Uluslararası kuruluşlarda veri ihlalleri ve riskleri

Uluslararası kuruluşlarda veri ihlalleri ve riskleri

Siber dünyadaki sızmalarda olduğu gibi kurumsal verinin yetkisiz ellere geçmesi birden fazla tarafı farklı biçimde etkiler.
Durum çok uluslu şirketlerde daha da zorlu hale gelir; kurumun kurulduğu ülke, kurumun doğrudan faaliyetlerini sürdürdüğü ülkeler, kurumun iştiraklerinin olduğu ülkeler, kurumun iş yaptığı aracı şirketler ve bunların kurulu olduğu ülkeler, bu şirketlerde çalışan düğer ülkelerin vatandaşları diye düşünülünce sorunun nasıl 2X2 den NxN boyutunda bir matrikse kolaylıkla dönüşebileceği anlaşılabilir. Her ülkenin, her şirketin veriyi sınıflandırmak, saklamak ve paylaşmak konusunda farklı hassasiyetleri, kuralları vardır. Bir ülkede sınıflandırma bir diğerinde geçerli olmayabilir.

Anlaşmazlık durumlarında, sınırlar ötesi veri ihlalleri, veri kayıplarında karşılıklı görüşmeler ve mutabakatlar ülkeden ülkeye düşündüğünüz kadar hızlı seyahat etmezler. Uluslararası veri ihlalleri toplu davalarında (data breach class actions) da dikkat etmeniz gereken birçok nokta olsa da temel olan veri dökülüp etrafa saçılmadan, ipliğiniz pazara çıkmadan neler yapmanız gerektiğini önceden çalışmış olmanız gerektiğidir. Eğer hala yapmadıysanız yarın hukuk, müşteri ilişkileri ve IT olarak bir araya gelip neyi nasıl yapacaksınız bunun üzerinde çalışın ve bir veri ihlalinde ilk elden yapılacaklar adlı kılavuzu hazırlayın ve sürekli güncel kalmasını sağlayacak sistemi kurun. Bir kere ihlal oluştu mu kılavuzlarınız da olsa yürünecek yolda ipek halı serili değildir.

Mutabakata giden yol taşlıdır…
Savunmada kalan tarafların amacı en az zarar ve hızlı mutabakat ile masadan kalkmaktır da karşı tarafın niteliğine göre bu hedef pek de kolay ulaşılabilir olmayabilir. Hele ki taraflardan biri süreç devam ederken farklı gerçekleri keşfederse iş daha da çatallaşacaktır. Örneğin; sağlık verilerinin yetkisiz insanların eline geçmesinin ardından uzun dönemli zararlara taraf olacakların durumu.

Davalar birleştirilse de hala farklı ülkelerde ayrı dava olabilir
Dünyanın dört bir yanında müşterileri olan bir şirketin verilerinin çalınması farklı ülkeler için farklı davaları da beraberinde getirir. Her ne kadar bir noktadan veriler alınmışsa da mağdur olan kişilerin tabi oldukları farklı hukuk sistemleri olabilir.
Geçmişte Home Depot’unun siber davası sonunda Kanada ve ABD de mahkeme dışında ayrı mutabakatlar ile çözülmüştü. Home Depot hukuk mücadelesinde aleyhine açılan birçok yerde açılan mahkemeler için toplam $85M ödeyerek çıkarken sadece $14.5M MasterCard ve Visa ya ödemişti. Bir eyalette bir davanın çözülmesi diğer eyalet ve ülkelerde de davanın yeniden açılmayacağı anlamına gelmez

Bildirimlerin tek standart bir formatı yoktur
ABD’nin bildirim kuralları ile Avrupa yahut Latin Amerika veya Asya ya da Afrika ülkelerinin kurallarının birbirinin aynı olması beklenemez. Bildirimin içeriği, zaman kısıtları, yaptırımları neler olabileceği gibi birçok ögede farklılık görülür. Malum tarafların “makul”, “yeteri kadar” vb. tanımlardan ne anladıkları ve buna göre ne yaptıkları genellikle anlaşmazlıkların bir başka kaynağıdır. Bunun dışında ülkeden ülkeye hatta mahkemeden mahkemeye benzeri durum için farklı kararlar, o güne kadar hiç uygulanmamış yaptırımlar, aniden ortaya çıkan kararnameler işleri biraz daha karmaşıklaştırır.

Sonuç olarak; şirket ve kişisel verilerin korunması için hassas olun, bu konuda yatırım bütçenizde bir kalem olsun, eğer bu kalem yeteri kadar büyük değilse aldığınız riskin gerçekten farkında olun.

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*