Tüm rehberler
REHBER · 6 ADIM

Veri İhlali Bildirimi: Adım Adım

Kişisel veri ihlali; verilerin hukuka aykırı olarak ele geçirilmesi, ifşası, kaybı veya değiştirilmesi durumudur. KVKK kapsamında ihlali öğrenen veri sorumlusunun belirli sürelerde Kurul'a ve gerektiğinde ilgili kişilere bildirimde bulunması beklenir. Uygulamada Kurul'a bildirim için 72 saatlik bir süre benimsenmiştir. Aşağıdaki adımlar kriz anında izlenecek genel akışı özetler; süreleri ve eşikleri her zaman güncel Kurul kararlarına ve rehberlerine göre teyit edin.

  1. 1

    İhlali tespit edin ve yayılmayı durdurun

    Şüpheli erişim, sızıntı veya kayıp sinyalini aldığınız anda olayı doğrulayın ve etkilenen sistemleri izole ederek yayılmayı sınırlayın. İlk müdahalede sızıntıyı durdurmak kadar kanıtları korumak da önemlidir; logları, sistem durumlarını ve zaman damgalarını bozmadan saklayın. İhlalin öğrenildiği anı net biçimde kayıt altına alın; bildirim süresi bu andan işler.

  2. 2

    Kapsamı ve etkiyi belirleyin

    Hangi veri kategorilerinin (özellikle özel nitelikli veri), kaç ilgili kişinin ve hangi sistemlerin etkilendiğini tespit edin. İhlalin türünü (gizlilik, bütünlük, erişilebilirlik) ve ilgili kişiler üzerindeki olası sonuçlarını (kimlik hırsızlığı, maddi kayıp, itibar zararı vb.) değerlendirin. Bu analiz hem bildirim içeriğini hem de ilgili kişilere bildirim gerekip gerekmediğini belirler.

  3. 3

    Riski sınıflandırın ve bildirim eşiğini değerlendirin

    Topladığınız bilgilere dayanarak ihlalin ilgili kişiler açısından oluşturduğu risk seviyesini sınıflandırın. Risk değerlendirmesi; verinin hassasiyeti, etkilenen kişi sayısı ve olası zararın ağırlığını dikkate almalıdır. Bu değerlendirme, Kurul'a bildirim ve ilgili kişilere bildirim yükümlülüklerinizin kapsamını belirlemenize yardımcı olur.

  4. 4

    Kurul'a bildirimde bulunun

    İhlali öğrendikten sonra, uygulamada benimsenen 72 saatlik süre içinde Kişisel Verileri Koruma Kurulu'na bildirim yapın. Bildirimde ihlalin niteliği, etkilenen veri ve kişi kategorileri, olası sonuçlar ve alınan/önerilen tedbirler yer almalıdır. Tüm bilgiler 72 saat içinde toplanamıyorsa, eldeki bilgilerle bildirim yapıp ardından tamamlayıcı bilgi sunabilirsiniz.

  5. 5

    İlgili kişileri bilgilendirin

    İhlalin ilgili kişiler bakımından yüksek risk doğurduğu hallerde, etkilenen kişileri makul en kısa sürede ve anlaşılır bir dille bilgilendirin. Bildirimde ihlalin niteliğini, olası sonuçlarını, alınan önlemleri ve kişilerin kendilerini korumak için atabileceği adımları (parola değişimi gibi) açıkça belirtin; iletişim için bir başvuru noktası sunun.

  6. 6

    Kök-neden analizi yapın ve iyileştirin

    Kriz yönetildikten sonra ihlalin nasıl gerçekleştiğini kök-neden düzeyinde analiz edin. Tespit edilen açıkları kapatın, teknik/idari tedbirleri güçlendirin ve müdahale planınızı edinilen derslerle güncelleyin. Yaşanan ihlali, alınan aksiyonları ve karar gerekçelerini hesap verebilirlik kapsamında belgeleyerek benzer olayların tekrarını önleyin.

Bu rehber bilgilendirme amaçlıdır, hukuki danışmanlık değildir. Uyum adımlarınızı kendi koşullarınıza göre değerlendirin ve gerektiğinde uzman desteği alın.

Bu süreçte yardıma mı ihtiyacınız var?

Wyverix ile envanterden VERBİS'e, aydınlatmadan ihlal yönetimine kadar tüm adımları tek panelden yönetin.

Ücretsiz Demo Talep Et