a
coinnet

IAGON Tarafından GDPR Veri İhlal Bildirimi Zorunluluğu Yayımlandı!

Kısaltması GDPR olarak da bilinen Genel Veri Koruma Yönetmeliği, veri ihlallerinden mağduriyet yaşayan taraflar için belirli yükümlülükler getirmekte görevlidir. Bu yükümlülük kapsamına, veri ihlali gerçekleştiğinde mağdurların bilgilendirilmesi, halka resmi bir açıklama yapma ve diğer özel yükümlülükler koymak gibi maddeler girmektedir.

coinnet
coinnet

Kısaltması GDPR olarak da bilinen Genel Veri Koruma Yönetmeliği, veri ihlallerinden mağduriyet yaşayan taraflar için belirli yükümlülükler getirmekte görevlidir. Bu yükümlülük kapsamına, veri ihlali gerçekleştiğinde mağdurların bilgilendirilmesi, halka resmi bir açıklama yapma ve diğer özel yükümlülükler koymak gibi maddeler girmektedir.

Bu yükümlülükler bazı durumlarda birkaç soruyu da gündemde tutar.

  • Hangi bilgiler açıklanmalı ve bildirilmelidir? 
  • Kime? 
  • Bu işlem nasıl yapılmalıdır? 
  • Ne zaman gerçekleşmelidir? 
  • Bu veri ihlalinin etkilerini azaltmaya nasıl yardımcı olabiliriz?

GDPR tarafından omuzlanan bu yükümlülükler bir veri ihlali gerçekleştiğinde ortaya çıkmaktadır. GDPR’nin 4(12) Maddesi, veri ihlalini “İletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya bunlara erişim ” olarak tanımlar (EU, 2016). Ayrıca, madde 33 ve 34’te belirtildiği gibi, bir veri ihlali gerçekleştiğinde veri ihlali bildirim yükümlülüğünü de ortaya çıkartır. Birincisi veri koruma makamına, ikincisi ise veri sahiplerine bildirimde bulunma görevine atıfta bulunur.

Madde 33, bildirinin içeriği ve zamanı ile ilgilenmektedir. Yapılan tanımlamaya göre, veri ihlalinin niteliğine ilişkin bilgileri, yaratabileceği sorunları ve ihlaller için alınabilecek önlemleri içermelidir. Maddenin devamında ise ihlalin fark edilmesinden sonraki 72 saat içerisinde denetim makamına bilgilendirme yapılmalıdır.

GDPR 34. maddede mağdur olan tarafa ilişkin yükümlülükler yer alır. “Gerçek kişilerin hak ve özgürlükleri için yüksek bir risk oluşturma olasılığı” olarak tanımlanan kapsamda, gerekenin yapılması talep edilmelidir.

Madde 33 ve 34’te bildirilen yükümlülüklerin yerine getirilmesi gerekmektedir. Aksi takdirde, 10.000.000 Euro’ya kadar bir para cezasına çarptırılma olasılığı bulunmaktadır. Şirketler içinse bu ceza önceki mali yılın cirosunun %2’sine eşittir.

GDPR, Mağdurların Bilgilendirme Yapmasını Zorunlu Kılıyor

GDPR tarafından belirlenen yükümlülüklerin ivedilikle yerine getirilmesi, ilgili denetim organlarının hızlı bir şekilde harekete geçmesini sağlamaktadır. Bu durum uyarıcı kategorisinde değerlendirilmektedir.

Bildirim yükümlülüğü, Avrupa Birliği temel hak sözleşmesinin Madde 8(2)’deki temel bir yönü olan topluluğun bilgi edinme hakkını onaylayarak bir veri ihlalini yönetmeye şeffaflık getirmeye yardımcı olur. Denetim organlarının farkındalığını artırarak ve denetçilerin hızlı yanıt vermesine izin vererek, bildirimi tasarım yoluyla etki değerlendirmesi ve mahremiyetin temel bir parçası haline getirerek zarar azaltılabilir ve kontrol altına alınabilir, bu aynı zamanda taraflar arasında işbirliğini de teşvik eder. 

Karyda & Mitrou, 2016

Tüm bu yükümlülüklere rağmen, bildirme işlemi uygun olmayan şekillerde gerçekleştiği de sık görülen durumlar arasındadır. Sonuç olarak da mağdurun herhangi bir ihlalden haberi olmaması gibi vahim durumlar ortaya çıkabilir. Ponemon’un 2012 araştırmasına göre, gerçek kişilere gönderilen bildirimlerin %36’sı istenmeyen e-posta, %13’ü ise e-posta spamı olarak alındı ​​ve toplamda %49’u etkisiz bildirimlere yol açtı.

GDPR ‘nin 34 (3) Maddesinde açıklandığı üzere, denetleme organının bazı durumlarda haber vermeme gibi istisnaları bulunmaktadır. “Denetleyici risklerin artık gerçekleşme olasılığını ortadan kaldırmak için önlemler almışsa veya bu bildirim orantısız bir çabayı içeriyorsa, bu durumda yalnızca bir kamu iletişimi veri ihlalinin meydana gelmesine ilişkin olarak ihtiyaç duyulmaktadır. Öyle olsa bile, yetkililerin denetleyicilere konuyu bilgilendirmesini emretme hakkı vardır.”

Bildirim yükümlülüğünün, telekomünikasyon sağlayıcıları için veri ihlali bildirim yükümlülüğünü düzenleyen 2002/58/EC sayılı Direktif Madde 4(3) gibi diğer düzenlemelere de dahil edilmektedir. EIDAS Tüzüğü 910/2014’ün güvenlik ihlallerini yetkili makamlara açıklama yükümlülüğünü düzenleyen Madde 19(2); ve Madde 14 (3) NIS (ağ ve bilgi güvenliği) Yönergesi 2016/1148, temel hizmetlerin saldırı durumunda yetkili makamlara bildirimde bulunması yükümlülüğünü belirtir. 

Takipte Kalın!

Son dakika haberlerini anında öğrenmek için bizi Twitter ve Instagram’dan takip edebilirsiniz. Twitter hesabımıza ulaşmak için lütfen linke tıklayın.

YORUMLAR

Yorum yapabilmek için giriş yapmalısınız.