Veri İhlali Müdahalesi

GlobalB Law, kişisel veri ihlali yaşandığında ilk değerlendirmeden zorunlu düzenleyici bildirimlere, otorite ile iletişimden dava riskinin yönetimine kadar hızlı ve koordineli hukuki destek sunmaktadır.

Veri ihlali hipotetik bir risk değildir; kişisel verileri geniş ölçekte işleyen her kuruluş için neredeyse kaçınılmaz bir operasyonel olaydır. Bir ihlalin hukuki sonuçları, ihlalin kendisinden çok kuruluşun sonraki saatlerde ve günlerde nasıl tepki verdiğine bağlıdır. GDPR, ihlalden haberdar olunmasından itibaren 72 saat içinde denetim otoritesine bildirim yapılmasını şart koşmaktadır; KVKK de aynı süreyi öngörmektedir. Bu bildirimi doğru yapmak, ne eksik ne de fazla açıklama yapmak, otoritenin sonraki soruşturmada size nasıl yaklaşacağını etkileyen bir hukuki değerlendirme meselesidir.

GlobalB Law, dış hukuki olay müdahale ekibiniz olarak görev yapar. Hızlı hareket ediyoruz: ihlali saatler içinde değerlendiriyor, bildirim yükümlülüğü ve zamanlaması konusunda görüş veriyor, otorite bildirimini hazırlıyor, etkilenen bireylerin bilgilendirilip bilgilendirilmemesi gerektiği konusunda danışmanlık yapıyor ve genellikle ardından gelen soruşturmayı yönetiyoruz. Aynı zamanda işleyici müşterilere, platform ortaklarına ve sigorta şirketlerine karşı sahip olduğunuz sözleşmesel bildirim yükümlülükleri, farklı zaman çizelgelerinde işleyen ve düzenleyici gerekliliklerden farklı hukuki standartlar içeren yükümlülükler, konusunda da danışmanlık sunuyoruz.

Anlık müdahalenin ötesinde, müvekkillerin olaydan ders çıkarmasına yardımcı oluyoruz. İhlal sonrasında, olayın gün yüzüne çıkardığı boşlukları, teknik tedbirlerde, tedarikçi sözleşmelerinde, personel eğitimlerinde veya ihlal tespit prosedürlerinde, hukuki açıdan inceliyor ve bu bulguları, otoriteye hesap verebilirliği kanıtlayan ve tekrar riskini azaltan bir düzeltme planına dönüştürüyoruz.

Ne yapıyoruz

Bu uygulamada sunduğumuz hizmetler

01Hızlı ihlal değerlendirmesi ve bildirim yükümlülüğü analizi
02GDPR (72 saatlik) ve KVKK kapsamında otorite bildirimi hazırlanması
03Veri sahibi bildirim stratejisi ve şablon hazırlanması
04Düzenleyici soruşturma yönetimi ve otorite yazışmaları
05Sözleşmesel bildirim yükümlülüklerinin gözden geçirilmesi (işleyenler, sigortacılar, ortaklar)
06İhlal sonrası hukuki düzeltme ve hesap verebilirlik belgelerinin hazırlanması

SSS

Sıkça sorulan sorular

Bu sabah olası bir veri ihlali keşfettik. Şu an ne yapmalıyız?

Kanıtları saklayın ve günlükleri silmeyin. Olay müdahale ekibinizi bir araya getirin ve bilinenler ile bilinmeyenleri belgeleyin. Hukuk müşavirinizle hemen iletişime geçin. GDPR ve KVKK kapsamındaki 72 saatlik bildirim süresi, bir ihlalden 'haberdar olma' anından itibaren işlemeye başlar ve bu eşiğe tam bilgiye sahip olmadan ulaşılabilir. Hukuki danışmanlığa erken dahil olmak, belgelerinizi ve soruşturmanızı konumunuzu koruyacak şekilde yönetmenizi sağlar.

İhlal sonrasında etkilenen tüm kullanıcıları bilgilendirmek zorunda mıyız?

Zorunlu değil. GDPR kapsamında veri sahibi bildirimi, yalnızca ihlalın bireylerin hakları ve özgürlükleri açısından yüksek risk doğurma ihtimali taşıdığı durumlarda gereklidir, bu risk eşiği, otorite bildirim eşiğinden daha yüksektir. KVKK'da da benzer risk odaklı kriterler uygulanmaktadır. İhlal özelliklerinin bu yükümlülüğü doğurup doğurmadığı ve doğurduğu durumlarda nasıl etkili ve savunulabilir bir iletişim kurulacağı konusunda danışmanlık sunuyoruz.

72 saatlik bildirim süresini kaçırırsak ne olur?

Geç bildirim, hem GDPR hem KVKK kapsamında başlı başına yaptırım gerektiren bir ihlal olup denetim otoriteleri bunu ceza kararlarında sıklıkla gerekçe olarak göstermektedir. Süreyi kaçırırsanız, yine de bildirim yapmalısınız, gerekçeli geç bildirim, hiç bildirim yapmamaktan iyidir. Gerekçe somut olmalıdır: 'Hâlâ soruşturmaktaydık' ancak belirli bir noktaya kadar kabul görmektedir; bir aşamadan sonra otorite, bildirimi mevcut bilgiler temelinde yapmanızı ve yeni bilgiler edindikçe bildirimi güncellemenizi beklemektedir.

Biz veri işleyeniz, ihlal müşterimizde yaşandı, bizde değil. Yükümlülüklerimiz neler?

GDPR kapsamında veri işleyenler, bir ihlalden haberdar olur olmaz veri sorumlusunu 'makul olmayan bir gecikme olmaksızın' bildirmekle yükümlüdür. Madde 33(2). KVKK ve veri işleyen sözleşmeleri bu yükümlülüğü genellikle yansıtmaktadır. DPA koşullarınıza bağlı olarak, veri sorumlusuna karşı sözleşmesel bildirim yükümlülükleriniz düzenleyici asgari sürenin de altında bir süre öngörebilir. Herhangi bir amaçla kendi adınıza veri işliyorsanız doğrudan otorite bildirim yükümlülüğünüz bulunup bulunmadığını da değerlendirmeniz gerekir. Veri işleyenlere kendine özgü, ve çoğu zaman küçümsenen, ihlal müdahale yükümlülükleri konusunda danışmanlık sunuyoruz.

Başlayın

Randevu alın

Konunuzu bize anlatın, sizi doğru avukatla buluşturalım.

Ekiple iletişime geçin