Bir siber güvenlik ihlali (örneğin, veri sızıntısı) meydana geldiğinde, veri sorumlusu şirketin KVKK ve GDPR kapsamında ne gibi yasal yükümlülükleri bulunmaktadır? 'İhlal Bildirimi' prosedürünü açıklayınız.

Bir siber güvenlik ihlali yaşandığında, veri sorumlusu şirketin hem KVKK hem de GDPR kapsamında önemli yasal yükümlülükleri vardır. Bu yükümlülüklerin en başında 'ihlali bildirim' prosedürü gelir. GDPR'a göre: Veri sorumlusu, ihlali öğrendiği andan itibaren, gecikmeksizin ve mümkünse 72 saat içinde durumu yetkili denetim makamına (örneğin, Almanya'daki BfDI) bildirmek zorundadır. Eğer ihlal, ilgili kişilerin hak ve özgürlükleri açısından yüksek bir risk oluşturuyorsa, bu kişilere de gecikmeksizin bildirim yapılmalıdır. KVKK'ya göre: Veri sorumlusu, ihlali öğrendiği tarihten itibaren 'en kısa sürede' durumu Kişisel Verileri Koruma Kurumu'na (Kurul) bildirmelidir. Kurul, bu süreyi 72 saat olarak belirlemiştir. Ayrıca, ihlalden etkilenen ilgili kişilere de 'makul olan en kısa sürede' doğrudan veya eğer bu mümkün değilse, kurumun kendi web sitesi üzerinden bildirim yapılmalıdır. Her iki düzenlemede de bildirim, ihlalin niteliği, etkilenen veri kategorileri ve kişi sayısı, olası sonuçları ve alınan veya alınacak tedbirler gibi detayları içermelidir. Bu yükümlülüklerin yerine getirilmemesi, ciddi idari para cezalarına neden olabilir. (Bkz: KVKK, GDPR, kalemci.av.tr)