Basit veri aktarımının amacı: veri koruma için bir kalite mührü olarak belgelendirme
14 Şubat 2023’te Avrupa Veri Koruma Kurulu (EDPB), veri dışa aktarma sertifikasyonuna ilişkin yönergeleri kabul etti. Sertifikalar, Avrupa dışındaki ülkelere veri aktarımını sağlamak için önemli bir araç haline gelebilir.
Verileri dışa aktarırken dikkatli olun
Veri dışa aktarımı zor bir konudur: Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Ekonomik Alanı’nda (AEA) yüksek düzeyde veri koruması sağlar. Veriler, daha düşük veri koruma düzeyine sahip ülkelerde işlenmek üzere kolayca ihraç edilebiliyorsa, bu koruma tehlikeye girebilir. Bu nedenle GDPR, kişisel veriler AEA dışına gönderildiğinde yüksek engeller koyar.
Mal ihraç eden, BT hizmet sağlayıcılarını görevlendiren veya EEA dışındaki ortaklarla çalışan bir Alman şirketi, kişisel verilerini yabancı ortağa göndermeden önce dikkatli davranmalıdır. Ortak Birleşik Krallık, İsviçre veya İsrail’de bulunuyorsa, durum AEA’dakine benzer. AB Komisyonu, yeterli düzeyde veri koruması olduğunu belirlemiştir.
Ancak, veriler örneğin Hindistan, Brezilya veya Çin’deki bir alıcıya gidecekse, bu geçerli değildir. Alman veri ihracatçısı daha sonra verilerin hedef ülkede nasıl işlendiğini, hangi yasal hükümlerin geçerli olduğunu, yasal uygulamanın ne olduğunu, yerel makamların hangi erişim seçeneklerine sahip olduğunu ve veri alıcısının hangi sözleşmeye dayalı, teknik ve organizasyonel güvenlik önlemlerine sahip olduğunu kontrol etmelidir. varış ülkesinde alınır.
Böyle bir test, büyük şirketler için bile karmaşıktır. Çin’deki Kişisel Bilgileri Koruma Yasası (PIPL), Hindistan’daki Dijital Kişisel Verileri Koruma Yasası taslağı veya Brezilya’daki LGPD gibi veri koruma yasalarıyla uğraşmak zaman alıcıdır. Bu, özellikle orta ölçekli şirketler için zor olabilir. Bu nedenle bazıları veri dışa aktarımını tamamen ortadan kaldırır veya veri alıcılarının asılsız vaatlerine güvenir.
Sertifika güvenlik oluşturur
Bu gibi durumlarda artık sertifikasyon devreye giriyor. GDPR, verileri dışa aktarırken sertifikaları etkinleştirir. Örneğin, Bombay’daki bir BT hizmet sağlayıcısı, verilerin orada yeterince korunup korunmadığını bir Alman sertifika kuruluşuna kontrol ettirebilir. Sertifikasyon daha sonra bir kalite mührü gibi davranır.
Bununla birlikte, veri koruma uygulamasında, sertifikasyonun henüz büyük bir önemi olmamıştır. Veri dışa aktarma alanında, bu gelecekte değişebilir. Avrupa Veri Koruma Kurulu’nun yeni yönergeleri artık böyle bir sertifikanın nasıl olması gerektiğini belirtiyor. Bu, örneğin Hindistan, Brezilya ve Çin gibi üçüncü ülkelerdeki mevzuatın ve yasal uygulamanın hassas bir şekilde incelenmesini içerir. Yapılan inceleme hukuki durumun tek başına yeterli korumayı sağlamadığını gösteriyorsa ek koruyucu önlemler alınması gerekir. Bu durumda, önlemlerin uygulanmasını kontrol etmek ve bunu doğrulamak onaylayıcının görevidir. Bu test sertifikasyonun önemli bir parçasıdır.
Sertifikayı veren kişi, verileri içe aktaranın hangi yükümlülükleri üstlendiğini de kontrol edecektir. Ayrıca veri sahiplerinin – yani verileri dışa aktarılan kişilerin – hangi hakları ileri sürebileceğini de kontrol eder. Burada, örneğin Hindistan’daki bir veri ithalatçısının Almanya’da bir yargı yeri üzerinde anlaşmaya varması yardımcı olur. Alman veri sahibinin üçüncü ülkedeki bir veri koruma makamına şikayette bulunma fırsatının olup olmadığı da inceleme için önemlidir.
Özel durum ABD
Yönergelerin başlangıçta önemli bir veri ihracatı alanı için bir anlamı olmayacaktır: ABD için. AB Komisyonu ve ABD hükümeti burada ayrı düzenlemeler üzerinde anlaştılar. AB Komisyonu şu anda yeterlilik kararını hazırlıyor. Bunun 2023’te yayınlanması bekleniyor. ABD şirketlerinin bu temelde ilerlemesi ve Almanya’da sertifika aramaması daha olası.
Ücretsiz iX haber bültenini zaten biliyor musunuz? Şimdi kaydolun ve aylık çıkış tarihinde hiçbir şeyi kaçırmayın: Haber/s/NY1E Bir sonraki sayı, March iX’in ana konusu hakkında olacak: geçiş anahtarlarıyla kimlik avına karşı korumalı oturum açma.
uygulamada uygulama
Hindistan, Çin veya Brezilya gibi ülkelerden ve ayrıca Güney Afrika, Vietnam veya Endonezya’dan şirketler için sertifika, Avrupa’dan veri aktarımını mümkün kılmak için önemli bir araçtır – bunu önemli ölçüde kolaylaştırır. Uygulamada, birçok onaylayıcının artık veri ihracatı alanı için kendilerini akredite etmesi ve ardından bu üçüncü ülkelerdeki birçok şirketin bu onay mührünü alma fırsatını yakalaması önemlidir.
(fo)
Haberin Sonu