6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin 5. fıkrasına göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Korumu Kuruluna (“Kurul”) bildirmekle yükümlü olduğu hükme bağlanmış durumdadır.
Kurul’un “Kişisel Veri İhlali Bildirim Usul ve Esasları” ile ilgili 24.01.2019 tarih ve 2019/10 sayılı kararı uyarınca, veri sorumlularına, bir “Veri İhlali Müdahale Planı” oluşturma yükümlülüğü getirilmiştir. Kurulun bahsi geçen kararında, kapsam dışında bırakılan kimse olmadığından tüm veri sorumlularının, Veri İhlali Müdahale Planı düzenleme yükümlülüğü kapsamında olduğu düşünülmektedir.
Hazırlanacak Veri İhlali Müdahale Planı’nda, ihlal durumunda, veri sorumlusunun kendi nezdinde raporlamanın nasıl yapılacağı, iş bölümünün nasıl olacağı, Kurula yapılacak bildirimin nasıl hazırlanacağı gibi hususlar düzenlenecektir.