Veri sorumlusu olan bir şirket, bir veri ihlali yaşadığında ve bu ihlalin gerçek kişilerin hak ve özgürlükleri açısından 'yüksek bir risk' oluşturması muhtemel olduğunda, sadece denetleyici kuruma bildirim yapması yeterli midir?

Hayır, yeterli değildir. GVKT Madde 34'e göre, eğer kişisel veri ihlali gerçek kişilerin hak ve özgürlükleri açısından 'yüksek bir risk' oluşturuyorsa, veri sorumlusu sadece denetleyici makamı değil, aynı zamanda 'gecikmeksizin' ihlalden etkilenen kişileri de (veri sahiplerini) bilgilendirmek zorundadır. Bu bilgilendirmenin amacı, kişilerin kendilerini korumak için gerekli önlemleri almalarını sağlamaktır.