öğrendiği tarihten itibaren gecik-
meksizin ve en geç 72 saat içinde veri
ihlalini Kurula bildirmesi gerektiği
düzenlenmiştir. Belirtmek gerekir ki,
72 saat, GDPR’da yer alan ve veri so-
rumlularının veri ihlalini yetkili oto-
riteye bildirimine ilişkin düzenlemiş
olan süredir. Zaten Kurul da Karar’ın-
da GDPR’da detaylı düzenlemeler yer
aldığını belirterek “Kurul tarafından
bu konuda alınacak kararlar arasın-
da herhangi bir uyumsuzluğa mahal
verilmemesi ve uygulamada bir stan-
dartlaşma sağlanabilmesini teminen”
bu sürenin 72 saat olarak belirlendi-
ği belirtmiştir. Bu düzenlemeyle “en
kısa süre” konusunda netlik sağlan-
mıştır. Bununla beraber aynı Karar
ile veri sorumlusu tarafından Kurula
haklı bir gerekçe ile 72 saat içinde
bildirim yapılamaması halinde, yapı-
lacak bildirimle birlikte gecikmenin
nedenlerinin de Kurula açıklanması-
na karar verilmiştir.
Düzenlemenin yerine getirilebilmesi için veri sorumlularının
veri işleyenleriyle yapacakları sözleşmelerde bu hususa ilişkin
düzenlemelere yer vermesi son derece önem arz etmektedir.
Kanun’da her ne kadar veri işleyenler ile veri sorumlularının
veri güvenliğine ilişkin yükümlülükler bakımından müştereken
sorumlu oldukları düzenlenmiş olsa da Kanun, çerçeve niteli-
ğinde sayılabilecek bu düzenleme dışında veri işleyenler ile veri
sorumluları arasındaki hukuki ilişki için başkaca bir düzenleme
getirmemiştir.
yükümlülüklerinin bulunduğu ve bu 1) Kurul’a Bildirim:
yükümlülükleri ne şekilde, hangi sü- Kanun’da bildirimin Kurul’a hangi
relerde yerine getirmeleri gerektiği sürede yapılması gerektiğine ilişkin
konuları son derece önem arz ediyor. bir netlik yer almamakta, bildirimin
“en kısa sürede” yapılması gerektiği
Veri ihlali durumunda neler yapıl- düzenlenmektedir. Bununla beraber
ması/hangi süreçlerin takip edilmesi Karar’da, anılan hükümde yer alan
gerektiğine aşağıda başlıklar halinde “en kısa sürede” ifadesinin 72 saat
yer verdim. Bunları incelemek gere- olarak yorumlanması ve bu kapsam-
kirse veri ihlali durumunda; da veri sorumlusunun bu durumu
Ancak özellikle farklı ve çok sayıda
veri işleme süreçleri ve kapsamlı/
karmaşık altyapıları bulunan veri
sorumluları bakımından bu kadar
kısa süre içinde ihlalin Kurum’a bil-
diriminin mümkün olup olmayacağı
ise tartışma konusu olarak karşımıza
çıkmaktadır.
Bununla beraber Kurum, Karar ekin-
de bir “Kişisel Veri İhlal Bildirim
Formu” (“Form”) yayımlamış ve ilk
defa Kurula yapılacak bildirimde bu
Form’un kullanılmasına karar ver-
miştir. Muhtemelen çok sayıda fark-
lı içerik ve formatta bildirim alan
Kurul’un işleyişinin kolaylaşması
açısından faydalı olacak bu Form’un
veri sorumlularının hayatını ise pek
kolaylaştırmayacağını düşünüyorum.
Nitekim Formda istenen bilgilerin
bir hayli kapsamlı olduğunu; bunun
yanında tanımlanmaya muhtaç te-
rimler bulunduğunu ve veri sorumlu-
17