Veri sorumlusu, bir veri ihlalini tespit ettikten sonra ne kadar süre içinde yetkili denetim makamına bildirimde bulunmak zorundadır? Bu sürenin gecikmesi halinde ne olur?

GDPR Madde 33(1)'e göre, veri sorumlusu, kişisel veri ihlalini öğrendiği andan itibaren, 'gereksiz bir gecikme olmaksızın ve mümkünse 72 saatten geç olmamak üzere' yetkili denetim makamına bildirmek zorundadır. Eğer bildirim 72 saat içinde yapılamazsa, bu bildirime gecikmenin nedenlerini açıklayan bir gerekçe eklenmelidir. Madde 29 Çalışma Grubu'nun rehberinde de vurgulandığı gibi, 72 saatlik süre katı bir süredir ve bu sürenin aşılması ancak istisnai durumlarda ve gerekçesiyle kabul edilebilir. Gecikmenin makul bir gerekçesi olmaması, veri sorumlusunun GDPR kapsamındaki yükümlülüklerini ihlal ettiği anlamına gelir ve idari para cezasına neden olabilir.