Bir veri sorumlusunun, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi (veri ihlali) durumunda KVKK m.12/5 uyarınca yükümlülükleri nelerdir? Bu yükümlülüklere uyulmamasının yaptırımı nedir?

KVKK m.12/5, bir veri ihlali durumunda veri sorumlusuna çift yönlü bir bildirim yükümlülüğü getirmektedir. Buna göre veri sorumlusu; 1) Durumu 'en kısa sürede' ilgili kişiye (verisi ihlal edilen veri sahibine) bildirmekle yükümlüdür. Bu bildirimin amacı, ilgili kişinin verileriyle ilgili olası risklere karşı (örn. dolandırıcılık) önlem almasını sağlamaktır. 'En kısa süre' Kişisel Verileri Koruma Kurulu tarafından 72 saat olarak belirlenmiştir. 2) Durumu 'en kısa sürede' Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. Bu bildirim, Kurul'un denetim görevini yerine getirmesi ve ihlalin boyutları hakkında bilgi sahibi olması için gereklidir. Kurul, ihlalin ciddiyetine ve kapsamına göre, bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle kamuoyuna ilan edebilir. Bu bildirim yükümlülüklerine uyulmaması, KVKK m.12'de öngörülen 'veri güvenliğine ilişkin yükümlülüklerin' ihlali anlamına gelir. Bu ihlalin yaptırımı ise KVKK m.18/1-b'de düzenlenmiştir. Buna göre, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında Kurul tarafından 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir. Dolayısıyla, veri ihlalini zamanında bildirmeyen veri sorumlusu, bu idari para cezası yaptırımı ile karşı karşıya kalır.