Vaka analizi: Yurt dışına veri aktarımı uyumu

Bu vaka, kişisel verilerin yurt dışına aktarımına ilişkin örnek (temsili) bir senaryodur; gerçek bir müşteriyi temsil etmez.

Bu içerik yalnızca genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz.

Durum

Bir teknoloji şirketi; CRM, e-posta ve analitik için sunucuları yurt dışında bulunan bulut hizmetleri kullanıyordu. Verilerin yurt dışına aktarıldığı fark edilmemiş; herhangi bir aktarım mekanizması veya Kurul'a bildirim bulunmuyordu.

Riskler

• Yurt dışı veri akışlarının envantersiz olması.
• Uygun aktarım mekanizmasının (yeterlilik kararı / uygun güvence / istisna) belirlenmemiş olması.
• Standart sözleşmenin Kurul'a bildirilmemesi.
• 1 Haziran 2024'te yürürlüğe giren m.9 değişikliğine uyumsuzluk.

Uygulanan tedbirler

1. Aktarım envanteri: Tüm yurt dışı veri akışları ve alıcılar çıkarıldı.
2. Mekanizma seçimi: Her akış için uygun güvence veya istisna değerlendirildi.
3. Standart sözleşme: İlgili aktarımlar için standart sözleşme imzalandı.
4. Kurul'a bildirim: Standart sözleşmeler yasal süre içinde bildirildi.

Sonuç

İdari (envanter, sözleşme) ve teknik (erişim, loglama) tedbirler birlikte uygulanarak 2024 düzenlemelerine uygun, izlenebilir bir yurt dışı aktarım yapısı kuruldu.