Soru & Cevap

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusu şirketlerin bu durumu en kısa sürede ilgili kişilere ve Kişisel Verileri Koruma Kuruluna bildirmesi kesin bir hukuki yükümlülüktür. Kurul kararlarına göre, veri sorumluları ihlali öğrendikleri tarihten itibaren en geç yetmiş iki saat içinde Kurula veri ihlali bildirimi yapmak zorundadır ve haklı bir gerekçe olmaksızın bu sürenin aşılması idari yaptırım uygulanmasına neden olabilmektedir. İhlalden etkilenen kişilere yapılacak bildirimde ise ihlalin ne zaman gerçekleştiği, hangi verilerin etkilendiği ve ihlalin olası sonuçları ile alınan tedbirlerin açık ve sade bir dille şeffaf bir şekilde aktarılması gerekmektedir. Bu bildirim yükümlülüğünün ihlali, siber saldırıya uğranmasından bağımsız olarak ayrıca bir mevzuata aykırılık durumu oluşturur.