Veri İhlali Durumunda Ne Yapmalı? – Süreç Şeması ve Check-List

KVKK kapsamında en çok cezayla karşılaşılan durumlardan biri, veri ihlallerine karşı zamanında ve usulüne uygun harekete geçilmemesidir. Veri sızıntısı, hacklenme, yetkisiz erişim gibi durumlar sadece kurum içi bir kriz değil; aynı zamanda yasal zorunluluk doğurur. Kurumların bu tür ihlaller karşısında hazırlıklı olması, yalnızca cezai sorumluluğu değil, aynı zamanda kurumsal itibarı da doğrudan etkiler.

Bu yazıda, bir veri ihlali durumunda hangi adımların atılması gerektiği hem teorik hem de pratik bir akışla kaleme alınmıştır:

1. İhlalin Fark Edilmesi Anı

Veri ihlalinin öğrenildiği an itibariyle "fark etme saati" başlar. Bu andan itibaren 72 saat içinde KVK Kurumu'na bildirim yükümlülüğü doğar. Bu süre içerisinde gerekli incelemelerin başlatılması, olayın kapsamının belirlenmesi ve geçici güvenlik önlemlerinin alınması hayati önemdedir.

2. Teknik ve Hukuki Değerlendirme

İhlalin boyutunu anlamadan bildirimde bulunmak, eksik ya da yanlış bilgi sunmak demektir. Bu nedenle teknik ve hukuki değerlendirme aynı anda yürümelidir. Hukuk birimi, hangi verilerin kişisel veya özel nitelikli olduğunu; bilişim birimi ise olayın kaynağını ve etkisini ortaya koymalıdır.

3. Kurul Bildirimi (72 Saat İçinde)

Kuruma bildirim, KVKK resmi sitesinin ihlal bildirimi adresinden yapılmalıdır. Bildirimde olayın niteliği, etkisi ve alınan tedbirler yer alır. Bildirimde şeffaflık ilkesi gereği, olayın gelişimi açıkça ortaya konmalı ve eldeki verilerle çelişmeyen açıklamalar yapılmalıdır.

Not: Kuruma 72 saat içinde "geçici bildirim" yapılabilir, inceleme tamamlandıktan sonra "nihai bildirim" sunulabilir.

4. İlgili Kişilere Bildirim (Gerekiyorsa)

Eğer ihlal, ilgili kişinin haklarını ciddi etkiliyorsa (örneğin TCKN, ödeme bilgisi, sağlık verisi) ilgili kişiler de bilgilendirilmelidir. Bu bilgilendirme, panik yaratmayacak fakat ihlalin ciddiyetini yansıtacak şekilde tasarlanmalıdır.

5. Zararı Sınırlama ve Tedbirler

Olay sadece bildirimle sınırlı kalmamalı. Sistemsel ve yönetsel önlemler alınarak benzer ihlallerin tekrarlanması önlenmelidir. Olayın tekrarı halinde ihmalin süreklilik arz ettiğine dair kanaat oluşabilir.

6. İhlal Sonuç Raporu Hazırlama

Tüm bu adımların sonunda iç denetim ve öğrenme için bir "ihlal raporu" hazırlanmalıdır. Bu rapor yalnızca geçmişin muhasebesi değil, geleceğe yönelik proaktif stratejilerin de temelidir.

Veri ihlalleri, bir kurumun sınav anıdır. Bu anı iyi yöneten kurumlar, hem KVK Kurulu gözünde hem kamuoyu nezdinde itibar kazanır. Kâğıt üzerindeki politikaları hayata geçirmek, krizi iyi yönetmekle mümkün olur. Yukarıdaki adımlar, bu yolculukta size rehberlik edecektir. Unutulmamalıdır ki, önemli olan yalnızca ihlalin yaşanıp yaşanmadığı değil; ihlale verilen tepkinin hızı, şeffaflığı ve etkinliğidir.

Bu yazı, hukuk bilimine katkı sağlamak maksadıyla kaleme alınmıştır.

Her somut olay, kendi özelinde ve koşulları çerçevesinde değerlendirilmelidir.

Bu yazı, herhangi bir kişi veya kuruma yönelik hukuki görüş teşkil etmemekte olup, sadece yüklendiği tarih itibarıyla yazarın mevzuata ve içtihata dair yorumunu göstermektedir. Yazar, okuyucuyla ilgili kendisine danışılmadığı sürece hiçbir sorumluluk kabul etmemektedir. Kanunlar, yönetmelikler ve uygulamalar zaman içerisinde değişir; çünkü hukuk ve muhakeme, insanlar yaşadıkça evrilmeye mahkumdur. Adil yargılanma ve kanunlara uygun bir muhakeme olduğu sürece, mevzuatın değişmesi sizleri endişelendirmesin.

Hukuki metinler, kanaatler ve yorumlar birer anlık fotoğraf gibidir; yalnızca çekildikleri zamanın gerçekliğini yansıtırlar. Bu nedenle, bu yazıda yer alan değerlendirmelerin ileride yürürlüğe girecek yeni düzenlemelerle geçerliliğini yitirmesi mümkündür.

Bu yazının içeriği, bir avukat-müvekkil ilişkisi doğurmaz ve yazıdan kaynaklı olarak doğabilecek herhangi bir zarardan dolayı sorumluluk kabul edilmez.

Mevzuat ve içtihat dışında, yazının tüm fikri hakları saklıdır. Kaynak gösterilmeden alıntılanamaz; izinsiz şekilde kopyalanamaz veya herhangi bir mecra ya da platformda yayınlanamaz. Türkiye Barolar Birliği ile Adana Barosu’nun hakları saklıdır.

Hukukun ışığıyla yürümek isteyen herkese açık, samimi ve dürüst bir tartışma zemini sunmak dileğiyle…

Tüm hakları saklıdır, www.oguzgurlek.com