Yeni düzenleme ile birlikte, yayımlanmasına karar verilen kişisel veri ihlali bildirimleri en fazla 60 gün boyunca Kurumun resmi web sitesinde tutulacak. Daha önce süreye ilişkin böyle açık bir sınır bulunmuyordu.
Bu değişiklik, Kurulun 25 Aralık 2025 tarihli ve 2025/2451 sayılı Kararı ile hayata geçirildi. Buna göre, veri sorumlularının Kurum internet sitesinde yayımlanan ihlal bildirimleri 60 günden uzun süre kalmayacak. Ayrıca, veri sorumlusunun ilgili kişilere daha kısa sürede bildirim yaptığını belgelendirmesi durumunda, ilan 60 gün dolmadan da kaldırılabilecek.
Hatırlanacağı üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin 5. fıkrası veri sorumlularının veri ihlallerini en kısa sürede hem Kurula hem etkilenen kişilere bildirmesini öngörüyor; bu çerçevede Kurulun 2019/10 sayılı Kararı “en kısa süre”yi 72 saat olarak yorumluyor. Böylece veri sorumluları, ihlali öğrendikten sonra 72 saat içinde Kurula bildirim yapmak ve makul süre içinde etkilenmiş olanlara ulaşmakla yükümlü tutuluyor.
Yeni düzenlemenin gerekçesi olarak, veri ihlallerinin olumsuz etkilerinin önlenmesi veya azaltılması hedefiyle birlikte, ilan süreleri açısından orantılılık ve etkinlik ilkesinin güçlendirilmesi gösterildi. Bu kapsamda Kurul, artık kişisel veri ihlali bildirimlerinin yayımlanıp yayımlanmayacağına ve nasıl bir süreyle kalacağına, ihlalden etkilenen kişi sayısı, verilerin niteliği, ihlalin şekli ve veri sorumlusunun bilgilendirme durumuna göre karar veriyor.
Kurum, bu yeni uygulama ile veri sorumlularına da yükümlülüklerini yerine getirdiklerini belgelemeleri halinde ilanların gereksiz yere uzun süre tutulmamasını sağlayarak hem veri güvenliği hem de şeffaflık arasındaki dengeyi gözetmeyi amaçlıyor.