GDPR Madde 34 uyarınca, bir veri ihlalinin etkilenen kişilere (veri süjelerine) bildirilmesi hangi koşula bağlanmıştır? Hangi durumlarda bu bildirim zorunlu değildir?

GDPR Madde 34(1), veri ihlalinin kişilere bildirilmesini, ihlalin 'gerçek kişilerin hak ve özgürlükleri açısından yüksek bir risk oluşturmasının muhtemel olması' (likely to result in a high risk) koşuluna bağlamıştır. Bu, denetim makamına bildirim için aranan 'risk' eşiğinden daha yüksek bir eşiktir. Eğer ihlal, kimlik hırsızlığı, dolandırıcılık, mali kayıp, itibar zedelenmesi gibi ciddi sonuçlar doğurma potansiyeli taşıyorsa, kişilere 'gecikmeksizin' bildirim yapılmalıdır. Madde 34(3)'e göre şu durumlarda bildirim zorunlu değildir: a) Veri sorumlusu, verileri (örneğin şifreleme ile) anlaşılmaz hale getirecek uygun teknik ve organizasyonel tedbirleri almışsa. b) Veri sorumlusu, ihlalden sonra, yüksek riskin ortaya çıkma olasılığını ortadan kaldıran tedbirleri almışsa. c) Bireysel bildirim orantısız bir çaba gerektiriyorsa (bu durumda, eşit derecede etkili bir kamuoyu duyurusu yapılmalıdır).