72 Saat Kuralı Nedir?
KVKK ve GDPR’ye göre, bir kişisel veri ihlali fark edildiğinde en geç 72 saat içinde ilgili kuruma bildirilmelidir. Bu süre, ihlalin fark edilmesinden itibaren başlar ve hem zararın büyümesini önlemek hem de yasal yükümlülükleri yerine getirmek için kritik öneme sahiptir.
Kişisel Veri İhlali Durumunda Yapılması Gerekenler
Olayın Tespiti ve Kayıt Altına Alınması
- İhlalin ne zaman ve nasıl gerçekleştiğini belirleyin.
- Sistem loglarını ve diğer kanıtları güvenli şekilde saklayın.
Yetkili Kuruma Bildirim
- KVKK veya GDPR kapsamında 72 saat içinde bildirim yapılmalıdır.
- Bildirimde ihlalin türü, etkilenen veri kategorileri ve alınan önlemler detaylı şekilde belirtilmelidir.
Etki Analizi
- İhlalin veri sahipleri üzerindeki olası etkilerini değerlendirin.
- Risk seviyesini belirleyip gerekli önlemleri planlayın.
Veri Sahiplerinin Bilgilendirilmesi
- Eğer ihlal yüksek risk oluşturuyorsa, veri sahiplerini gecikmeden bilgilendirin.
- Bilgilendirme; ihlalin türü, olası etkiler ve alınan önlemler hakkında net olmalıdır.
Önleyici Tedbirler ve İyileştirme
- Gelecekte benzer ihlallerin yaşanmaması için güvenlik önlemlerini güçlendirin.
- Sistem ve prosedürleri gözden geçirip gerekli güncellemeleri yapın.
Özet
72 saat kuralı, kişisel veri ihlali fark edildiğinde hızlı ve doğru hareket edilmesini zorunlu kılar. Amaç, hem zararı minimuma indirmek hem de yasal yükümlülükleri yerine getirmektir.
Kişisel Veri İhlali Durumunda Yapılması Gerekenler (72 Saat Kuralı)