İhlallerin yönetimi

Uygulamada GDPR: Uyum ve Cezalar

Mamnoon Hadi

Head of Analytics & Insights at Readdle

Vaka incelemesi: Marriott’un GDPR ihlali

İhlalin keşfi: Eylül 2018'de Marriott International, 2014'ten beri Starwood misafir rezervasyon veritabanına yetkisiz erişim olduğunu tespit etti

Tehlikeye giren veriler: ihlal, yaklaşık 500 milyon konuğun kişisel bilgilerini açığa çıkardı; ad, adres, telefon, e‑posta, pasaport numarası, doğum tarihi, cinsiyet ve ödeme kartı bilgileri dahil

Gecikmiş bildirim: Marriott, GDPR’ın gerektirdiği 72 saat içinde Bilgi Komiserliği Ofisi’ni (ICO) bilgilendiremedi. Bu gecikme önemli düzenleyici incelemeye ve ciddi bir para cezasına yol açtı

¹ ico.org.uk

Madde 33: Denetim makamına bildirim

Temel gereklilik:
- Kuruluşlar, kişisel veri ihlalini öğrendikten sonra gecikmeksizin ve 72 saat içinde denetim makamına bildirimde bulunmalıdır
Sağlanacak bilgiler:
- İhlalin niteliği - ne oldu ve nasıl tespit edildi
- Etkilenen veri sahiplerinin kategorileri (ör. müşteriler, çalışanlar)
- Etkilenen kişisel veri türleri
- Olası sonuçlar
- Alınan veya planlanan önlemler - İhlali azaltma ve gelecekteki olayları önleme adımları

Madde 34: Veri sahipleriyle iletişim

Veri sahiplerine bildirim ne zaman gerekir:
- İhlalin, bireylerin hak ve özgürlükleri için yüksek risk oluşturması muhtemelse, etkilenen kişiler gecikmeksizin bilgilendirilmelidir
Bildirim içeriği:
- İhlalin niteliği - açık, sade bir açıklama
- Olası sonuçlar - ör. dolandırıcılık, kimlik hırsızlığı
- Kuruluşun ihlali sınırlamak için attığı adımlar
- Etkilenen kişiler için tavsiyeler - almaları gereken aksiyonlar (ör. şifre değiştirme, banka hesaplarını izleme)
- İletişim bilgileri - ek destek için belirlenmiş irtibat noktası

Vaka: etki — Marriott ihlali

Mali ceza:

Ekim 2020'de Birleşik Krallık ICO’su Marriott International’a 18,4 milyon £ ceza kesti

İtibar kaybı:

Bu ihlaller itibarı zedeler; ayrıca standart GDPR prosedürlerine uymamak güven ve marka itibarını daha da aşındırır

Operasyonel etki ve maliyet:

Marriott, ihlalin araştırılması, etkilenen müşterilerin bilgilendirilmesi, bir yıl güvenlik izleme yazılımı sağlanması ve uluslararası çağrı merkezi kurulumu dahil yaklaşık 30 milyon $ toparlanma maliyeti üstlendi

Veri ihlali yönetimi için en iyi uygulamalar

Sağlam olay müdahale planları uygulayın: ihlallerde hızlı hareket için planlar geliştirin

Çalışanları eğitin: personeli veri koruma ilkeleri ve ihlal bildirim süreçleri konusunda bilgilendirin

Açık iletişim kanalları sürdürün: düzenleyiciler ve etkilenen kişilerle zamanında ve şeffaf iletişim sağlayın

Güvenlik önlemlerini düzenli gözden geçirin: protokolleri sürekli değerlendirin ve güçlendirin

Kök neden analizi ve dokümantasyon: temel sorunları belirleyin ve ayrıntılı kayıt tutun

Hadi pratik yapalım!

Uygulamada GDPR: Uyum ve Cezalar