Living. Data.

Data breach? The moment you have the news, every hour counts!

Bir veri koruma ihlalinin klasikleri, kişisel verileri içeren gizli bir e-postanın yanlış alıcıya gönderilmesi veya hassas veriler içeren şifrelenmemiş bir USB çubuğunun kaybolmasıdır.


  Veri koruma ihlali ilk meydana geldiğinde, yanlış alıcı muhtemelen hızlı bir şekilde burada bir şeylerin ters gittiğine işaret edecektir. Bu noktadan itibaren, 72 saatlik raporlama dönemi başlar, çünkü bu tür olaylar genellikle Art. 33 GDPR - yanlış alıcı postayı hemen sildiğini ve içeriği tamamen okumadığını garanti etse bile sorumlu taraf, bunu yetkili denetim makamına ve postanın içeriğine bağlı olarak veri sahibine bildirmelidir.

  Bir veri koruma ihlali, meydana gelmesinden sonra ne kadar geç ortaya çıkarsa çözülmesi de o kadar zor hale gelir. Peki, sorumlu taraf raporlama son tarihini otomatik olarak aşarsa bu para cezası riski olduğu anlamına mı geliyor? Hayır.

  Sonuçta, GDPR Madde 33 (1) (1) şunu belirtir: "Kişisel veri ihlali durumunda, kontrolör gereksiz gecikmeye uğramaz ve mümkünse, bunun farkına vardıktan sonra en geç 72 saat içinde kişisel veri ihlali... ".

  Bu, çoğu zaman olduğu gibi, belirli bir vakanın, rapor edilebilir bir olay için saatin ne zaman işlemeye başlayacağı konusunda belirleyici olduğu anlamına gelir. İlk başta sadece belirsiz bir şüphe varsa, bu derhal incelenmelidir, ancak o noktada rapor edilemez. Ancak, bir veri ihlalinin "makul derecede kesinliği" olur olmaz, sorumlu denetim otoritesine ve zorluk düzeyine bağlı olarak veri sahibine de rapor edilmelidir.

  Kurtarılmış olan USB belleğin kaybolması durumunda, olay sorumlu tarafça öğrenilir öğrenilmez raporlama dönemi başlar. Ancak, bu yalnızca veriler yeterince şifrelenmemişse geçerlidir. Veriler şifrelenmişse, olayın bildirilmesine gerek yoktur.

  Bu nedenle, kesin raporlama son tarihiyle ilgili sorun, olayın zamanı değil, sorumlu tarafın ne zaman bunun farkına varacağıdır. Şu anda, sorumlu kişinin bir veri koruma olayına ilişkin bilgi sahibi olduğunun kabul edilebileceği zamana ilişkin denetim makamları tarafından tek tip bir düzenleme bulunmamaktadır. Bu kişinin olay hakkında kişisel bilgiye sahip olması gerekiyor mu? Ya da şirkette herhangi bir kişinin olayın farkına varması için raporlama son tarihinin başlaması yeterli mi?

  Veri koruma denetleme otoritelerinin bugüne kadarki beyanlarına bakarsak, önemli olanın mutlaka kişisel bilgi olmadığını, ancak belirli işlevsel birimlerin veya işlev sahiplerinin bir olaydan haberdar olduğu gerçeğini kesinlikle varsaymalıyız. Veri koruma olayları için son tarihin başlangıcına ilişkin bağlayıcı bir açıklama henüz mümkün değildir.

  Sonuç olarak: Bir veri ihlali durumunda, tüm çalışanların ancak yeterli hassasiyeti ve şirketteki kapsamlı risk bilinci, istenmeyen sonuçlara karşı koruma sağlayabilir.