INmagazine Sayı 15 | Page 19

öğrendiği tarihten itibaren gecik- meksizin ve en geç 72 saat içinde veri ihlalini Kurula bildirmesi gerektiği düzenlenmiştir. Belirtmek gerekir ki, 72 saat, GDPR’da yer alan ve veri so- rumlularının veri ihlalini yetkili oto- riteye bildirimine ilişkin düzenlemiş olan süredir. Zaten Kurul da Karar’ın- da GDPR’da detaylı düzenlemeler yer aldığını belirterek “Kurul tarafından bu konuda alınacak kararlar arasın- da herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir stan- dartlaşma sağlanabilmesini teminen” bu sürenin 72 saat olarak belirlendi- ği belirtmiştir. Bu düzenlemeyle “en kısa süre” konusunda netlik sağlan- mıştır. Bununla beraber aynı Karar ile veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapı- lacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması- na karar verilmiştir. Düzenlemenin yerine getirilebilmesi için veri sorumlularının veri işleyenleriyle yapacakları sözleşmelerde bu hususa ilişkin düzenlemelere yer vermesi son derece önem arz etmektedir. Kanun’da her ne kadar veri işleyenler ile veri sorumlularının veri güvenliğine ilişkin yükümlülükler bakımından müştereken sorumlu oldukları düzenlenmiş olsa da Kanun, çerçeve niteli- ğinde sayılabilecek bu düzenleme dışında veri işleyenler ile veri sorumluları arasındaki hukuki ilişki için başkaca bir düzenleme getirmemiştir. yükümlülüklerinin bulunduğu ve bu 1) Kurul’a Bildirim: yükümlülükleri ne şekilde, hangi sü- Kanun’da bildirimin Kurul’a hangi relerde yerine getirmeleri gerektiği sürede yapılması gerektiğine ilişkin konuları son derece önem arz ediyor. bir netlik yer almamakta, bildirimin “en kısa sürede” yapılması gerektiği Veri ihlali durumunda neler yapıl- düzenlenmektedir. Bununla beraber ması/hangi süreçlerin takip edilmesi Karar’da, anılan hükümde yer alan gerektiğine aşağıda başlıklar halinde “en kısa sürede” ifadesinin 72 saat yer verdim. Bunları incelemek gere- olarak yorumlanması ve bu kapsam- kirse veri ihlali durumunda; da veri sorumlusunun bu durumu Ancak özellikle farklı ve çok sayıda veri işleme süreçleri ve kapsamlı/ karmaşık altyapıları bulunan veri sorumluları bakımından bu kadar kısa süre içinde ihlalin Kurum’a bil- diriminin mümkün olup olmayacağı ise tartışma konusu olarak karşımıza çıkmaktadır. Bununla beraber Kurum, Karar ekin- de bir “Kişisel Veri İhlal Bildirim Formu” (“Form”) yayımlamış ve ilk defa Kurula yapılacak bildirimde bu Form’un kullanılmasına karar ver- miştir. Muhtemelen çok sayıda fark- lı içerik ve formatta bildirim alan Kurul’un işleyişinin kolaylaşması açısından faydalı olacak bu Form’un veri sorumlularının hayatını ise pek kolaylaştırmayacağını düşünüyorum. Nitekim Formda istenen bilgilerin bir hayli kapsamlı olduğunu; bunun yanında tanımlanmaya muhtaç te- rimler bulunduğunu ve veri sorumlu- 17