Veri Koruma Kurumu
Veri Koruma Kurumu
Avusturya Veri Koruma Kurumu (DSB), Avusturya’da kişisel verilerin korunması için merkezi denetim makamıdır. Genel Veri Koruma Yönetmeliği (GDPR) ve Avusturya Veri Koruma Kanunu’na (DSG) uyumu denetler, şikayetleri karara bağlar, inceleme prosedürlerini başlatır, yaptırımlar uygular ve Avrupa Veri Koruma Kurulu’nda Avusturya’yı temsil eder. Görevi, temel hakları güvence altına almak, kötüye kullanımı önlemek ve şirketler ile yetkilileri veri koruma yükümlülüklerine uymaya zorlamaktır.
Veri Koruma Kurumu, Avusturya’da kişisel verilerin korunması için devlet denetim makamıdır.
Görevler ve Yetkiler
Veri Koruma Kurumu, tümü kişisel verilerin korunmasına hizmet eden geniş bir faaliyet yelpazesini üstlenmektedir:
- İlgili kişilerin şikayetlerinin işlenmesi
- Resen inceleme prosedürlerinin yürütülmesi
- İdari para cezası prosedürlerinde karar verme ve para cezaları uygulama
- Veri ihlali bildirimlerinin (Data Breaches) alınması ve kontrolü
- Davranış kuralları veya sertifikasyon kuruluşları için onay prosedürleri
- Yasa tasarıları hakkında görüş bildirme
Bu nedenle, ilgili kişiler, şirketler ve veri koruma görevlileri için eşit derecede merkezi bir irtibat noktasıdır.
Veri Korumanın Tanımı
Veri koruma, bir kişi hakkında hangi bilgilerin kim tarafından işleneceğine kendisinin karar verme temel hakkıdır. Kişisel veriler, belirli bir kişiye atıfta bulunan veya bir kişiyi tanımlanabilir kılan tüm bilgilerdir; örneğin isim, adres, telefon numarası, e-posta adresi ve ayrıca fotoğraflar, IP adresleri veya sağlık verileri gibi.
Veri koruma, hiçbir verinin işlenemeyeceği anlamına gelmez. Bu, işlemenin yalnızca net yasal koşullar altında izin verildiği ve ilgili kişilerin kapsamlı haklara sahip olduğu anlamına gelir. Bu haklar, kötüye kullanıma karşı korur ve kişilere kendi verileri üzerinde kontrol sağlama imkanı verir.
İlgili Kişilerin Hakları
Her kişi, Veri Koruma Kurumu’ndan temel haklarına saygı gösterilmesini talep edebilir. GDPR, bunun için net bir haklar paketi öngörmektedir:
- Bilgilendirilme hakkı: Her veri işlemeden önce ilgili kişiler açık ve eksiksiz bir şekilde bilgilendirilmelidir.
- Bilgi alma hakkı: Her ilgili kişi, hangi verilerin hangi amaçla saklandığını öğrenme hakkına sahiptir.
- Düzeltme ve silme hakkı: Yanlış veriler düzeltilmeli, izinsiz veriler silinmelidir.
- İşlemenin kısıtlanması hakkı: Belirli koşullar altında, işleme yalnızca sınırlı bir şekilde devam ettirilebilir.
- İtiraz hakkı: Belirli veri işlemelerine karşı her zaman itiraz edilebilir.
- Veri taşınabilirliği hakkı: İlgili kişiler, verilerinin yaygın bir formatta kendilerine veya başka bir şirkete aktarılmasını talep edebilir.
- Otomatik kararlardan korunma hakkı: Hiç kimse yalnızca otomatik prosedürler temelinde dezavantajlı duruma düşürülmemelidir.
Bu haklar sadece teorik nitelikte değildir, aynı zamanda uygulanabilir – gerekirse Veri Koruma Kurumu önünde şikayet prosedürü yoluyla.
Şirketlerin Yükümlülükleri
Şirketler ve yetkililer, veri korumayı sadece kağıt üzerinde değil, pratikte de uygulamakla yükümlüdür. Temel yükümlülükler şunlardır:
- İşlemenin yasal dayanağı: Her veri işleme, rıza veya sözleşme gibi yasal bir temele dayanmalıdır.
- Şeffaflık yükümlülükleri: İlgili kişiler, verileriyle ne olduğu konusunda açıkça bilgilendirilmelidir.
- Teknik ve organizasyonel önlemler (TOMs): BT güvenliği ve organizasyonel süreçler, verilerin kayıp, kötüye kullanım veya yetkisiz erişime karşı korunacak şekilde tasarlanmalıdır.
- İşleme faaliyetlerinin kayıtları: Şirketler, hangi verileri işlediklerini izlenebilir şekilde belgelemelidir.
- Veri ihlallerinin bildirimi: Güvenlik olayları 72 saat içinde Veri Koruma Kurumu’na bildirilmelidir.
- Veri koruma etki değerlendirmelerinin yapılması: Riskli işlemeler için ayrıntılı bir analiz yapılmalıdır.
Kişisel Verilerin Korunmasının İhlali
GDPR’ye göre, kişisel verilerin korunmasının ihlali, yetersiz güvenlik nedeniyle verilerin yetkisiz değiştirilmesi, silinmesi, ifşa edilmesi veya kaybedilmesi durumunda ortaya çıkar. Bu, aşağıdaki durumlarda meydana gelebilir:
- Kişisel verilerin imha edilmesi, kaybedilmesi veya değiştirilmesi
- Yetkisiz erişim veya ifşa – örneğin hacker saldırıları, veri taşıyıcılarının yanlış alıcılara gönderilmesi veya güvensiz depolama yoluyla
- Yanlışlıkla veri paylaşımı – örneğin güvensiz depolama veya iletim nedeniyle
- Bu, olayın kasıtlı veya kasıtsız olup olmadığına bakılmaksızın geçerlidir
Böyle bir ihlali temsil edebilecek örnekler:
- Güvenliği şifrelenmemiş dosyalar veya USB bellekler nedeniyle veri kaybı
- Müşteri veritabanlarına hacker saldırısı
- Kişisel veriler içeren yanlış yönlendirilmiş e-postalar
- Yanlışlıkla herkese açık kişisel belgeler
Bu gerçekler, ilgili kişiler için kimlik hırsızlığı, itibar zedelenmesi veya mali zararlar dahil olmak üzere doğrudan risklere yol açabilir
Veri Koruma Kurumu Önündeki Prosedürler
Veri Koruma Kurumu önündeki prosedür resmidir ve çeşitli biçimlerde olabilir:
Şikayet Prosedürü
İlgili kişiler, birinin kişisel verilerini hukuka aykırı olarak işlediği kanaatinde olmaları durumunda Veri Koruma Kurumu’na şikayette bulunabilirler. Bu prosedür nispeten düşük eşiklidir.
Süreç:
- İlgili kişi yazılı olarak bir şikayet sunar – form, e-posta veya posta yoluyla.
- Veri Koruma Kurumu, şikayetin biçimsel olarak kabul edilebilir olup olmadığını kontrol eder.
- Şikayet edilen taraftan – genellikle bir şirket veya yetkili – görüş bildirmesi istenir.
- Ardından, gerekirse ek sorular veya duruşmalarla olayın araştırılması yapılır.
- Sonunda, Veri Koruma Kurumu’nun şikayeti reddettiği veya kabul ettiği ve düzeltici önlemler emrettiği bir karar verilir.
İlgili kişiler için bu prosedür, GDPR’den kaynaklanan haklarını uygulamak için en önemli yoldur.
Resen İncelemeler
Veri Koruma Kurumu sadece şikayetlere bağlı değildir, aynı zamanda resen de harekete geçebilir. Bu, özellikle sistematik ihlaller veya güvenlik açıkları olduğuna dair işaretler olduğunda gerçekleşir.
Özellikler:
- Prosedür, ilgili bir kişinin başvurusu olmadan başlar.
- Bildiren kişilerin taraf sıfatı yoktur ve sonuç hakkında bilgilendirilmezler.
- Veri Koruma Kurumu, ihlallerin olup olmadığını bağımsız olarak inceler ve gerekirse önlemler alır.
Resen incelemeler, şirketler ve yetkililer üzerindeki baskıyı artırarak veri korumayı sadece reaktif değil, sürekli olarak sağlamalarını sağladığı için güçlü bir önleyici etkiye sahiptir.
İdari Para Cezası Prosedürü
Veri Koruma Kurumu bir ihlal tespit ederse, bir idari para cezası prosedürü başlatabilir. Amaç, şirketleri ve kamu kurumlarını ihlalleri durdurmaya zorlamak ve hissedilir yaptırımlar uygulamaktır.
Olası yaptırımlar şunlardır:
- 20 milyon Euro’ya kadar veya dünya çapındaki yıllık cironun %4’üne kadar para cezaları,
- Veri işlemelerinin durdurulması veya uyarlanması için talimatlar,
- Uyarılar ve koşullar.
Para cezasının miktarı, ihlalin ciddiyetine, süresine ve kasıtlılığına bağlıdır. Önceki ihlaller veya prosedür sırasındaki işbirlikçi davranış da rol oynar.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Kanun Yolları
Veri Koruma Kurumu’nun kararları karar yoluyla verilir. Bu kararlara karşı ilgili kişilerin Federal İdare Mahkemesi’ne (BVwG) başvurma hakkı vardır.
- BVwG, kararı hukuki ve fiili açıdan inceler.
- Bu karara karşı, koşullara bağlı olarak İdare Mahkemesi’ne (VwGH) temyiz başvurusu veya Anayasa Mahkemesi’ne (VfGH) şikayet başvurusu yapılabilir.
Bu, Veri Koruma Kurumu’nun kararlarının çok aşamalı bir yargı denetimine tabi olmasını sağlar.
Şimdi istediğiniz randevu tarihini seçin:Ücretsiz İlk GörüşmeUluslararası Boyut
Veri koruma artık ulusal bir konu değildir. Veri Koruma Kurumu diğer Avrupa denetim makamlarıyla işbirliği yapmakta ve Avrupa Veri Koruma Kurulu’nun (EDSA) bir parçasıdır. Sınır ötesi vakalara katılır, tutarlılık prosedürü kapsamında kararları koordine eder ve ABD gibi ülkelere yapılan uluslararası veri transferleri hakkında görüş bildirir.
Bilgi Özgürlüğü
Veri korumanın yanı sıra bilgi özgürlüğü de giderek önem kazanmaktadır. Yeni Bilgi Özgürlüğü Yasası (IFG) ile Veri Koruma Kurumu, gelecekte şeffaflık konularında ve resmi bilgilere erişim için başvuru mercii rolünü üstlenecektir.
Bu yükümlülükler isteğe bağlı değildir. Bunlara uyulmaması düzenli olarak soruşturmalara ve aşırı durumlarda ağır para cezalarına yol açar.
Avukatlık Desteğiyle Avantajlarınız
Veri Koruma Kurumu nezdindeki bir prosedür hem ilgili kişiler hem de şirketler için önemli zorluklarla ilişkilidir. İlgili kişiler, profesyonel destek olmadan haklarını tam olarak kullanamama riski taşırlar. Şirketler ise sadece yüksek para cezalarıyla değil, aynı zamanda itibar kaybı ve süreçlerinin maliyetli uyarlamaları ile de karşı karşıya kalırlar. Buna ek olarak, prosedürler oldukça resmidir ve uzman desteği olmadan üstesinden gelinmesi zor olan karmaşık yasal gereklilikler içerir.
Uzman bir hukuk bürosu tarafından sağlanan yasal destek, güvenlik sağlar ve çıkarlarınızın başından itibaren profesyonel olarak temsil edilmesini sağlar. Veri koruma hukukunda sağlam deneyimden ve kuruma karşı tutarlı temsilden faydalanırsınız.
- ilgili yasal konunun sizin durumunuzda uygulanabilir olup olmadığını inceler
- tüm prosedür veya işlem boyunca size eşlik eder
- gerekli tüm adımların hukuka uygun şekilde düzenlenmesi ve uygulanmasını sağlar
- taleplerin hesaplanması, uygulanması veya savunulmasında destek sağlar
- tüm taraflara karşı haklarınızı ve çıkarlarınızı korur
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
