bildirim
Garantör, kararlar aslında profesyonele kalmış olsa bile, bir veri ihlali durumunda bir öz değerlendirme aracı sunmuştur. İkincisi, ilgili tarafların (ilgili kişilerin) hakları ve özgürlükleri için bir risk teşkil etme olasılığının düşük olduğunu düşünmediği sürece Garantör’e ihlali bildirmelidir. Uzman, olayın bireylerin hakları açısından yüksek bir risk içerdiğini düşünürse, örneğin verileri şifrelemek gibi riski azaltmak için önlemler almadığı sürece, bunu onlara da iletmelidir.
Profesyonel ayrıca, ilgili verilerin niteliğini, hassasiyetini ve hacmini göz önünde bulundurarak olaydan insanlara fiziksel, maddi veya manevi zararın neden olup olmayacağını da değerlendirmelidir. Çalışanların sağlık veya sendika üyeliğine ilişkin veriler onları yüksek riske maruz bırakmaktadır.
Ancak ad, soyad, ikametgah, e-posta, telefon gibi yaygın kişisel veriler bile belirli durumlarda risk oluşturabilir. Verilere sahip olan üçüncü kişilerin bunları başkaları ile birleştirip kötüye kullanıp kullanamayacağı değerlendirilmelidir. E-posta adresi tek başına yüksek bir risk oluşturmaz, ancak bir kişinin belirli bir profilinin oluşturulmasına izin veren diğer verilerle ilişkilendirilirse, kişiselleştirilmiş pazarlama için (daha az ciddi durumlarda) kullanılabilir.
Kişinin olası kimliği ve kazaya karışan üçüncü şahısların niyetleri değerlendirilecektir. Profesyonel, yanlışlıkla X’e üçüncü bir şahsın kişisel verilerini içeren bir e-posta gönderirse, ancak X’i tanıyorsa ve verilerin derhal silinmesi için onay ister ve alırsa, risk sınırlıdır. İlgili kişi sayısı arttıkça risk de artar. İlkeler genellikle tedbir amaçlı bir yaklaşım olarak olayın bildirilmesini önerir.
Bir veri ihlalinden sonra ne yapılmalı?
Bildirim gecikmeden, muhtemelen keşfin ardından 72 saat içinde yapılmalıdır; 72 saatin ötesinde, uzman gecikmenin nedenlerini gerekçelendirmelidir. Garantöre/veri sahiplerine olayı bildirmemiş olsanız bile, yine de bunu belgelemeniz gerekir (örneğin, bir talep/denetim durumunda Garantörün kullanabileceği dahili bir kayıt defterinde). Bu, uzmanın veri ihlallerini takiben yapılan değerlendirmeleri ve alınan kararları göstermesini sağlayan önemli bir yerine getirmedir.
