GVKT (Genel Veri Koruma Tüzüğü) Madde 33 ve 34 uyarınca, bir veri ihlali durumunda veri sorumlusunun bildirim yükümlülükleri nelerdir? 'Kişisel Veri Güvenliği İhlali Bildirimine İlişkin Rehber'e göre, her ihlalin yetkili makama bildirilmesi zorunlu mudur?

GVKT'ye göre veri sorumlusunun iki temel bildirim yükümlülüğü vardır: 1) Yetkili Denetleyici Makama Bildirim (Madde 33): Veri sorumlusu, bir veri ihlalini öğrendikten sonra 'gereksiz bir gecikme olmaksızın ve mümkünse 72 saat içinde' yetkili denetleyici makama (Türkiye'de KVKK) bildirmelidir. 2) İlgili Kişilere (Veri Süjelerine) Bildirim (Madde 34): İhlalin, gerçek kişilerin hak ve özgürlükleri açısından 'yüksek bir risk' oluşturma ihtimali varsa, veri sorumlusu bu kişileri de gecikmeksizin bilgilendirmelidir. Ancak, her ihlalin bildirilmesi zorunlu değildir. Rehberde de belirtildiği gibi, eğer ihlalin 'gerçek kişilerin hak ve özgürlüklerini tehlikeye sokacak şekilde sonuçlanma ihtimali yoksa' (örneğin, çalınan veriler geri döndürülemez şekilde şifrelenmişse), yetkili makama bildirim gerekli değildir. Bu risk değerlendirmesini yapmak veri sorumlusunun yükümlülüğündedir.