Menkul Kıymetler ve Borsa Komisyonu (SEC), tüketicilerin kamuya açık olmayan kişisel bilgilerinin belirli finansal kuruluşlar tarafından işlenmesini düzenleyen kuralları modernleştirmek ve geliştirmek amacıyla SP Düzenlemesinde değişikliklerin kabul edildiğini duyurdu.
Değişiklikler, teknolojinin artan kullanımını ve bu tarihten bu yana ortaya çıkan ilgili riskleri ele almak amacıyla komisyoncu-satıcılara (fon portalları dahil), yatırım şirketlerine, kayıtlı yatırım danışmanlarına ve transfer acentelerine (topluca, “kapsam dahilindeki kurumlar”) yönelik kuralların gerekliliklerini günceller. Komisyon ilk olarak SP Düzenlemesini 2000 yılında kabul etti.
SEC Başkanı Gary Gensler, “Son 24 yılda veri ihlallerinin doğası, ölçeği ve etkisi önemli ölçüde değişti” dedi. “SP Yönetmeliğinde yapılan bu değişiklikler, ilk olarak 2000 yılında kabul edilen bir kurala kritik güncellemeler yapacak ve müşterilerin mali verilerinin gizliliğinin korunmasına yardımcı olacaktır. Kapsam dahilindeki firmalar için temel fikir, eğer bir ihlal varsa, bunu bildirmeniz gerektiğidir. Bu yatırımcılar için iyi bir şey.”
Değişiklikler, kapsam dahilindeki kurumların, müşteri bilgilerine yetkisiz erişim veya bu bilgilerin yetkisiz erişimini tespit etmek, yanıt vermek ve bu bilgileri kurtarmak için makul şekilde tasarlanmış bir olay müdahale programına yönelik yazılı politikalar ve prosedürler geliştirmesini, uygulamasını ve sürdürmesini gerektirmektedir. Değişiklikler aynı zamanda yanıt programının, belirli sınırlı istisnalar dışında, kapsam dahilindeki kurumların, hassas müşteri bilgilerine izinsiz olarak erişilen veya kullanılması muhtemel olan kişilere bildirimde bulunmasına yönelik prosedürler içermesini de gerektirmektedir.
Değişiklikler, kapsam dahilindeki bir kurumun, müşteri bilgilerine izinsiz erişim veya bu bilgilerin yetkisiz kullanımını içeren bir olayın meydana geldiğini veya meydana gelme ihtimalinin makul olduğunu öğrendikten sonra mümkün olan en kısa sürede, ancak en geç 30 gün içinde bildirimde bulunmasını gerektirmektedir. Bildirim, olayla, ihlal edilen verilerle ve etkilenen bireylerin kendilerini korumak için ihlale nasıl tepki verebileceğiyle ilgili ayrıntıları içermelidir.
Değişiklikler Federal Sicilde yayınlandıktan 60 gün sonra yürürlüğe girecektir. Daha büyük kuruluşların değişikliklere uymak için Federal Kayıt’ta yayınlanma tarihinden itibaren 18 ayları, daha küçük kuruluşların ise değişikliklere uymak için Federal Kayıt’ta yayınlanma tarihinden itibaren 24 ay süreleri olacak.