Bir veri ihlali meydana geldiğinde, veri sorumlusunun bu ihlali yetkili denetleyici makama bildirmesi için öngörülen süre nedir ve hangi durumda bildirim gerekli değildir?

GVKT Madde 33'e göre, veri sorumlusu, kişisel veri ihlalini farkına vardıktan sonra 'gereksiz bir gecikme olmaksızın ve mümkünse 72 saat içinde' yetkili denetleyici makama bildirmek zorundadır. Ancak, ihlalin 'gerçek kişilerin hak ve özgürlükleri açısından bir risk oluşturmasının muhtemel olmaması' durumunda bildirim gerekli değildir. Örneğin, veriler zaten kamusal alanda mevcutsa veya geri döndürülemez şekilde şifrelenmişse risk düşük kabul edilebilir.