6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrasında veri sorumlusunun; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiş, 12. Maddesinin 5.  fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kişisel Verileri Koruma Kanunu’nun yukarıda bahsi geçen hükmü gereğince; veri sorumluları, ilgili veri ihlalinden haberdar olur olmaz en kısa sürede Kurul’a bilgi vermesi gerekmekte olup, Kurul tarafından Kanunda bahsi geçen  “en kısa sürede” ifadesi ise, 04.01.2019 tarih ve 2019/10 sayılı kararında açıklanmıştır. Bu karara göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması da şarttır.

Kuruma yapılan her veri güvenliği ihlal bildirimi, somut olayın koşulları gözetilerek değerlendirilmekte olup, veri sorumluları tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınması ve özen yükümlülüğünün yerine getirilmesi gerekmektedir.

Veri güvenliğine ilişkin ihlallerde veri sorumlusunun kusursuz sorumluluğu da bulunmamaktadır. Kuruma intikal eden veri ihlâl bildirimleri hakkında, öncelikle söz konusu ihlâl bildirimine konu vakanın meydana geliş biçimi, etkilenen kişi sayısı, ihlâle konu verinin/verilerin niteliği, veri ihlâline ilişkin bildirimin Kuruma ve ilgili kişilere süresinde yapılıp yapılmadığı gibi hususlar ile bu kapsamda veri ihlâl bildiriminde bulunan veri sorumlularınca Kuruma sunulan bilgi ve belgeler değerlendirilmek suretiyle inceleme kararı alınıp alınmamasına karar verilmektedir. Kurul tarafından inceleme kararı alınan veri ihlâl bildirimlerine ilişkin olarak, Kanunun 12. maddesi kapsamında, veri ihlâl bildiriminde bulunan veri sorumlusu tarafından gerekli her türlü teknik ve idari tedbirin alınıp alınmadığı açısından inceleme yapılmakta olup söz konusu inceleme, idari yaptırımla veya herhangi bir idari yaptırım uygulanmaksızın da sonuçlandırılabilmektedir.