Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp uygulaması hakkında, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlattı.
Alınan bilgiye göre, Kişisel Verileri Koruma Kurulunun bugünkü toplantısında, "Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği" yönündeki haberlerle ilgili değerlendirme yapıldı.
Konuyu, kişisel verilerin korunması mevzuatı genel hükümleri yönünden değerlendiren Kişisel Verileri Koruma Kurulu, toplantıda WhatsApp uygulaması hakkında, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlatılmasına karar verdi.
İncelemeyi yürütecek Kurul, süreci takip ederek, 8 Şubat 2021'de konuyu yeniden değerlendirecek.
REKABET KURULU HAREKETE GEÇTİ
Tüm dünyada olduğu gibi Türkiye'de de tepkilere neden olan WhatsApp'ın yeni gizlilik sözleşmesi için Rekabet Kurulu harekete geçti.
Kuruldan yapılan açıklamada Facebook ve WhatsApp hakkında resen soruşturma başlatıldığı duyuruldu. Ayrıca WhatsApp'la veri paylaşımı zorunluluğunun durdurulduğu bildirildi.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp'ın "zorunlu güncelleme" kararının bugünkü toplantıda ele alınacağını duyurmuştu.
KVKK'nin internet sitesinde yer alan duyuruda, WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyenlerin kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği hatırlatıldı.
WhatsApp'ın, rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği belirtilen duyuruda, şunlar kaydedildi:
"Kişisel Verilerin Korunması Kanunu'nun 15'inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12 Ocak 2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile kanunun açık rıza, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden değerlendirilece
Son yıllarda dünya genelindeki pek çok şirketin verileri işleme, saklama veya iletme prosedürlerini değiştiren veri koruma yönetmeliği, bir çok ülke tarafından farklı şekillerde yasalaşıyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, Türkiye’nin de aralarında bulunduğu ülkelerin veri koruma kanunlarını mercek altına alıyor.
Gartner tarafından yapılan yeni bir araştırma, şirketlerin veri kaybını önlemek için yaptığı güvenlik yatırımlarında, 2018 sonuna kadar %65 artış yaşanacağını öngörüyor. Avrupa Birliği ülkelerini etkileyen Genel Veri Koruma Yönetmeliği (GPDR) başta olmak üzere son iki yıl içerisinde pek çok ülkede yeni veri koruma yasalarının yürürlüğe girmesinin bu artışta büyük etkisi bulunuyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, farklı ülkelerdeki uygulamaların yeni yasalarla nasıl iyileştirildiğini mercek altına alıyor.
Şiddeti gitgide daha çok hissedilen veri koruma kanunları, global anlamda büyük farklar yaratıyor. Avrupa Birliği’ndeki ülkelerde Mayıs 2017’de devreye giren ve hesap verebilirlik, rıza alma ve raporlama gibi alanlarda ciddi düzenlemeler getiren GDPR’den ilham alan ülkeler, kendi versiyonlarını üretip uygulamaya koyarak değişime ayak uyduruyor. Benzer şekilde, Türkiye’deki veri koruma uygulamalarının seyri de hızla değişiyor.
ABD: Tüketici Gizlilik Yasası
ABD, GPDR’den aldığı ilham ile yeni kanunlar yaratıyor. Yeni uygulamalardan biri olan 2018 Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya eyaleti vatandaşlarına GDPR’ye özellikle DSAR konusunda benzerlik gösteren haklar tanıyor. Bu haklara göre kişiler, hangi verilerinin ne amaçla işlendiğine ve üçüncü bir şirket veya kişiye verilip verilmediğine dair şirketlerden bilgi talep edebiliyor. Elektronik veya fiziksel olarak oluşturulabilen bu taleplere şirketler bir ay içinde ücretsiz olarak cevap vermek zorunda kalıyor.
ABD’deki başka bir eyalet olan Colorado’daki yasama organı da bu bölgedeki kişilerin veri koruma düzeyinin artırılması için uygulamaya konulması istenen yeni prosedür ve pratikler ile ilgili bir yasa tasarısını yakında sunmayı düşünüyor. Bu yasa tasarısı ile kişisel veri teriminin kapsamının genişletilmesi ve bir veri sızıntısının ardından kullanıcılara bilgilendirme yapılması gereken zaman aralığının değiştirilmesi hedefleniyor. Tüketici Gizlilik Yasası ABD’deki şirketlere şimdiye kadar 30 günlük sızıntı bildirim süresi veriyordu. Bu süre, AB ülkeleri için sadece üç gün olduğundan, ABD’deki şirketler için de sürenin kısaltılması isteniyor.
İngiltere: Veri Koruma Yasa Tasarısı
Brexit’in ardından harekete geçen İngiltere, İngiltere Bilgi Komisyonluğu Ofisi başkanlığında veri koruma ve gizliliği ile ilgili kendi düzenlemelerini oluşturuyor. İngiltere Bilgi Komisyonluğu Ofisi, GDPR ile uyumlu kuralların yürütülmeye devam edilmesi adına yeni bir Veri Koruma Yasa Tasarı taslağı hazırlamakta olan İngiltere için bu konunun oldukça önemli olduğunu ve veri korumaya dair sorunların kamuoyunda sıkça ses getirdiğini belirtiyor.
Avustralya: Gizlilik Yasası
Avustralya’daki Gizlilik Yasası, ülkedeki tüm gizlilik düzenlemelerinin birbiriyle tutarlılık göstermesini sağlayarak eksiksiz bir uyum mekanizması oluşturulmasını hedefliyor. Bu yasalar, ülke içindeki veri akışının Avustralya sınırları dışına çıkışının azaltılmasını ve kişisel gizlilik hakkını garanti altına alacak kurallar içeriyor.
Veri denetleyicilerine pek çok sorumluluk yükleyen Avustralya, bu kişilerden kişisel bilgileri tamamen açık ve şeffaf bir şekilde yönetmesini ve yasaların tüm prensiplerine uyum göstermesini bekliyor. Veri sızıntısı ile ilgili bildirimler, raporlama kuralları ya da “ciddi hasar” teriminin tanımı kısımlarındaki farkların haricinde Avustralya, veri korumada GDPR’ye yakın bir yörüngede ilerliyor.
Meksika: Federal Veri Koruma Kanunları
Meksika’nın Özel Taraflarca Yapılan Federal Veri Koruma Yasası, Avrupa’da uygulanan yasalardan neredeyse hiç ayrılmıyor. Uluslararası Gizlilik Profesyonelleri Birliği’nden Veri Koruma Yasası Başkanı Miguel Recio, “Avrupa Birliği’nde olduğu gibi Meksika da da veri koruma alanında dinamik gelişmeler yaşıyor. Bu gelişmelerde mesuliyet hissi, sağlam ve etkili bir veri yönetimi için anahtar rol oynuyor. Meksika’daki veri denetleyicileri, teknik ve operasyonel önlemler hakkında AB’dekilerle benzer sorumluluklar alarak veri gizliliği yasalarına uyumu proaktif bir şekilde gösteriyor.” sözleriyle Meksika’nın veri korumaya yeni bakış açısını özetliyor.
Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler Yasası
GDPR ile çok alakalı olmayan uygulamaları gündeme getiren ülkeler de bulunuyor. Kanada, oluşturduğu Kanada Kişisel Veri Koruma ve Elektronik Belge Yasası kapsamında kendi standartlarını yaratıyor. Ayrıca, temel işleri direkt veri işlemeye dayanan tüm Kanadalı şirketlerin, Kanada kanunları dışında bütün GDPR kurallarına da uyması bekleniyor.
Türkiye: Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu, Türkiye’de 24 Mart 2016’dan beri yürürlükte bulunuyor. Şirketlerdeki pek çok uygulamayı baştan yazan Kişisel Verilerin Korunması Kanunu, çalışan hak ve gizliliğinden kullanıcı gizliliğine kadar pek çok konunun tekrar değerlendirilmesine imkan yaratarak kişisel verilerin üçüncü kişilere iletilmesi hususunda yenilikler getiriyor.
Her ne kadar iki yıldır gündemde olsa da işlenmiş kişisel verilerin yeni kanuna uyumu için kurumlara iki yıl süre verilmesi nedeniyle KVKK, asıl gücünü Nisan 2018’den beri gösteriyor. KVKK, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlarken, nedensiz ve sınırsız şekilde yapılan veri işlemelerini kabul etmeyerek cezaya tabii tutuyor.
Ayrıca, Ekim 2018 başında veri korumada yeni bir düzenlemeye daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.
AB GDPR, teknoloji şirketlerinin kullanıcı verilerini işleme biçimi üzerinde halihazırda derin bir etkiye sahipti. Ancak birçoğunun hala tasarı hakkında temel soruları var. Bu makale onlara cevap veriyor.
Beş katılımcıdan birinin tam GDPR uyumunun "imkansız" olduğunu düşündüğü EY-IAPP anketi gibi GDPR ile ilgili kafa karışıklığını hiçbir istatistik özetlemiyor . Ya bu kuruluşlar GDPR hakkında hala ciddi yanlış anlamalara sahipler ya da kendilerini sürekli olarak GDPR'yi ihlal etmeye ve kendilerini GDPR cezalarına maruz kalma riskine atmaya terk ediyorlar . Bu, GDPR'yi tam olarak anlamak için zamana veya kaynağa sahip olmayan küçük ve orta ölçekli işletmelerin hala önemli bir kısmının olduğunu göstermektedir.
Burada en temel GDPR sorularının bazılarını ele alacağız.
GDPR ne anlama geliyor?
Her şey sırayla. GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. Bu bir Avrupa Birliği yasasıdır ve olmayan Veri Koruma Direktifinin yerini alır.
GDPR felsefi olarak neyi temsil ediyor?
Temelde, Genel Veri Koruma Yönetmeliği, Avrupa Birliği'nde (veya daha geniş Avrupa Ekonomik Alanı'nda) yaşayan tüm bireylere İnternet'teki verilerine erişim ve bunları kontrol etmek için yeni haklar vererek kişisel verilerin nasıl toplandığını ve işlendiğini temelde yeniden şekillendirmeyi amaçlamaktadır. Pek çok yeni hak vardır, ancak en yaygın olanlardan bazıları şunlardır:
İşlemenin yasal dayanağı - Kuruluşunuz, veri işlemeyi , bir kullanıcının açık ve net rızası gibi Madde 6'da açıklanan yedi yasal dayanaktan birine dayanarak gerekçelendirmelidir
Silme hakkı - " Unutulma hakkı " olarak da bilinen kuruluşunuz, belirli durumlarda kullanıcılarınızın verilerini silme talebine saygı duymalıdır.
Erişim hakkı - Kuruluşunuz, kullanıcılarınıza onlardan topladığınız tüm verilerin bir kopyasını sağlamalıdır.
Düzeltme hakkı - Kuruluşunuz, bir kullanıcının yanlış olduğunu düşündüğü tüm verileri veya bir kullanıcının eksik olduğunu düşündüğü tüm verileri düzeltmelidir.
Veri taşınabilirliği hakkı - Kuruluşunuz, sahip olduğunuz verileri bir kullanıcıdan başka bir kuruluşa veya kullanıcıya belirli koşullar altında aktarmalıdır.
GDPR yalnızca teknoloji şirketleri için mi geçerli?
Kısa cevap: hayır. GDPR'nin 3. Maddesine göre , AB'de (veya EEA'da) yaşayan bir kişiye herhangi bir mal veya hizmet sağlayan herhangi bir "denetleyici" veya "işleyici" GDPR'ye tabidir.
4. maddeye göre , bir kontrolör, "kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen bir kişi, kamu otoritesi, kurum veya başka bir organdır", işleyici ise "gerçek veya tüzel kişidir" , denetleyici adına kişisel verileri işleyen kamu kurumu, kurum veya diğer kuruluş. "
Bu iki cümlede ayrıştırılacak çok şey vardır, ancak esasen bir denetleyici, verileri toplayan, analiz eden, paylaşan veya başka bir şekilde kullanan herhangi bir kişi, kurum, kuruluş veya işletmedir. Müşterilerden check-in yaparken kişisel bilgilerini isteyen bir otel misiniz? Avrupalı müşterileriniz varsa, GDPR'ye tabisiniz.
'Kişisel veriler' nedir?
İşlediğiniz bilgilerin kişisel veri olup olmadığını bilmek, GDPR'nin kuruluşunuz için geçerli olup olmadığını belirlemek açısından çok önemlidir. Tam bir yanıt birkaç sayfa aday olacağını iken (Bu soruya adanmış postamıza bakın burada kişisel veri olarak yaşayan bir insan olmanın sayıları tespit etmek, kamuya açık bilgilerle birlikte kullanıldığında veya kullanılabilir temelde herhangi sübjektif veya objektif bilgi,) .
GDPR'nin şimdiye kadar ne gibi bir etkisi oldu?
GDPR, denetleyicilerin veri ihlallerini ilgili denetim makamına, genellikle o ülkenin Veri Koruma Bürosuna 72 saat içinde rapor etmesini gerektirir . Bu yeni gereklilik, kişisel verilerin ne sıklıkla ifşa edildiğine ışık tuttu. Bir anket , GDPR yürürlüğe girdikten sonraki ilk sekiz ayda yaklaşık 60.000 veri ihlali rapor edildiğini gösterdi .
Ayrıca, mahremiyet personelinin işe alınması ve eğitilmesi ve mahremiyet teknolojisi satın alınması için önemli yatırımlara yol açtı. EY-IAPP anketine yanıt veren şirketlerin yaklaşık yüzde 80'i, gizlilik eğitiminin bu yıl GDPR uyumluluğu için öncelikleri olduğunu söyledi. Aynı ankette, şirketlerin dörtte biri veri işlemcilerini GDPR nedeniyle değiştirdiklerini ve yarısından azı mevcut işlemcilerini korumayı beklediklerini söyledi. GDPR, tasarımı gereği güvenli teknoloji ve hizmetler için devasa bir yeni pazar oluşturdu .
Son olarak, GDPR, kişisel verilerin nasıl işlendiği ve her gün kaç kuruluşun kişisel verileri işlediği konusunda bir farkındalık yarattı. Kaliforniya ve Brezilya'da GDPR'ye ilham kaynağı olarak açıkça alıntı yapan veri koruma yasaları imzalandı . Dünyadaki diğer ülkeler de kendi veri koruma yasalarını tartışmaya başladılar. Görünüşe göre GDPR'nin Amerikan versiyonu olması sadece bir zaman meselesi .
GDPR kapsamında kaç para cezası değerlendirildi?
Bir araştırmaya göreGDPR kapsamında yalnızca 91 para cezası değerlendirildi - ancak biri Google aleyhine rekor kıran 50 milyon Euro para cezasıydı. Bildirilen neredeyse 60.000 veri ihlali olduğu düşünüldüğünde, bu neredeyse kesinlikle yetersiz bir temsildir. Ve 2019, GDPR uygulamasında çarpıcı bir hızlanma görmeli. Bu yıl, veri koruma kurumları, şirketler gibi personel oluşturmak, uyum sorularını yanıtlamak ve GDPR'yi kendileri için yorumlamakla meşguldü. Bu yıl, veri koruma ajansları soruşturmaları daha fazla takip edebilecek. Dahası, kâr amacı gütmeyen None of Your Business ve French Association La Quadrature du Net gibi gizlilik savunucuları, Google, Facebook, Instagram ve WhatsApp gibi büyük şirketlere karşı düzinelerce GDPR şikayetinde bulundu. Bu şikayetler sistem üzerinden ilerlediğinden, Muhtemelen dünyanın en büyük şirketlerinden bazılarına karşı daha büyük para cezaları göreceğiz. Mozilla'daki AB Kamu Politikası Başkanı Raegan MacDonald'ın söylediği gibiNext Web , "2018'in uygulama yılı olması durumunda 2019'un uygulama yılı olacağından şüpheleniyorum."
GDPR'ye uymak imkansız mı?
Başladığımız yerde bitiriyoruz. GDPR şüphesiz karmaşık bir belgedir, ancak cesaret verici bir şekilde, onu uygulamakla görevli gizlilik uzmanları için geçen yıl olduğundan daha az karmaşık görünmektedir. EY-IAPP anketine katılanlar, anketin 2017'de başlamasından bu yana her yıl neredeyse her GDPR uyum sorumluluğu için giderek daha düşük zorluk puanları verdiler.
İşletmelerin ve tüketicilerin çoğu, GDPR'nin ne anlama geldiğini gerçekten takdir ediyor: verileri güvende tutmak ve bireylere daha fazla kontrol vermek. İlkelerinin küresel olarak yayılması muhtemel görünüyor. Geçtiğimiz yıl uygulamada bir gecikme yaşanırken, şirketler GDPR uyumluluğunu kendi riskleri ile erteledi. Doğru kaynaklarla ve biraz özveriyle, tüm kuruluşlar, kullanıcı verilerini korumak için gerekli adımları atabilir.
Facebook'un tekrarlanan veri ihlalleri, tam olarak Genel Veri Koruma Yönetmeliği'nin ihlalleri bildirme konusundaki açık yönergeleriyle ele almaya çalıştığı şeydir. Facebook'un gelişigüzel tepkisi, 1.6 milyar doların üzerinde para cezasıyla karşı karşıya kaldı.
Facebook, gizlilik mevzuatını oldukça iyi öğreniyor. İngiltere'nin 1998 tarihli eski Veri Koruma Yasası kapsamında izin verilen maksimum miktar olan Cambridge Analytica skandalına karıştığı için şimdiden 500.000 £ para cezasına çarptırıldı . Artık GDPR yürürlükte olduğuna göre Facebook, Geçtiğimiz mali yıldaki performansına bağlı olarak yıllık küresel ciro 1.63 milyar $'a ulaşabilir.
Bu beliren ceza, Facebook'un geçen yılın Eylül ayında keşfettiği veri ihlaline dayanıyor. Bilgisayar korsanları, üç ayrı hatadan dolayı, "Farklı Görüntüle" özelliğindeki bir güvenlik açığından yararlanabildiler ve yaklaşık 50 milyon kullanıcı için erişim belirteçlerini çaldılar. Bu erişim belirteçleri, bilgisayar korsanlarının kullanıcıların hesaplarını ele geçirmesine izin verdi.
Burada Facebook, tamamen açıklanmayarak hatalarını birleştirdi. GDPR, şirketlerin ilgili veri koruma kurumunu, bu durumda İrlanda Veri Koruma Komisyonu'nu (IDPC) 72 saat içinde "mümkün olduğunda" bilgilendirmesini gerektirir. Bu güvenlik açığı 26 Eylül'de keşfedildi ve Facebook bunu üç günlük sınır içinde bildirdi . Ancak Facebook tüm ilgili ayrıntıları paylaşmadı ve bu da IDPC'nin 30 Eylül'de " güvenlik ihlalinin acil ayrıntılarını " hâlâ beklediklerini tweet atmasına neden oldu.
Facebook'un sorunu , sosyal ağın Aralık ayında , ilgisiz başka bir hatanın 6.8 milyon kullanıcının özel fotoğraflarını yaklaşık iki hafta boyunca 1.500'e kadar farklı uygulamaya maruz bıraktığını bildirmesiyle devam etti. Bu hata 25 Eylül'de keşfedildi ve düzeltildi, ancak Facebook neredeyse üç aydır etkilenen kullanıcıları, halkı veya yetkilileri uyarmadı.
Bir açıklama istendiğinde, bir Facebook sözcüsü Forbes'a şunları söyledi: “Kurduğumuz anda IDPC'yi GDPR kapsamında bildirilebilir bir ihlal olarak kabul edildiğini bildirdik. Bu sonuca varmak için araştırmamız gerekiyordu. Ve bunu yaptıktan sonra, düzenleyicimize 72 saatlik zaman çerçevesinde haber verdik. "
Facebook, GDPR'nin amacından kaçınmak için farklı stratejiler denedi. İlk durumda, GDPR tarafından belirlenen zaman çizelgesine uydu ancak önemli ayrıntıları dışarıda bıraktı. İkinci durumda Facebook, GDPR'yi bir şirketin bir ihlali araştırmak için sınırsız süreye sahip olduğunu söyleyecek şekilde yorumladı. Soruşturma tamamlandıktan ve şirket ihlalin "rapor edilebilir" olduğuna karar verdikten sonra, üç günlük süre sınırı devreye girer.
Aynı Forbes makalesinde, IDPC'nin İletişim Başkanı en son Facebook ihlali hakkında yorum yaptı: “Irish DPC, 25 Mayıs 2018'de GDPR'nin tanıtılmasından bu yana Facebook'tan bir dizi ihlal bildirimi aldı. Bu veri ihlallerine atıfta bulunarak söz konusu ihlal de dahil olmak üzere, bu hafta Facebook'un ilgili GDPR hükümlerine uygunluğunu inceleyen yasal bir soruşturma başlattık. " Bununla birlikte, IDPC, Facebook'un veri ihlallerinin nasıl bildirilmesi gerektiğine dair ifade edilen mantığını çürütmekten vazgeçti. Bu konuyla nasıl ilgileneceklerine dair daha fazla açıklama veya rehberlik de sunmamışlardır.
İlk erişim belirteci ihlalinden sonra, çoğu veri güvenliği uzmanı Facebook'un hafifçe çıkmasını bekliyordu. Gelen bir Guardian hikaye geçen yılın Ekim-Rowenna Fielding, Protecture Limited üst düzey veri koruma kurşun söyledi: “Ben Facebook olasılıkla olmaktır sanmıyorum İrlandalı regülatör gerçekten sağlam icra bir sicili yok verebilecekleri cezalar konusunda endişeli. "
Facebook'un tekrarlanan ihlalleri baskıyı artırdı. IDPC ve Facebook arasındaki bu hesaplaşma, düzenlemenin dişleri olup olmadığını veya sayfadaki boş sözcükler olup olmadığını gösteren GDPR'nin erken tanımlayıcı bir anı olabilir.
Macaristan'da hükümet, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında veri sahiplerinin haklarını askıya alma kararı aldı.
Bu askıya alma, COVID-19 olağanüstü hal sona erene kadar yürürlükte kalacaktır. Buna ek olarak hükümet, kamu kurumlarının kişisel verilerini toplarken bireyleri bilgilendirme konusundaki yasal zorunluluğunu da kolaylaştırmış ve kamu kurumlarının bilgi edinme özgürlüğü taleplerini işleme koyması gereken süreyi uzatmıştır.
Macar hükümetinin bu hareketi bazı eleştirilere yol açtı ve karar, AB gizlilik koruma topluluğu ve Avrupa Komisyonu'nda endişelere yol açtı. Avrupa Veri Koruma Kurulu'nun 2019 yıllık raporunun 18 Mayıs Pazartesi günü yayınlanmasıyla ilgili olarak gazetecilere konuşan Başkan Andrea Jelinek, Macar hükümetinin son hamlesi ile ilgili endişesini kaydetti.
Başkan: “Macaristan hükümeti tarafından GDPR'nin birkaç maddesinin askıya alınmasından kişisel olarak çok endişeliyim. COVID-19 krizi sırasında GDPR'nin bu şekilde askıya alınmasının EDPB tarafından "tavsiye edilmediğini" söyledi.
EDPB'nin, Avrupa Birliği üye devletlerinin çoğunda ilan edilen COVID-19 olağanüstü hal nedeniyle GDPR'nin 23. Maddesinin uygulanmasına ilişkin resmi yönergeleri yayınlamayı amaçladığı da ortaya çıktı. Bu açıklamayı yapmadan önce, EDPB, Macar hükümeti tarafından yapılan hareketle ilgili olarak Avrupa Sivil Özgürlükler Birliği, Access Now ve Macaristan Sivil Özgürlükler Birliği'nden ortak bir mektup almıştı. "Macar hükümetinin veri konularının haklarının uygulanmasını sınırlama kararı orantısız, haksız ve halkın virüsle mücadeleye tepkisine potansiyel olarak zararlıdır."
GDPR formüle edildiğinde - 25 Mayıs 2018'de yürürlüğe girmeden ve yürürlüğe girmeden önce - veri konularının erişim, düzeltme, itiraz etme, kısıtlama ve kişisel bilgilerinin silinmesini sağlaması öngörülmüştü. Ancak Macar hükümeti, üye devletlerin kamu güvenliğinin korunması için gerekli olması halinde bu hakları kısıtlamasına izin verildiğini belirten GDPR mevzuatının 23. Maddesi sayesinde bu eylemi gerçekleştirebilmiştir.
Ek olarak, Avrupa Veri Koruma Kurulu ("EDPB"), Avrupa Birliği'nin birçok üye devletinde olağanüstü hal ışığında GDPR'nin 23. Maddesinin uygulanmasına ilişkin kılavuzlar yayınlamayı planladığını belirtti.
COVID-19 salgını başladığından beri her şey son derece hızlı ilerliyor ve Avrupa Birliği'nin Genel Veri Koruma Yönetmeliğini (GDPR) nasıl etkilediğini düşünmek için çok az zaman oldu.
Kuruluşların ve yetkililerin, acı çeken herkese ellerinden geldiğince yardım etmeye çalışırken, kriz sırasında kişisel verileri işlemelerinin istenmesini beklemek anlaşılabilir ve tamamen mantıklıdır. Verilerin işlenmesi ve özel bilgilerin olası ihlalleri söz konusu olduğunda veri otoritelerinin makul olması beklense de, her zaman bulunması gereken bir dizi anahtar koşul vardır.
Veri koruma önlemlerinin, bireylerin ve grupların kriz sırasında uygun miktarda bakımı almasını engellememesini sağlamak hayati derecede önemlidir ve bunun gerçekleşmesi için veri işlemenin büyük olasılıkla yapılması gerekecektir. Bununla birlikte, kişisel verilerin kullanımını içeren tüm adımlar ve politika kararları gerekli, orantılı olmalı ve söz konusu yargı alanındaki uygun yetkililer tarafından sağlanan rehberlik kullanılarak formüle edilmelidir.
COVID-19 Salgını Sırasında Temel GDPR Hususları
1. Veri İşlemenin Yasal Dayanağı
Mevzuatta bunun gibi bir kriz anında kişisel özel verilerin işlenmesine izin veren bir dizi madde bulunmaktadır. Örneğin, bir halk sağlığı otoritesi belirli bir görevi tamamlamak için rehberlik yayınlarsa veya belirli bir tedavi sağlarsa, GDPR'nin 9 (2) (i) Maddesi ve 2018 Veri Koruma Yasası'nın 53.Bölümü , sağlık dahil olmak üzere kişisel verilerin işlenmesine izin verir.
Ancak, bu yalnızca uygun güvenlik önlemleri uygulandığında yasaldır (bu konuda daha fazlası aşağıda). Bu önlemler şunları içerecektir:
Verilere erişim için net tanımlanmış bir dönem ve kurallar
Veriler için katı zaman sınırları
Personeli, GDPR yükümlülüklerinden haberdar olmalarını sağlamak için eğitmek
2. COVID-19 Salgını Sırasında İşverenin Yükümlülükleri
İşverenler, gerekli ve orantılı bir adım olarak kabul edilirse - İş Güvenliği, Sağlık ve Refah Yasası 2005 ve GDPR Madde 9 (2) (b) uyarınca çalışanlarını korumak istiyorsa kişisel verilerin işlenmesine izin vermelidir.
Bu yükümlülüklere paralel olarak, ihlallerin meydana gelmesini önlemek için işlenen tüm kişisel veriler gizli kalmalıdır. Örneğin, bir personelin veya ailelerinin halihazırda koronavirüsten muzdarip olması durumunda asla ifşa edilmemeli veya kimliğin tespit edilebilmesi için yeterli bilgi sağlanmamalıdır.
3. Yetkisiz Kişilere İlişkin Verilerin İşlenmesi
Bir bireyin özel kişisel verilerinin kendi çıkarına veya başka bir tarafın çıkarına olduğu gösterilebiliyorsa, işlemenin yasal bir temeli vardır. Örneğin, bir kişi fiziksel veya yasal olarak rızasını veremiyorsa, verileri bu temel kullanılarak işlenebilir.
Bununla birlikte, bu yalnızca verilerin işlenmesi için başka bir yasal dayanak yoksa kabul edilebilir ve bu yalnızca acil durumlarda geçerlidir.
4. Veri İşlemenin Kaydedilmesi
Veri işleyen herkes (veri denetleyicileri) mevcut kriz sırasında veri işleme adımlarını uygulamak için karar verme sürecini kaydetmelidir. Bunun net bir kaydı tutulmalıdır, böylece herhangi bir sorun ortaya çıkarsa daha sonraki bir tarihte başvurulabilir.
Bu aynı zamanda bu işlemin% 100 şeffaf olmasına izin verecektir. Veri işlemenin amacını dahil etmek ve verilerin ne kadar süreyle saklanacağını belirtmek çok önemlidir. Bununla ilgili herhangi bir sorgu varsa, yukarıda belirtilenler veri sahibine kısa, kolay erişilebilir ve anlaşılması kolay bir şekilde sağlanabilir.
5. Bireylerin Gizliliği
Bunu yapmak için açık ve dikkatli bir şekilde gerekçelendirilmiş bir dayanak olmadığı sürece, etkilenen kişilerin kimliğinden hiç kimse haberdar edilemez. Bir kimlik ifşa edilirse, bu, verilerin güvenliğini sağlayacak şekilde yapılmalıdır.
Bu, açıklamanın amacına ulaşmak için yalnızca mümkün olan en küçük miktarda verinin erişilebilir olmasını sağlayarak daha ulaşılabilirdir.
İsveç'te Veri Koruma Kurumu (DPA), “uyulmaması” ile ilgili olarak 75 milyon kron (8 milyon ABD $) Genel Veri Koruma Yönetmeliği Cezası yaptırım kararı aldı.
Bu adım, Google'ın unutulma hakkı talepleri doğrultusunda arama sonucu bağlantılarını kaldırması istendiğinde sürekli olarak yetersiz kaldığı bildirildikten sonra atılmıştır. Buna ek olarak, DPA, Google'ın web sitesi sahiplerine, taleplerinin tamamlanmasının ardından URL'lerinin indekslerinin kaldırılmak üzere olduğunu bildirmeyi bırakmasını talep ettiğinde şaşırtıcı bir hareket oldu.
25 Mayıs 2018'de GDPR'nin yürürlüğe girmesinden çok önce kurulan unutulma hakkı yönetmeliği kapsamında, potansiyel olarak "zarar verici" bilgiler içeren belirli web sayfalarının listeden kaldırılmasına olanak tanıyan bir süreç başlatıldı. Temelde, Google ve diğer arama motorları ile iletişim hakkı ile ilgili bilgilerin Arama Motoru Sonuç Sayfalarından kaldırılmasını isteyenlere izin verdi. Kararın 2014'te yürürlüğe girmesinden bu yana, Google'a milyonlarca indeks kaldırma talebi gönderildi. Ancak şimdiye kadar bu taleplerin% 45'inden azı işleme alındı. 2018 yılında, unutulma hakkı, daha önce bahsedilen GDPR ile daha da geliştirildi.
Rapor, “Google, hangi web adreslerinin arama sonucu listesinden kaldırılması gerektiğine dair çok dar bir yorum yaptı. İkinci durumda Google, arama sonucu listesini gereksiz gecikme olmaksızın kaldıramadı ”.
Rapora göre, İsveçli düzenleyici Google'ı, web sitelerinin sahiplerine bu bağlantıların kaldırılması gerektiği konusunda bilgilendirme uygulaması nedeniyle de eleştirdi ve daha sonra sahiplerin bilgileri farklı bir web adresine taşımasına izin verdi.
DPA şöyle devam etti: "Google'ın, arama sonucu listeleri kaldırıldığında site sahiplerini bilgilendirmek için yasal bir dayanağı yok ve ayrıca istek formundaki ifadeyle kişilere yanıltıcı bilgiler veriyor. Bu nedenle DPA, Google'a bu uygulamayı bırakmasını ve bu uygulamadan vazgeçmesini emrediyor. "
Rapora ve beraberindeki para cezasına cevaben bir Google temsilcisi, grubun "prensipte bu karara katılmadığını ve itiraz etmeyi planladığını" söyledi.
İsveç Veri Koruma Kurumu'nun bu hareketi, Amerikan şirketlerinin AB vatandaşlarının özel verilerini korumak için GDPR'yi daha sıkı bir şekilde uygulayan tüm AB veri koruma yetkililerine tabi hale gelmesiyle ortaya çıktı. GDPR, siber güvenliği artırmak için tasarlandı ve AB Üye Devletleri, yasayı ihlal eden şirketler için bir önceki mali yıl için 20 milyon avro veya yıllık küresel gelirin% 4'ü kadar para cezasına neden olabilecek yasanın mektubuna uygulamaya istekli görünüyor.
Birleşik Krallık'taki ilk Genel Veri Koruma Yönetmeliği (GDPR) cezası, Londra merkezli bir eczaneye Information Commissioner's Office (ICO) tarafından yaptırım uygulanmıştır.
ICO, Bilgi Komiseri Ofisi (ICO) tarafından 'veri korumaya karşı ihtiyatlı tavrı' ile ilgili olarak Doorstep Dispensaree'ye 325.000 € (İngiltere £ 275.000) para cezası verdi. Bu karar, Edgware merkezli eczane Burnt Oak Broadway'in hassas bilgileri içeren 500.000 tıbbi belgeyi güvenli olmayan ve kilitli olmayan kaplara, atık poşetlerine ve bir karton kutuya yerleştirdiği keşfedildikten sonra alındı. Bu dosyalar, iddia edilen lisanssız ve düzenlemesiz depolamayı inceleyen İlaç ve Sağlık Düzenleme Kurumu (MHRA) soruşturması sırasında tespit edildi.
ICO tarafından yayınlanan yaptırım bildirimi, dosyalara dahil edilen veri aralığının Ocak 2016'dan Haziran 2018'e kadar olan isimleri, adresleri, doğum tarihlerini, tıbbi bilgileri, NHS numaralarını ve reçeteleri içerdiğini ortaya koymuştur. Bu belgeler, veri konularının tanımlanmasına izin verebilir. ve sağlıkları ile ilgili verilere bağlı.
ICO, ihlalle ilgili olarak belgelerin “güvenli olmadığını ve gizli atık olarak işaretlenmediğini” belirten bir açıklama yayınlayarak, bazılarının “sırılsıklam olduğunu ve bir süre bu şekilde saklandıklarını belirtti. Doorstep Dispensaree'nin bakım evlerine ilaç tedarik etme işinin doğası göz önüne alındığında, etkilenen veri öznelerinin büyük bir kısmının yaşlı veya başka bir şekilde savunmasız olması muhtemel görünüyor. "
İhlalden etkilenen kişilerin kesin miktarının henüz doğru bir şekilde hesaplanmadığını söylemeye devam etti, ancak belgelerin "yaklaşık 78 bakım evi ile ilgili" olduğu tahmin ediliyor. Dedi ki: “İlgili bakım evlerinin tam sayısına bakılmaksızın, Doorstep Dispensaree'nin işinin boyutu ve dokümantasyon hacmi göz önüne alındığında, muhtemelen yüzlerce ve hatta binlerce veri öznesi etkilenmiş görünüyor. Yukarıdaki tüm faktörleri hesaba katan komiser, 275.000 £ tutarında bir ceza vermeye karar verdi. "
ICO Soruşturma Direktörü Steve Eckersley şunları söyledi: “Doorstep Dispensaree'nin özel kategori verilerini saklamasının dikkatsiz yolu, verileri kazara hasar veya kayıptan koruyamadı. Bu, yasanın beklediğinin ve insanların beklediğinin gerisinde kalıyor. "
25 Mayıs 2018'de yürürlüğe giren GDPR kapsamında, Avrupa Birliği'ndeki veri koruma ajansları, hangisi daha yüksekse, bir önceki mali yıl için 20 milyon Euro'ya veya yıllık küresel gelirin% 4'üne kadar ceza uygulayabilir.
GDPR para cezasına ek olarak, Doorstep Dispensaree'ye, ihlallerin önemi nedeniyle bir yaptırım bildirimi de yayınlandı. Bu bildirim onlara veri koruma önlemlerini iyileştirme talimatı verdi ve üç aylık bir süre ile gönderildi. İyileştirmeler bu zamana kadar uygulanmazsa, ICO'nun başka bir yaptırım eylemini onaylaması mümkündür.
Capgemini, GDPR'ye uyan şirketlerin artan müşteri katılımı ve karları sayesinde belirli avantajlardan yararlandığını gösteren yeni bir rapor yayınladı. Rapor, GDPR uyumlu kuruluşların, uyumsuzluktan ortalama %20 daha iyi performans gösterdiğini ortaya koydu. Şirket, birçok farklı pazardaki çeşitli sektörlerden 1.100 üst düzey yöneticiye anket yaptı.
Ankete katılan firmaların sadece %28'inin tamamen GDPR ile uyumlu olduğunu iddia etmesi de dahil olmak üzere bir dizi başka önemli çıkarımlar vardı. Capgemini daha sonra bu GDPR uyumlu kuruluşların performansını, tamamen uyumlu olmadığını iddia edenlerle karşılaştırdı. Grup, sonuçlardan "uyumlu firmaların yöneticilerinin %92'si kuruluşlarının GDPR sayesinde rekabet avantajı elde ettiğini söylüyor" tespit edebildi.
Capgemini, bu ankete paralel olarak, CCPA ile ilgili olarak ABD işletmelerini de araştırdı ve sonuçlar, yanıt veren şirketlerin yaklaşık %70'inin, uygulanabilir hale geldiğinde CCPA ile uyumlu olacaklarını düşündüklerini gösteriyor. Bu rakamlar, şirketlerin uyum düzeylerini kendi kendilerine değerlendiren şirketlere dayandığından, aynı koşul dikkate alınmalıdır.
GDPR ile uyumlu olduğu bilinen şirketlerin sadakat programlarına daha yüksek katılım oranı ve GDPR'nin aktif hale gelmesinden bu yana bu programdaki işlemlerin daha da büyümesi anketinde çok dikkat çekici bir sonuç ortaya çıktı. İlk beklentiler, bu sadakat programlarına katılımın düşeceği yönündeydi. Sadakat programlarına tüketici katılımı
, uyumlu perakende firmalarının %74'ünde, uyumlu olmayan firmalarda ise %54 artmıştır.
Wunderman Thompson küresel dijital ajansın gizlilik sorumlusu Rachel Glasser raporunda, “GDPR, siber güvenliği artırdı. Veriler, bunları nasıl kullandığımız ve hangi verileri kullandığımız konusunda farkındalığı artırdı. "
Diğer temel çıkarımlar şunları içerir:
Uyumlu firmaların %80'i, uyumlu olmayan firmaların %57'sine kıyasla, kampanyalarda hedeflenen veri konularının sayısının GDPR sayesinde arttığını kabul ediyor.
GDPR'nin uyumlu firmaların %83'ü için yürürlüğe girmesinden bu yana, uyumlu olmayan firmaların %63'üne kıyasla çevrimiçi satın alımlar artmıştır.
Hollanda merkezli HERE Technologies veri koruma sorumlusu Henri Kujala da raporda şunları söyledi: "Müşteriler, GDPR uyumluluğunun getirdiği çaba ve etkinin farkında ve takdir ediyor. Uyum, artan güven düzeyleri getirdi. "
