6698 sayılı KVKK'nın 12. maddesinin 5. fıkrası, bir veri ihlali (sızıntı) meydana geldiğinde veri sorumlusuna hangi bildirim yükümlülüklerini getirmektedir? Bu bildirimlerin süresi ve muhatapları kimlerdir?

KVKK m.12/5, bir veri sızıntısı durumunda veri sorumlusuna ikili bir bildirim yükümlülüğü getirir. Buna 'veri ihlali bildirimi' denir. Yükümlülükler şunlardır: 1) Kişisel Verileri Koruma Kurulu'na Bildirim: Veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu öğrendiği tarihten itibaren 'en kısa sürede' ve en geç 72 saat içinde Kurul'a bildirmek zorundadır. Bu bildirim, Kurul'un internet sitesindeki form aracılığıyla yapılır. 2) İlgili Kişilere (Verisi Sızan Kişilere) Bildirim: Veri sorumlusu, aynı zamanda bu durumu 'en kısa sürede' ihlalden etkilenen ilgili kişilere de bildirmelidir. Bu bildirim, doğrudan iletişim (e-posta, SMS vb.) yoluyla veya eğer bu mümkün değilse, veri sorumlusunun kendi internet sitesi gibi uygun bir yöntemle yapılabilir. Bu bildirimlerin amacı, hem Kurul'un denetim görevini yapmasını sağlamak hem de verisi sızan kişilerin, kendilerini korumak için (şifre değiştirme, bankasını uyarma vb.) gerekli önlemleri almalarına olanak tanımaktır. Bu yükümlülüklere uymamak, ayrıca KVKK m.18 uyarınca idari para cezası nedenidir.