Veri Koruma ve Dijital Bilgi Yasası – değişiklikler nelerdir?

   Ağustos 7, 2023  Posted in ITSecurityGuru


Her gün, Veri Korumanın karmaşık dünyasında yol alan kuruluşların ve bireylerin karşılaştığı zorluklara kendimi kaptırıyorum. Son zamanlarda, hükümetin yasa tasarısı için bir sallama programı yayınlamasının ardından, Veri Koruma ve Dijital Bilgi Yasasını çevreleyen gelişmeler bu durumu daha da artırdı.

Komplikasyonlar ve Hususlar

Reform yasa tasarısını gözden geçirdiğimde, itiraf etmeliyim ki, ilk izlenimim bir hayal kırıklığıydı. Birleşik Krallık hükümeti tarafından önerilen değişiklikler, meseleleri gereksiz yere karmaşıklaştırıyor ve oyunda bir miktar üstünlük kompleksi olup olmadığını merak etmeye yol açıyor. Bazı önemli değişikliklere ve bunların olası sonuçlarına daha yakından bakalım.

  1. Veri Koruma Görevlisinden (DPO) “Kıdemli Sorumlu Kişiye”: Tasarı, DPO’nun unvanının “Kıdemli Sorumlu Kişi” olarak değiştirilmesini öneriyor. Bu değişiklik önemsiz görünebilir, ancak altta yatan motivasyonlar hakkında soru işaretleri uyandırır. Rolün yeniden adlandırılması, yanlışlıkla pozisyonla ilgili önemi ve uzmanlığı sulandırabilir ve potansiyel olarak kuruluşlardaki Veri Koruma uygulamalarının etkinliğini baltalayabilir.
  2. Veri Koruma Etki Değerlendirmesinden (DPIA) “Yüksek Riskli İşleme Değerlendirmesine”: Benzer şekilde, DPIA’dan “Yüksek Riskli İşlemenin Değerlendirilmesi”ne önerilen değişiklik, gereksiz karmaşıklığı beraberinde getirir. DPIA terimi, endüstride geniş çapta tanınmakta ve anlaşılmaktadır ve bu terimin değiştirilmesi, uyum için kafa karışıklığına ve ek engellere neden olabilir.
  3. “Veri Koruma Testine” Yeterlilik Kararı: Uluslararası veri aktarımları söz konusu olduğunda yeterlilik kararı kavramı hayati önem taşır. Ancak tasarı, bunun “Veri Koruma testi” terimiyle değiştirilmesini öneriyor. Sağlam Veri Koruma yasalarına duyulan ihtiyacı vurgulamak övgüye değer olsa da, yasa tasarısının “maddi olarak daha düşük” Veri Koruma yasalarına sahip oldukları sürece herhangi bir ülkeye yeterlilik sağlama konusundaki istekliliği endişe uyandırıyor. Veri aktarımlarının kişilerin hak ve özgürlüklerinden taviz vermemesini sağlamalıyız. Ayrıca bence en büyük endişe İngiltere’nin AB ile olan yeterlilik kararına olası bir tehdittir.
  4. RoPA’ların “sulanması”: En şaşırtıcı değişikliklerden biri, kişisel veri işlemenin bireylerin hakları ve özgürlükleri için yüksek risk oluşturduğu durumlar dışında, İşleme Faaliyetleri Kayıtlarının (ROPA) kaldırılmasıdır. Daha önceki bir podcast bölümünde (118) kapsamlı olarak tartıştığımız gibi, ROPA’lar bir kuruluşun Veri Koruma uygulamalarının belkemiğidir. Bir kuruluşun veri işleme faaliyetlerinin çeşitli yönlerini şekillendirmede ve etkilemede çok önemli bir rol oynarlar. ROPA gerekliliğinin kaldırılması mantığa aykırı görünüyor ve istenmeyen sonuçlara yol açabilir.
  5. Ek yasal dayanak: Devlet bakanı tarafından önerilen potansiyel yeni bir yasal temel var. Buna ‘Tanınan Meşru Menfaat’ denir. Bunlar aşağıdaki gibidir:
    • doğrudan pazarlama amaçları için gerekli olan işleme,
    • dahili idari amaçlar için gerekli olduğu durumlarda kişisel verilerin (müşteriler, çalışanlar veya diğer bireylerle ilgili olsun) grup içi iletimi ve
    • ağ ve bilgi sistemlerinin güvenliğini sağlamak amacıyla gerekli olan işleme.

Şimdi, ilk bakışta bu o kadar da kötü bir fikir gibi görünmeyebilir, ancak lütfen bu konudaki endişelerimi açıklarken bana katlanın.

AB Komisyonu daha önce, GDPR, 29. Madde Çalışma Grubu/EDPB yönergeleri ve Avrupa Adalet Divanı’nın (CJEU) içtihatları ile uyumlu olmadığını düşünerek, Hollanda veri koruma makamının meşru çıkarları katı şekilde yorumlamasıyla ilgili endişelerini dile getirmişti. ). Endişeler, 2019’da Autoriteit Persoonsgegevens’in (Hollanda Denetleme Kurumu) rehberlik konularına odaklanıyor ve kârın maksimize edilmesi gibi tamamen ticari amaçların meşru bir çıkar olarak kabul edilmeyeceğini belirtiyor.

Esasen, söylemeye çalıştığım şey, AB Komisyonu’nun karları maksimize etmek gibi tamamen ticari amaçların ‘meşru menfaat’ olarak kabul edilmeyeceğine dair endişelerini dile getirmesi ve buna rağmen yeni DPDI yasa tasarısında “tanınmış meşru menfaat” maddesinin eklenmesi önerisi var. çıkarları” ek bir yasal dayanak olarak – bunlardan biri doğrudan pazarlama için gerekli olan işlemedir. Bunun tamamen ticari amaçlar olduğunu iddia edemez misiniz?

Benim görüşüme göre bu, Birleşik Krallık’ın yeni yasa tasarısı onaylanırsa/onaylanırsa AB ile yeterlilik kararını riske atmasına ilişkin halihazırda sahip olduğum endişeleri artırıyor.

Uzman Görüşleri

Komite aşamasında Veri Koruma ve Dijital Bilgi Yasa Tasarısı’nın incelenmesi sırasında, Birleşik Krallık Bilgi Komiserliği Ofisi komiseri John Edwards içgörülerini paylaştı. İşte onun ifadesinden önemli çıkarımlar:

  1. Tanımların Açıklığı: Edwards, tasarının tanımlarında “yüksek riskli faaliyet” gibi terimler etrafında daha fazla netlik ihtiyacının altını çizdi. Bu tanımlardaki belirsizlikler, etkin uygulama ve uyumluluğu engelleyebilir.
  2. Yeterliliğe Tehdit Yok: Komiser, “tasarıda yeterliliği tehdit eden hiçbir şey olmadığı” konusunda bize güvence verdi. Bu biraz rahatlama sağlasa da, uluslararası sınırları aştığında bireylerin verilerini korumak için tetikte olmalıyız.
  3. Meşru Menfaatte Açıklığın Önemi: Edwards, “meşru çıkar” terimindeki netliğin önemini vurguladı. İşletmelere, meşru menfaatin ileri sürülebileceği açık yönergeler ve koşullar sağlamak, belirsizliği azaltır ve uyumluluğu destekler.
  4. ICO’nun Yeni Rolü: Edwards, ICO’nun yeni rolünden duyduğu heyecanı dile getirerek onu “güçlendirilmiş vatandaş”ın bir destekçisi olarak konumlandırdı. Bu, bireylerin haklarını koruma ve veri işleme uygulamalarında şeffaflığı teşvik etme taahhüdünü göstermektedir.
  5. Vatandaş Hakları ve Erişim: Daha da önemlisi, Edwards, yasa tasarısının vatandaşların haklarına erişim konusunda, ücret alma olasılığı da dahil olmak üzere, herhangi bir zorluk oluşturmadığını belirtti. Bu güvence, bireylerin Veri Koruma haklarını etkili bir şekilde kullanabilmelerini sağlamaya yönelik devam eden taahhüdümüzün altını çizmektedir.

Sonuç olarak, Veri Koruma ve Dijital Bilgi Yasası, Veri Koruma topluluğu içinde hem övgü hem de endişe yarattı. Veri Koruma uygulamalarının bir savunucusu olarak, önerilen bazı değişikliklerin meseleleri basitleştirmek yerine karmaşıklaştırdığını kabul etmeliyim. Anahtar rolleri yeniden adlandırmak, terminolojiyi değiştirmek ve ROPA’lara olan gereksinimi kaldırmak, Veri Koruma önlemlerinin etkinliği ve şeffaflığı hakkında geçerli endişeler doğurur.

Veri Korumanın işbirliğine dayalı bir çaba olduğunu ve sesinizin önemli olduğunu unutmayın. Dijital çağda bireyleri güçlendirerek ve haklarını koruyarak sürekli değişen manzarada birlikte yol almaya devam edelim.

İle Joe Kirk, Veri Koruma Destek Masası Danışmanı – Veri Koruma Çalışanları



Source link