Madde 33 - Bir kişisel veri ihlalinin denetim makamına bildirilmesi

  1. Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, kontrolör, gereksiz gecikmeye mahal vermeden ve, uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkin denetim makamına bildirir.

    Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, bu bildirimle birlikte gecikme sebeplerine de yer verilir.
  2. İşleyici, bir kişisel veri ihlalinden haberdar olduktan sonra, herhangi bir gecikmeye mahal vermeden, kontrolöre bildirimde bulunur.
  3. 1. paragrafta atıfta bulunulan bildirimde en azından:
    1. uygun olduğu hallerde, ilgili veri sahibi kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kaydı kategorileri ve yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin mahiyeti açıklanır;
    2. veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgileri iletilir;
    3. kişisel veri ihlalinin olası sonuçları açıklanır;
    4. uygun olduğu hallerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere kişisel veri ihlalinin ele alınması için kontrolör tarafından alınan veya alınması önerilen tedbirler açıklanır.
  4. Bilgilerin aynı zamanda sağlanmasının mümkün olmadığı hallerde ve ölçüde, bilgiler gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.
  5. Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemi de kapsayacak şekilde belgelendirir. Bu belgelendirme denetim makamının bu maddeye uyumluluğu doğrulamasını sağlar.