çıkacak ihlaller halinde veri sorumlusunun ilgili gerçek kişiye bildirim yükümlülüğü bulunmaktadır. Kişisel Verileri Koruma Kurulu; 18.09.2019 tarih ve 2019/271 sayılı Kararında veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari şartlara açıklık getirmiştir. Buna göre; Kurul ihlal bildiriminin açık, anlaşılır ve sade bir dil ile yapılması gerektiğini vurgulamıştır. Veri sorumlusu tarafından kişiye yapılacak veri ihlali bildiriminde bulunması gereken asgari şartlar;
Bu doğrultuda veri sorumlusunun atadığı irtibat kişisinin adı, soyadı ve iletişim bilgileri ile veri sorumlusunun adres bilgilerinin ihlal bildiriminde yer alması gerekmektedir. İlgili Karar için bkz. https://www.kvkk.gov.tr/Icerik/5547/2019-271 |
BOARD OF PROTECTION OF DATA PUBLISHED MINIMUM REQUIREMENTS IN A NOTIFICATION OF VIOLATION
Within the Article 12 (1) of the Law on Protection of Personal Data sets forth that each data controller is obligated to take all necessary technical and organizational measures for providing the adequate level of security in order to prevent any violations by means of unlawful processing and/or accessing to personal data. If the data controller fails to fulfil its obligation; the data controller has the liability to notify the person whose personal data was subject to the violation. On 19.09.2019, the Board of Protection of Data published decision numbered 2019/271 stipulating the minimum requirements that a violation notification to the relevant person made by the data controller, should contain. By means of the aforementioned decision the Board has underlined that the notifications shall be made with an understandable, plain and simple language. Accordingly the Board enlisted the minimum requirements in a notification of violation as follows;
Hence the Board stipulates that the name and contact details of the contact person of the data controller and its address shall be provided within the notification. For the relevant decission please refer to: https://www.kvkk.gov.tr/Icerik/5547/2019-271 |