CLIENT ALERT

October 2019
   

 

Need more info?
Please contact;

Zihni GÖNEN

Partner
zihni@gonen.com.tr

Gonen Law Office Çukurambar Mahallesi,
1480. Sk. Besakule
No:2A/17
Çankaya/Ankara 06510

T +90 (312) 286 34 06

W gonen.com.tr

KVK Kurulu İhlal Bildiriminde Bulunması Gereken Asgari Şartları Yayımladı


KVK Kurulu İhlal Bildiriminde Bulunması Gereken Asgari Şartları Yayımladı

6698 sayılı Kişisel Verilerin Korunması Kanuna madde 12 (1) uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu yükümlülüğün gereğince yerine getirilememesi sonucu ortaya çıkacak ihlaller halinde veri sorumlusunun ilgili gerçek kişiye bildirim yükümlülüğü bulunmaktadır.

Kişisel Verileri Koruma Kurulu; 18.09.2019 tarih ve 2019/271 sayılı Kararında veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari şartlara açıklık getirmiştir. Buna göre; Kurul ihlal bildiriminin açık, anlaşılır ve sade bir dil ile yapılması gerektiğini vurgulamıştır.

Veri sorumlusu tarafından kişiye yapılacak veri ihlali bildiriminde bulunması gereken asgari şartlar;

  • Kişisel veri ile özel nitelikli kişisel veri ayrımı yapılmak suretiyle söz konusu (olası) ihlalin sonuçları,
  • İhlalin ne zaman gerçekleştiği
  • İhlal karşısında zararın en aza indirgenmesi için alınan ya da alınması önerilen tedbirlerdir.

Bu doğrultuda veri sorumlusunun atadığı irtibat kişisinin adı, soyadı ve iletişim bilgileri ile veri sorumlusunun adres bilgilerinin ihlal bildiriminde yer alması gerekmektedir.

İlgili Karar için bkz.

https://www.kvkk.gov.tr/Icerik/5547/2019-271

 BOARD OF PROTECTION OF DATA PUBLISHED MINIMUM REQUIREMENTS IN A NOTIFICATION OF VIOLATION

Within the Article 12 (1) of the Law on Protection of Personal Data sets forth that each data controller is obligated to take all necessary technical and organizational measures for providing the adequate level of security in order to prevent any violations by means of unlawful processing and/or accessing to personal data. If the data controller fails to fulfil its obligation; the data controller has the liability to notify the person whose personal data was subject to the violation.

On 19.09.2019, the Board of Protection of Data published decision numbered 2019/271 stipulating the minimum requirements that a violation notification to the relevant person made by the data controller, should contain. By means of the aforementioned decision the Board has underlined that the notifications shall be made with an understandable, plain and simple language.

Accordingly the Board enlisted the minimum requirements in a notification of violation as follows;

  • Distinguishing personal data categories as personal data/special personal data subject to violation and (possible) consequences of personal data infringement,
  •  The date of the subject violation,
  • Measures taken or proposed to decrease the negative effects of the violation.

Hence the Board stipulates that the name and contact details of the contact person of the data controller and its address shall be provided within the notification.

For the relevant decission please refer to:

https://www.kvkk.gov.tr/Icerik/5547/2019-271