INmagazine Sayı 15 | Page 21

Kanun kapsamında yapıla- cak bildirimler ile veri ihla- linin olası sonuçlarının de- ğerlendirilmesi hususunda, kendi nezdindeki sorumlu- luğun kimde olduğunun be- lirlenmesi gibi konuları içe- ren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi gerektiği düzen- lenmiştir. 2) İlgili Kişilere Bildirim: Buraya kadar veri sorumlusunun Kurul’a yapacağı bildirime ilişkin hu- suslardan bahsettim. Söz konusu Ka- rarda ayrıca veri sorumlusu tarafın- dan veri ihlalinden etkilenen kişilere de bildirim yapılmasına ilişkin hu- suslar da düzenlenmiştir. Buna göre veri ihlalinden etkilenen kişilerin be- lirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşı- labiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması ge- rektiği düzenlenmiştir. Mevzuatımızda yer alan bu hususun GDPR’dan oldukça ayrı düştüğüne bir parantez açmak isterim. Şöyle ki, Görsel www.shutterstock.com sitesinden alınmıştır. GDPR’da kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açı- sından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hal- lerde ilgili kişilere bildirim yapılması düzenlemiştir. Bir başka anlatımla, veri ihlalinden etkilenen ilgili kişi- lerin hak ve özgürlükleri açısından yüksek riskle karşı karşıya bulunma- dıkları durumlarda veri ihlallerinin ilgili kişilere bildirilmesi zorunluluğu bulunmamaktadır. Hatta GDPR kap- samında ilgili kişiye bildirim için ay- rıca bazı istisnalar da getirilmiş olup; buna göre özetle, veri sorumlusunun kişisel veri ihlalinden etkilenen ki- şisel verilere ilişkin (şifreleme vb.) uygun koruma tedbirleri uygulama- sı, veri sorumlusunun ilgili kişilerin hakları ve özgürlüklerine ilişkin yük- sek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması, bildirimin ölçüsüz bir çaba gerektirecek olması (bu du- rumda, bunun yerine, veri sahiple- rinin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır) gibi du- rumlarda doğrudan ilgili kişiye bildi- rim yapılması beklenmemektedir. Kanun’da ise bu yönde bir kriter ya da istisna düzenlenmediği için mev- zuatımızda veri ihlali gerçekleşmesi halinde her durumda ilgili kişiye bil- dirim yapılmasının arandığını akılda tutmak gerekir. 3) Raporlama, Değerlendirme, Müdahale Planı: Son olarak veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında ya- pılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki so- rumluluğun kimde olduğunun belir- lenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak 19