6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrasında veri sorumlusunun; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiş, 12. Maddesinin 5. fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kanunu’nun yukarıda bahsi geçen hükmü gereğince; veri sorumluları, ilgili veri ihlalinden haberdar olur olmaz en kısa sürede Kurul’a bilgi vermesi gerekmekte olup, Kurul tarafından Kanunda bahsi geçen “en kısa sürede” ifadesi ise, 04.01.2019 tarih ve 2019/10 sayılı kararında açıklanmıştır. Bu karara göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması da şarttır.
Ayrıca, Kurul tarafından bildirimde bulunurken veri sorumlularının doldurması için bir “Veri İhlali Bildirim Formu” da sitesinde yayınlamış olup, veri ihlallerinin bildirilmesinde kullanılacak çevrimiçi sistemin duyurusunu da yapılmıştır.
Veri sorumlusu; Kurula yapacağı bildirimin haricinde, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır. Unutulmamalıdır ki; Kanunun 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk lirasından 1.966,862 Türk lirasına kadar idari para cezası uygulanabilmektedir. Bu duruma örnek olarak; Kurul’un, 16.04.2020 tarih ve 2020/286 sayılı vermiş olduğu karar gösterilebilir. Bu karar ile Kurul, zamanında bildirim yapmayan veri sorumlusu hakkında 100.000 TL idari para cezasının uygulanmasına karar vermiştir