Kanun kapsamında yapıla-
cak bildirimler ile veri ihla-
linin olası sonuçlarının de-
ğerlendirilmesi hususunda,
kendi nezdindeki sorumlu-
luğun kimde olduğunun be-
lirlenmesi gibi konuları içe-
ren bir veri ihlali müdahale
planı hazırlanarak belirli
aralıklarla bu planın gözden
geçirilmesi gerektiği düzen-
lenmiştir.
2) İlgili Kişilere Bildirim:
Buraya kadar veri sorumlusunun
Kurul’a yapacağı bildirime ilişkin hu-
suslardan bahsettim. Söz konusu Ka-
rarda ayrıca veri sorumlusu tarafın-
dan veri ihlalinden etkilenen kişilere
de bildirim yapılmasına ilişkin hu-
suslar da düzenlenmiştir. Buna göre
veri ihlalinden etkilenen kişilerin be-
lirlenmesini müteakip ilgili kişilere
de makul olan en kısa süre içerisinde,
ilgili kişinin iletişim adresine ulaşı-
labiliyorsa doğrudan, ulaşılamıyorsa
veri sorumlusunun kendi web sitesi
üzerinden yayımlanması gibi uygun
yöntemlerle bildirim yapılması ge-
rektiği düzenlenmiştir.
Mevzuatımızda yer alan bu hususun
GDPR’dan oldukça ayrı düştüğüne
bir parantez açmak isterim. Şöyle ki,
Görsel www.shutterstock.com sitesinden alınmıştır.
GDPR’da kişisel veri ihlalinin gerçek
kişilerin hakları ve özgürlükleri açı-
sından yüksek bir riske sebebiyet
vermesinin muhtemel olduğu hal-
lerde ilgili kişilere bildirim yapılması
düzenlemiştir. Bir başka anlatımla,
veri ihlalinden etkilenen ilgili kişi-
lerin hak ve özgürlükleri açısından
yüksek riskle karşı karşıya bulunma-
dıkları durumlarda veri ihlallerinin
ilgili kişilere bildirilmesi zorunluluğu
bulunmamaktadır. Hatta GDPR kap-
samında ilgili kişiye bildirim için ay-
rıca bazı istisnalar da getirilmiş olup;
buna göre özetle, veri sorumlusunun
kişisel veri ihlalinden etkilenen ki-
şisel verilere ilişkin (şifreleme vb.)
uygun koruma tedbirleri uygulama-
sı, veri sorumlusunun ilgili kişilerin
hakları ve özgürlüklerine ilişkin yük-
sek riskin ortaya çıkmasının artık
mümkün olmamasını sağlayan ek
tedbirler alması, bildirimin ölçüsüz
bir çaba gerektirecek olması (bu du-
rumda, bunun yerine, veri sahiple-
rinin aynı etkililikle bilgilendirildiği
kamuya yönelik bir bildirim veya
benzeri bir tedbir uygulanır) gibi du-
rumlarda doğrudan ilgili kişiye bildi-
rim yapılması beklenmemektedir.
Kanun’da ise bu yönde bir kriter ya
da istisna düzenlenmediği için mev-
zuatımızda veri ihlali gerçekleşmesi
halinde her durumda ilgili kişiye bil-
dirim yapılmasının arandığını akılda
tutmak gerekir.
3) Raporlama, Değerlendirme,
Müdahale Planı:
Son olarak veri ihlali gerçekleşmesi
halinde veri sorumlusu tarafından
kendi nezdinde kimlere raporlama
yapılacağı, Kanun kapsamında ya-
pılacak bildirimler ile veri ihlalinin
olası sonuçlarının değerlendirilmesi
hususunda, kendi nezdindeki so-
rumluluğun kimde olduğunun belir-
lenmesi gibi konuları içeren bir veri
ihlali müdahale planı hazırlanarak
19