GDPR Kapsamında Veri İhlali ile Nasıl Başa Çıkılır?

Genel Veri Koruma Yönetmeliği (GDPR) Avrupa Birliği sakinlerinin kişisel bilgilerini koruma amaçlı bir gizlilik yasasıdır. GDPR, kişisel verilerin işlenmesi ve kontrol edilmesi gereken kişilere, bu tür işlemler için yasal bir dayanak gerektirmesi, web sitelerinin uyumlu Gizlilik Politikalarına sahip olmasını sağlamak ve bazı kişisel verilerin ihlallerinin raporlanmasını talep etmek de dahil olmak üzere belirli hedefler uygulayarak bu amaç için çabalamaktadır.

Bu makalede Donata Kalnenaite tarafından Joomla! Topluluk Dergisi için hazırlanan GDPR kapsamında veri ihlali ile nasıl başa çıkılır? bunu öğrenebilirsiniz.

Bu makalede, aşağıdakileri tartışacağız:

• Veri ihlali olarak nitelendirilen;
• Hangi ihlallerin bir denetim otoritesine bildirilmesi gerekir;
• İhlallerin bildirilmesi için zaman çizelgesi;
• Hangi ihlallerin bireylere bildirilmesi gerekir; ve
• Raporlama başarısızlığının sonuçları.

Veri ihlali, kişisel verilerin ihlali miktarından bağımsız olarak kesinlikle önemli bir olay olsa da, GDPR ve denetleyici otorite rehberliğini takip etmek, veri ihlallerinin etkisini azaltabilecek güvenlik ve gizlilik önlemlerini uygulamanıza yardımcı olacaktır.

Veri İhlali Nedir?

GDPR'nin 4. Maddesi kişisel veri ihlallerini "kazara veya yasadışı imha, değiştirme, kayıp, izinsiz olarak iletilen, saklanan veya başka şekilde işlenen kişisel verilerin yetkisiz ifşa edilmesine veya erişimine yol açan bir güvenlik ihlali" olarak tanımlamaktadır. Bir veri ihlali olup olmadığını tespit etmek için, tüm uygun teknolojik koruma ve örgütsel önlemlerin uygulanıp uygulanmadığı derhal tespit edilmelidir. Aşağıda, GDPR kapsamında veri ihlali olarak nitelendirilecek olaylara birkaç örnek verilmiştir:

• Kişisel veriler kaybolduğunda;
• Birisi verilere eriştiğinde veya uygun izin olmadan paylaştığında; veya
• Fidye yazılımı saldırısı nedeniyle veriler kullanılamadığında.

Hangi İhlallerin Bir Denetim Otoritesine Bildirilmesi Gerekir

GDPR, herhangi bir veri ihlalinin, gerçek kişilerin hak ve özgürlükleri için bir risk oluşturması muhtemel olmadığı sürece bir denetim otoritesine bildirilmesini gerektirir. Bir ihlalin bir riskle sonuçlanıp sonuçlanmadığını belirlemek için, ihlalin bireye olası olumsuz sonuçlarını değerlendirmek gerekir. Olumsuz sonuçlar şunları içerebilir:

• Kişisel veriler üzerinde kontrol kaybı;
• Hakların sınırlandırılması;
• Ayrımcılık;
• Kimlik hırsızlığı veya dolandırıcılığı;
• Finansal kayıp;
• İsimsizleştirmenin izinsiz olarak geri çevrilmesi;
• İtibarda hasar; ve
• Önemli ekonomik veya sosyal dezavantaj.

Bireyler için riski değerlendirirken, ihlalin nasıl gerçekleştiğini, potansiyel etkinin şiddetini, etkinin gerçekte gerçekleşme olasılığını belirlemeli ve aşağıdaki kriterlere dikkat etmelisiniz:

• İhlalin türü;
• Ele geçirilen kişisel verilerin niteliği, hassasiyeti ve hacmi;
• Bireyleri tanımlama kolaylığı;
• Bireylerin sonuçlarının şiddeti;
• Bireyin özel özellikleri;
• Veri denetleyicisinin özel özellikleri; ve
• Etkilenen bireylerin sayısı.

Bireyler için bir risk oluşma olasılığının yüksek olduğunu belirlerseniz, veri işleme faaliyetlerinizi denetleyen ilgili denetim makamına başvurmanız gerekir.

İhlalleri Bildirmek İçin Zaman Çizelgesi

GDPR, bir veri denetim ihlali hakkında bir denetim otoritesini bilgilendirmek için çok katı bir zaman çizelgesine sahiptir - kişisel bir veri ihlali oluştuğunun farkına varır varmaz bunu yapmanız gerekir. Aslında, bu bildirimi, ihlalin farkına vardıktan sonra en geç 72 saat içinde yapmalısınız. Bir uzantıya ihtiyacınız varsa, bildirimdeki gecikme nedenlerinizi not etmelisiniz ve aşamalar halinde bilgi verebilirsiniz.

Bireylere Hangi İhlallerin Bildirilmesi Gerekir?

İhlalin, bireylerin hakları ve özgürlükleri için büyük bir risk oluşturması muhtemel ise, bireyleri veri ihlali konusunda bilgilendirmelisiniz. Risk değerlendirmenizi yaparken, ortaya çıkan risk denetim otoritesine bildirmek için gereken risk seviyesinden daha yüksek olduğunda kişileri bilgilendirmeniz gerekecektir. Gerektiğinde kişilere ihlali bildirmelisiniz, çünkü böyle bir bildirim bireylerin kendilerini ihlalin etkilerinden korumak için adımlar atmasına yardımcı olacaktır.

Bildirilmemenin Sonuçları

İstendiğinde bir veri ihlali konusunda bildirimde bulunmazsanız, hangisi daha yüksekse, uyumluluk önemlidir, küresel cironuzun 2.000.000 € veya %2'sine kadar para cezasına çarptırılabilirsiniz.

Veri ihlalleri, kişisel verilerini tuttuğunuz kişiler için olumsuz sonuçlar doğurabilir, bu nedenle GDPR'ın veri ihlallerini denetim makamlarına ve bireylerin kendilerine bildirmek için bu kadar katı gereksinimleri vardır. İlk etapta veri ihlallerini önlemek için sadece uygun güvenlik ve gizlilik önlemlerini uygulamak değil, aynı zamanda veri ihlaline karşı attığınız tüm adımları belgelemek de sizin sorumluluğunuzdadır.

Bu durumda, önceden belirlenmiş bir Veri İhlali Politikasına ve Prosedürüne sahip olmak, doğru bir şekilde, zamanında ve GDPR tarafından dayatılan uyumluluk gereksinimlerini karşılamak için çok değerli olabilir.

Kaynak: Joomla.org - Donata Kalnenaite