Bir Veri Sahibi Erişim İsteğine Nasıl Yanıt Verileceğine İlişkin En İyi İpuçları
Yayınlanan: 2022-07-19Şirketiniz bir veri sahibi erişim talebi (DSAR) alırsa, derhal ve doğru şekilde yanıt vermeniz önemlidir. Bunun yapılmaması, Bilgi Komiserliği Ofisi'nin (ICO) ceza almasına neden olabilir. Bu blog yazısında, DSAR'lara zamanında ve verimli bir şekilde nasıl yanıt verileceği konusunda size ipuçları vereceğiz.
Veri Sahibi Erişim Talebi (DSAR) nedir?
Kaynak
DSAR, bir kişiden kendisi hakkında bir organizasyon tarafından tutulan bilgi talebidir. Bu, adlarını, iletişim bilgilerini veya kuruluşun dosyada sahip olduğu diğer kişisel verileri içerebilir. GDPR, bireylere bir DSAR yapma hakkı verir ve kuruluşların bir ay içinde yanıt vermesi gerekir.
Bir kişi sözlü olarak bir DSAR yaparsa, kuruluş onlara beş gün içinde yazılı onay vermelidir. Ulusal güvenlik veya cezai soruşturmalar dahil olmak üzere DSAR yapma hakkına ilişkin bazı istisnalar vardır. Bununla birlikte, çoğu durumda, bireylerin verilerine erişme hakkı vardır. DSAR yapmakla ilgili herhangi bir sorunuz varsa, yerel Veri Koruma Kurumunuzla iletişime geçin.
Bir DSAR'a Yanıt Vermek İçin Temel İpuçları
Etkili bir şekilde yanıt vermenize yardımcı olacak on ipucu:
- DSAR'ı Dikkatlice Okuyun: Bir DSAR aldığınızda, dikkatlice okumak için zaman ayırın. Bu, kişinin hangi bilgileri istediğini ve bu bilgileri sağlayıp sağlayamayacağınızı anlamanıza yardımcı olacaktır.
- Talep Sahibinin Kimliğini Kontrol Edin: Herhangi bir DSAR'ı yerine getirmeden önce, talepte bulunan kişinin söylediği kişi olduklarından emin olmak için kimliğini kontrol etmelisiniz. Bu, devlet tarafından verilmiş bir kimlik istenerek veya kimliklerini başka bir yöntemle onaylayarak yapılabilir.
- Talebin Geçerli olup olmadığını Belirleyin: Talepte bulunanın kimliğini doğruladıktan sonra, talebin geçerli olup olmadığını belirlemeniz gerekecektir. Bu, kişinin veri koruma kanunu kapsamında talep edilen bilgilere erişim hakkının sağlanması anlamına gelir.
- Talep Edilen Bilgileri Toplayın: DSAR'ın geçerli olduğunu belirlerseniz, talep edilen bilgileri toplamanız gerekecektir. Bu, kuruluşunuzda ilgili verilere erişimi olan diğer departmanlar veya kişilerle çalışmayı gerektirebilir.
- Yanıtı Hazırlayın: İstenen tüm bilgileri topladıktan sonra yanıtınızı hazırlamanız gerekecektir. Bu, sağlanan bilgileri ve destekleyici belgeleri özetleyen bir ön yazı içermelidir.
- Yanıtı Gözden Geçirin: Yanıtınızı göndermeden önce, istenen tüm bilgilerin dahil edildiğinden ve doğru olduğundan emin olmak için gözden geçirmelisiniz. Ayrıca yanıttaki hiçbir şeyin bireye veya verilerine potansiyel olarak zarar vermediğinden emin olmak için kontrol etmelisiniz.
- Yanıtı Gönder: Yanıtınızı gözden geçirip sonlandırdıktan sonra, istekte bulunan kişiye göndermeniz gerekecektir. Bu, posta, e-posta veya DSAR'da belirtilen başka bir yöntemle yapılabilir.
- Talep ve Yanıtın Kaydını Tutun: Herhangi bir soru veya sorun olması durumunda hem DSAR'ın hem de yanıtınızın kaydını tutmak önemlidir. Bu, aldığınız ve yanıtladığınız tüm DSAR'ları izlemenize de yardımcı olacaktır.
- İhtiyacınız Varsa Yardım İsteyin: Bir DSAR'a nasıl yanıt vereceğinizden emin değilseniz veya başka sorularınız varsa, nitelikli veri koruma uzmanından yardım almalısınız. Size ilerlemenin en iyi yolu konusunda tavsiyede bulunabilecek ve yanıtınızın veri koruma yasasına uygun olmasını sağlayabileceklerdir.
- Basit ve açık tutun : Birey, kendisi hakkında hangi kişisel verilerin tutulduğunu, neden tutulduğunu ve nasıl kullanıldığını bilme hakkına sahiptir. Bu bilgileri açık ve net bir şekilde vermelisiniz.
- Şeffaf olun: Süreç ve bireyin sizden neler bekleyebileceği konusunda açık olun. Taleplerinin yerine getirilmesinde herhangi bir gecikme olup olmayacağını ve nedenini onlara bildirin.
- Hiçbir şeyi saklamaya çalışmayın: Birey, üzerinde tuttuğunuz tüm bilgilere sahip olma hakkına sahiptir, bu nedenle hiçbir şeyi saklamaya çalışmayın. Bu, yalnızca kişiyle olan ilişkinize zarar verir ve yasal işlem yapılmasına yol açabilir.
- Gizli tutun: Bir veri sahibi erişim talebine yanıt olarak sağlanan tüm bilgiler gizli olmalıdır. Bu, hem talebin kendisini hem de yanıt olarak sağladığınız bilgileri içerir.
- Zaman sınırı içinde yanıt ver : Bir veri sahibi erişim talebine, onu aldıktan sonra bir ay içinde yanıt vermelisiniz. Bu son tarihe yetişemiyorsanız, bireye bildirin ve nedenini açıklayın.
- Bilgileri anlaşılması kolay bir formatta sağlayın : Birey, verilerini kolayca okunabilir ve anlaşılabilir bir formatta alma hakkına sahiptir. Mümkün olduğunca jargon veya teknik dilden kaçının.
- Varsayımlarda bulunmayın : Her veri sahibi erişim talebi farklıdır. Bireyin ne istediği veya ihtiyaç duyduğu veya sağladığınız bilgileri nasıl kullanacakları hakkında varsayımlarda bulunmayın.
Bir DSAR Yanıtına Hangi Bilgiler Dahil Edilmelidir?
Kaynak
Bir Veri Sahibi Erişim Talebi (DSAR) yanıtı, bir bireyde tutulan tüm kişisel verileri içermelidir. Bu veriler, ad, adres, doğum tarihi veya iletişim bilgileri gibi bir kişiyi tanımlamak için kullanılabilecek her türlü bilgiyi içermelidir.
Ayrıca, yanıt, bir kişi hakkında, göz atma geçmişi veya satın alma geçmişi gibi toplanan bilgileri içermelidir. Son olarak, yanıt, bir bireyin verilerine yetkisiz kişiler tarafından erişilmesini önlemek için hangi adımların atıldığını da açıklamalıdır.
Bu bilgiyi sağlayarak, bir DSAR yanıtı, bir bireyin verilerinin korunmasını ve şeffaflıkla örtülmesini sağlamaya yardımcı olur.
Veri Sahibi Erişim İsteklerini Derlemek ve İncelemek için İpuçları
GDPR, kuruluşlara, konu erişim talepleri (SAR'lar) dahil olmak üzere kişisel verileri işleme konusunda katı yükümlülükler getirir. SAR'ları derlemek ve gözden geçirmek için en iyi ipuçlarımız:
- SAR'ları yönetmekten sorumlu özel bir ekibiniz veya bireye sahip olduğunuzdan emin olun. Bu, taleplerin derhal ve GDPR'ye göre ele alınmasını sağlamaya yardımcı olacaktır.
- Veri öznesinin tanımlanması, kimliğinin doğrulanması ve ilgili bilgilerin bulunması için açık bir süreç de dahil olmak üzere, SAR'larla ilgilenmek için prosedürleri uygulamaya koyun.
- Bu süreyi uzatmak için iyi bir neden olmadıkça, SAR'lara bir ay içinde yanıt verin. Süreyi uzatmanız gerekiyorsa, talebini aldıktan sonra bir ay içinde ilgili kişiye bildirimde bulunmalısınız.
- Talepleri takip etmek ve derhal ele alınmasını sağlamak için bir sisteminiz olduğundan emin olun.
- SAR'lara yanıt verirken, özellikle sağladığınız bilgiler ve verdiğiniz kararların nedenleri konusunda mümkün olduğunca spesifik olun.
- Bir veri öznesinden bilgi saklamayı düşünüyorsanız, bunu yapmak için geçerli bir yasal dayanağa sahip olmanız gerektiğini unutmayın.
- Alınan tüm SAR'ların kayıtlarını, bunların nasıl ele alındığı ve sonuçları da dahil olmak üzere saklayın. Bu, süreçlerinizin iyileştirilebileceği alanları belirlemenize yardımcı olacaktır.
- Amaca uygun olduklarından ve GDPR ile uyumlu olduklarından emin olmak için prosedürlerinizi düzenli olarak gözden geçirin.
- Büyük hacimli verilerde arama yapmanızı gerektirebilecek karmaşık SAR'larla uğraşmaya hazır olun. Bu zaman alıcı ve kaynak yoğun olabilir, bu nedenle planlama önemlidir.
- Bir SAR'ın nasıl ele alınacağından emin değilseniz veya talebin asılsız veya aşırı olduğuna inanıyorsanız yasal tavsiye alın.
Veri Sahibi Erişim Talebine Cevap Vermemenin Tehlikeleri
Kaynak
Bir veri sahibi erişim talebine yanıt vermemeyi seçerseniz GDPR'yi ihlal edebilirsiniz. Bu, hangisi daha büyükse, 20 milyon Euro'ya veya küresel yıllık gelirinizin yüzde dördüne kadar para cezasıyla sonuçlanabilir. Ek olarak, talebi gönderen kişiye tazminat ödemeniz gerekebilir.
Bir veri sahibi erişim talebine yanıt vermemek de kuruluşunuzu itibar kaybı riskine sokar. GDPR'ye uymadığınız duyulursa, kişiler kuruluşunuza olan güvenini kaybedebilir ve işlerini başka bir yere götürmeyi seçebilir. Bu, alt satırınızda önemli bir etkiye sahip olabilir.
Ek olarak, bir veri sahibi erişim talebine yanıt vermemek, veri minimizasyonu ve veri doğruluğu gibi diğer GDPR gereksinimlerine uyma yeteneğinizi engelleyebilir. İstenen bilgilere sahip değilseniz, bu ilkelere uymanız mümkün olmayacaktır. Bu, denetim makamından ek para cezalarına yol açabilir.
Son olarak, aynı zamanda kuruluşunuzun müşterisi veya çalışanı olan bir kişiden veri konusu erişim talebi alırsanız, yanıt vermemek bu ilişkiyi tehlikeye atabilir. Kişi, mahremiyetine değer vermediğinizi hissedebilir ve kuruluşunuzla olan ilişkisini sonlandırmayı seçebilir.
Gördüğünüz gibi, bir veri sahibi erişim talebine yanıt verememekle ilgili birçok risk vardır. Böyle bir talep alırsanız, uygun adımları attığınızdan emin olmak için hukuk danışmanına danışmanız önemlidir.
Çözüm
Bir veri sahibi erişim talebine yanıt vermek göz korkutucu olabilir, ancak yasalara uymak önemlidir. Bu ipuçlarını takip ederek, müşteri isteklerine yanıt verebileceksiniz. Hiç bir veri sahibi erişim talebiyle ilgilendiniz mi? Deneyimin neydi? Bilmemize izin ver!
This content has been Digiproved © 2022 Tribulant Software