Bir veri işleyenin (processor) sistemlerinde bir veri ihlali meydana geldiğinde, GDPR kapsamındaki bildirim yükümlülükleri kime aittir?

GDPR'a göre, nihai sorumluluk her zaman veri sorumlusuna (controller) aittir. GDPR Madde 33(2), veri işleyenin, bir ihlalden haberdar olur olmaz 'gereksiz bir gecikme olmaksızın' durumu veri sorumlusuna bildirmekle yükümlü olduğunu belirtir. Veri işleyenin yükümlülüğü, veri sorumlusunu bilgilendirmekle sınırlıdır. Bu bilgiyi alan veri sorumlusu, ihlalin risk düzeyini değerlendirerek, 72 saat içinde denetim makamına (Madde 33) ve eğer yüksek risk varsa etkilenen kişilere (Madde 34) bildirim yapma yükümlülüğünü yerine getirmek zorundadır. Slimpay kararında CNIL, veri işleyen konumundaki şirketin, ihlali müşterileri olan veri sorumlularına bildirmesi gerektiğini, nihai bildirim sorumluluğunun ise bu veri sorumlularında olduğunu vurgulamıştır.