Facebook Instagram Linkedin X-twitter
Kitab təyinatı
İT Qanunu

Hər bir biznesin məlumat paylaşarkən bilməli olduğu 7 GDPR riski

Bütün məqalələrə qayıt
Korporativ iclas otağı, noutbuk, hüquqi sənədlər və xəbərdarlıq göstəricilərini göstərən GDPR uyğunluq paneli — GDPR çərçivəsində məlumat paylaşmasının hüquqi risklərini müşayiət edən illüstrasiya

Məlumat paylaşımı müasir ticarətin can damarıdır. İstər yeni bir bulud provayderinə qoşulun, istər marketinq agentliyi ilə əməkdaşlıq edin, istərsə də üçüncü tərəf HR sistemini inteqrasiya edin, şəxsi məlumatlar təşkilatlar arasında daim axır. Lakin narahatedici həqiqət budur: əksər müəssisələr məlumat paylaşımının Ümumi Məlumatların Mühafizəsi Qaydaları (GDPR) çərçivəsində təmsil etdiyi hüquqi sahəni az qiymətləndirirlər.

Məsələ realdır. Cərimələr 20 milyon avroya və ya qlobal illik dövriyyənin 4%-nə çata bilər - hansı daha yüksəkdirsə. Maliyyə cərimələrindən əlavə, təsirlənmiş şəxslərin nüfuzuna dəyən ziyan, tənzimləyici yoxlama və mülki məsuliyyət iddiaları riski ilə üzləşirsiniz. Hollandiyanın Məlumatların Mühafizəsi Orqanı (Autoriteit Persoonsgegevens və ya AP) bunu açıq şəkildə bildirib: cəhalət müdafiə vasitəsi deyil.

Bu məqalədə şəxsi məlumatların paylaşılması zamanı yaranan yeddi vacib GDPR riski barədə məlumat veriləcək. Hər bir risk konkret GDPR müddəalarına əsaslanır, real nəticələrlə təsvir olunur və uyğun qalmağınıza kömək etmək üçün praktiki rəhbərliklə birləşdirilir. İstər biznes sahibi, istər uyğunluq üzrə məsul şəxs, istərsə də Hollandiyada fəaliyyət göstərən hüquq mütəxəssisi olun, bu tələləri anlamaq vacibdir.

1. Etibarlı hüquqi əsas olmadan məlumatların paylaşılması (GDPR-ın 6-cı maddəsi)

Risk: Şəxsi məlumatları sadəcə rahat və ya faydalı olduğu üçün paylaşa bilməzsiniz. Məlumat paylaşmasının hər bir nümunəsi GDPR-in 6-cı maddəsinə əsasən etibarlı hüquqi əsas tələb edir.

Şirkətlər niyə səhv edirlər: Bir çox təşkilat məlumatların paylaşılması üçün kommersiya səbəbinin olmasının kifayət olduğunu düşünür, amma bu, belə deyil. GDPR emal üçün altı qanuni əsas təqdim edir: razılıq, müqavilə zərurəti, hüquqi öhdəlik, həyati maraqlar, ictimai vəzifə və qanuni maraqlar. Hər birinin özünəməxsus tələbləri və məhdudiyyətləri var.

Məsələn, tərəfdaşlar və ya xidmət təminatçıları ilə məlumat paylaşımını əsaslandırmaq üçün tez-tez "qanuni maraqlar" ifadəsinə istinad edilir. Lakin bu əsas diqqətli balanslaşdırma testini tələb edir: maraqlarınız məlumatları emal etdiyiniz şəxslərin hüquq və azadlıqlarını üstələməməlidir. Və bu qiymətləndirməni sənədləşdirməlisiniz.

Hüquqi əsaslandırma: GDPR-in 6-cı maddəsi qanuni əsasların tam siyahısını müəyyən edir. GDPR-in 5(1)(a) maddəsi bütün emal proseslərinin qanuni, ədalətli və şəffaf olmasını tələb edir.

Real Dünya Nəticəsi: AP, müştəri məlumatlarını marketinq məqsədləri üçün üçüncü tərəflərlə müvafiq hüquqi əsas olmadan paylaşan təşkilatlara cərimələr tətbiq edib. Məlumatlar anonimləşdirilsə və ya birləşdirilsə belə, yenidən identifikasiya mümkündürsə, onlar şəxsi məlumatlar olaraq qalır və qanuni əsas tələb edir.

Praktik qəbul: Şəxsi məlumatları paylaşmazdan əvvəl hansı hüquqi əsasın tətbiq olunduğunu müəyyənləşdirin və sənədləşdirin. Qanuni maraqlara əsaslanırsınızsa, qanuni maraqların qiymətləndirilməsini (LIA) aparın və qeyd edin. Razılıqdan istifadə edirsinizsə, onun sərbəst şəkildə verildiyinə, konkret, məlumatlı və birmənalı olduğuna əmin olun.

2. Rollarla bağlı qarışıqlıq: Nəzarətçi və Prosessor (GDPR-ın 4(7)–(8)-ci maddələri)

Risk: GDPR nəzarətçilər (məqsədləri və emal vasitələrini müəyyən edənlər) və emalçılar (nəzarətçi adından məlumatları emal edənlər) arasında fərq qoyur. Öz və ya tərəfdaşınızın rolunu səhv müəyyən etmək ciddi uyğunluq boşluqları yaradır.

Şirkətlər niyə səhv edirlər: Praktikada rollar qeyri-müəyyən ola bilər. Məlumatları SaaS provayderi ilə paylaşırsınızsa, onlar nəzarətçi, yoxsa prosessordur? Əgər onlar sizin məlumatlarınızdan alqoritmlərini təkmilləşdirmək üçün istifadə etsələr, necə olar? Bir çox müəssisələr əlaqəni düzgün təhlil etmədən hər bir satıcıya "prosessor" deyirlər.

Səhv təsnifat vacibdir, çünki nəzarətçilərin və prosessorların fərqli öhdəlikləri var. Nəzarətçilər prosessorların kifayət qədər uyğunluq zəmanəti verməsini təmin etməlidirlər (GDPR-ın 28-ci maddəsi). Birgə nəzarətçilər öz müvafiq məsuliyyətləri barədə razılığa gəlməlidirlər (GDPR-ın 26-cı maddəsi). Səhv başa düşsəniz, baş verdiyini bilmədiyiniz pozuntulara görə məsuliyyət daşıya bilərsiniz.

Hüquqi əsaslandırma: GDPR-in 4(7) və (8)-ci maddələrində “nəzarətçi” və “prosessor” anlayışları tərif olunur. GDPR-in 24-cü maddəsində nəzarətçinin hesabatlılıq öhdəlikləri müəyyən edilir.

Real Dünya Nəticəsi: Avropa Ədalət Məhkəməsi qərar verdi Moda ID-si (C-40/17) hətta məqsədlərin qismən müəyyən edilməsi belə sizi birgə nəzarətçiyə çevirə bilər. Bu o deməkdir ki, GDPR pozuntularına görə, hətta başqa bir tərəf səbəb olsa belə, birgə məsuliyyət daşıya bilərsiniz.

Praktik qəbul: Məlumat axınlarını xəritələşdirin və kimin qərar verdiyini müəyyən edin niyənecə məlumatlar emal olunur. Bunu yazılı şəkildə sənədləşdirin və hər bir tərəfin öz rolunu və öhdəliklərini başa düşdüyünə əmin olun.

3. Məlumatların İşlənməsi Sazişinin Yarımçıq və ya Qeyri-kafi olması (GDPR-in 28-ci maddəsi)

Risk: Şəxsi məlumatları sizin adınızdan emal etmək üçün bir prosessor işə götürsəniz, qanuni olaraq yazılı məlumatların emalı müqaviləsinə (DPA) sahib olmağınız tələb olunur. İstisna yoxdur.

Şirkətlər niyə səhv edirlər: Xüsusilə etibarlı və ya uzun müddətdir tərəfdaşlarla sənədləşmə işlərindən yayınmaq cazibədardır. Lakin uyğun bir DPA olmadan, heç bir real zərər olmasa belə, ilk gündən GDPR-in 28-ci maddəsini pozursunuz.

Düzgün Məlumatların Təsdiqlənməsi Sazişində (MƏS) konkret məcburi bəndlər olmalıdır: emalın mövzusu və müddəti, emalın mahiyyəti və məqsədi, şəxsi məlumatların növü, məlumat subyektlərinin kateqoriyaları və nəzarətçinin öhdəlikləri və hüquqları. Həmçinin, alt emal, məlumatların təhlükəsizliyi və pozuntu bildirişi də əhatə olunmalıdır.

Hüquqi əsaslandırma: GDPR-in 28(3)-cü maddəsində DPA-nın məcburi məzmunu sadalanır. GDPR-in 28(4)-cü maddəsi alt prosessorlar üçün açıq icazə tələb edir.

Real Dünya Nəticəsi: AP, adekvat DPA-ları olmayan prosessorları işə götürdükləri üçün təşkilatlara sanksiya tətbiq edib. Prosessorun özü tələblərə cavab versə belə, nəzarətçi yenə də lazımi razılaşmaya girmədiyinə görə cərimələnə bilər.

Praktik qəbul: 28(3)-cü maddənin bütün tələblərini əhatə edən standartlaşdırılmış DPA şablonundan istifadə edin. Mövcud müqavilələrin GDPR-ə uyğun olduğundan əmin olmaq üçün onları nəzərdən keçirin. İmzalanmış DPA olmadan heç bir yeni prosessoru işə salmayın.

4. EEA-dan kənar üçüncü ölkələrə qeyri-qanuni köçürmə (Maddə 44-49 GDPR & Schrems II)

Risk: Şəxsi məlumatların Avropa İqtisadi Bölgəsindən (AİB) kənara ötürülməsi ciddi şəkildə məhdudlaşdırılıb. Bunu yalnız təyinat ölkəsi kifayət qədər qoruma təmin etdikdə və ya müvafiq təhlükəsizlik tədbirləri tətbiq etdikdə edə bilərsiniz.

Şirkətlər niyə səhv edirlər: Bir çox biznes, beynəlxalq köçürmə qaydalarını işə saldıqlarını bilmədən ABŞ və ya Asiyada yerləşən bulud xidmətlərindən, ödəniş prosessorlarından və ya analitik alətlərdən istifadə edir. Müqaviləniz AB qurumu ilə bağlansa belə, məlumatlar AİB xaricində saxlanılırsa və ya əldə edilirsə, köçürmə qaydaları tətbiq olunur.

The Schrems II Məhkəmə qərarı (C-311/18 işi) AB-ABŞ Məxfilik Qalxanını ləğv etdi və standart müqavilə bəndlərinin (SCC) təkcə kifayət etmədiyini vurğuladı. Təyinat ölkəsinin qanunlarının SCC-lər tərəfindən təmin edilən qorunmanı pozub-pozmadığını qiymətləndirmək üçün transfer təsirinin qiymətləndirilməsi (TIA) də aparmalısınız.

Hüquqi əsaslandırma: GDPR-ın 44–49-cu maddələri beynəlxalq köçürmələri tənzimləyir. V Fəsil GDPR adekvatlıq qərarlarını (Maddə 45) və ya müvafiq təminatları (Maddə 46), məsələn, SCC-ləri tələb edir.

Real Dünya Nəticəsi: Müvafiq təhlükəsizlik tədbirləri görülmədiyi təqdirdə, AP sizə üçüncü ölkələrə məlumat ötürülməsini dayandırmaq və ya qadağan etmək əmri verə bilər. Şirkətlər TIA sonrası əməliyyat aparmadan məlumatları ABŞ-a ötürdüklərinə görə icra tədbirləri və nüfuzuna xələl gətirmə ilə üzləşiblər.Schrems II.

Praktik qəbul: Məlumat axınlarınızdakı bütün üçüncü ölkə köçürmələrini müəyyən edin. Adekvatlıq qərarının olub-olmadığını yoxlayın. Əgər yoxdursa, SCC-ləri tətbiq edin və TIA aparın. Lazım gələrsə, əlavə tədbirləri sənədləşdirin (məsələn, şifrələmə, təxəllüsləşdirmə).

5. Məlumatların Qorunmasına Təsir Qiymətləndirməsinin Aparılmaması (GDPR-ın 35-ci maddəsi)

Risk: Məlumatların Mühafizəsinə Təsir Qiymətləndirməsi (DPIA) məlumatların paylaşılmasının fərdlərin hüquq və azadlıqlarına yüksək risk yarada biləcəyi hallarda məcburidir. Buraya xüsusi kateqoriyalı məlumatların genişmiqyaslı emalı, sistematik monitorinq və ya yeni texnologiyaların istifadəsi daxildir.

Şirkətlər niyə səhv edirlər: Bir çox təşkilat DPIA-ları isteğe bağlı və ya yalnız "böyük" layihələr üçün uyğun hesab edir. Əslində, sağlamlıq məlumatlarını üçüncü tərəf analitik platforması ilə paylaşmaq, süni intellektlə idarə olunan profilləşdirmə alətlərini tətbiq etmək və ya birdən çox mənbədən məlumat dəstlərini birləşdirmək DPIA tələbini tetikleyebilir.

DPIA sadəcə qutu işarələmə çalışması deyil. Bu, riskləri müəyyən etmək, onların şiddətini qiymətləndirmək və onları azaltmaq üçün tədbirlər müəyyən etmək üçün strukturlaşdırılmış bir prosesdir. Qalıq risklər yüksək olaraq qalırsa, davam etməzdən əvvəl AP ilə məsləhətləşməlisiniz.

Hüquqi əsaslandırma: GDPR-ın 35-ci maddəsi yüksək riskli emal üçün DPIA-ları tələb edir. AP DPIA-nın nə vaxt tələb olunduğuna dair təlimatlar dərc edib.

Real Dünya Nəticəsi: Lazım olduqda DPIA aparmamaq özü GDPR pozuntusudur. AP, faktiki məlumat sızması baş verməsə belə, DPIA doldurmadan yüksək riskli məlumat paylaşımına davam etdiklərinə görə təşkilatları cərimələyib.

Praktik qəbul: Bütün məlumat paylaşma fəaliyyətlərini DPIA tetikleyiciləri üçün yoxlayın. Şübhəniz varsa, birini həyata keçirin. Məlumatların Mühafizəsi üzrə Məsul Şəxsinizi (DPO) cəlb edin və qiymətləndirmə prosesini ətraflı şəkildə sənədləşdirin.

6. Məlumat Subyektlərinə Qeyri-kafi Məlumat (GDPR-ın 13 və 14-cü Maddələri)

Risk: Şəffaflıq GDPR-in təməl daşıdır. Şəxsi məlumatları topladığınız və ya paylaşdığınız zaman, məlumat subyektlərinə məlumatlarını kimin, hansı məqsədlə və hansı qanuni əsaslarla alacağı barədə məlumat verməlisiniz.

Şirkətlər niyə səhv edirlər: Məxfilik bildirişləri çox vaxt qeyri-müəyyən və ya köhnəlmiş olur. “Məlumatlarınızı etibarlı tərəfdaşlarla paylaşa bilərik” kimi ifadələr kifayət deyil. Alıcıların kateqoriyalarını (məsələn, “bulud hostinq provayderləri”, “marketinq agentlikləri”) göstərməli və lazım olduqda onların adını çəkməlisiniz.

Məlumatlar dolayı yolla — məsələn, məlumat brokerindən və ya başqa bir nəzarətçidən əldə edildikdə — GDPR-in 14-cü maddəsi məlumatların mənbəyi də daxil olmaqla əlavə məlumat öhdəlikləri qoyur.

Hüquqi əsaslandırma: GDPR-in 13 və 14-cü maddələrində məlumat subyektlərinə təqdim edilməli olan məlumatlar sadalanır. GDPR-in 5(1)(a) maddəsi bütün emal fəaliyyətlərində şəffaflıq tələb edir.

Real Dünya Nəticəsi: AP şirkətləri fərdlərə məlumatlarının üçüncü tərəflərlə paylaşıldığı barədə məlumat vermədiklərinə görə cəzalandırıb. Paylaşmanın özü qanuni olsa belə, qeyri-kafi şəffaflıq ayrıca bir pozuntudur.

Praktik qəbul: Məlumat paylaşma təcrübələrini aydın şəkildə təsvir etmək üçün məxfilik bildirişlərinizi nəzərdən keçirin və yeniləyin. Bildirişlərin asanlıqla əldə edilə bilməsini və sadə dildə yazılmasını təmin edin. Məlumatları yeni tərəfdaşlarla paylaşarkən, paylaşma başlamazdan əvvəl bildirişlərinizi yeniləyin.

7. Təxəllüsləşdirmə Saxta Təhlükəsizlik Hissəsi Kimi

Risk: Təxəllüsləşdirmə — birbaşa identifikatorların kodlar və ya tokenlərlə əvəz edilməsi — təhlükəsizlik tədbiri olaraq GDPR çərçivəsində təşviq olunur. Lakin bu, məlumatları anonim etmir. Əgər məlumatlar hələ də bir şəxsə geri əlaqələndirilə bilirsə, onlar şəxsi məlumatlar olaraq qalır və GDPR-in bütün əhatə dairəsinə tabedir.

Şirkətlər niyə səhv edirlər: Bizneslər tez-tez təxəllüsləşdirilmiş məlumatların məhdudiyyətsiz paylaşılmasının "təhlükəsiz" olduğunu düşünürlər. Praktikada təxəllüsləşdirmə yalnız riski azaldır; onu aradan qaldırmır. Təxəllüsləşdirilmiş məlumatları açara və ya yenidən identifikasiyaya imkan verən digər məlumat dəstlərinə çıxışı olan bir tərəfdaşla paylaşsanız, yenə də şəxsi məlumatları emal edirsiniz.

Hüquqi əsaslandırma: GDPR-ın 4(5)-ci maddəsi təxəllüsləşdirməni müəyyən edir. GDPR-ın 26-cı bəndində təxəllüsləşdirilmiş məlumatların həqiqətən anonimləşdirilmədiyi təqdirdə (yəni, yenidən identifikasiya artıq heç bir ağlabatan vasitə ilə mümkün olmadığı təqdirdə) şəxsi məlumat olaraq qaldığı aydınlaşdırılır.

Real Dünya Nəticəsi: AP rəhbərliyində təxəllüsləşdirmənin "həbsdən azad olmaq" kartı olmadığını aydınlaşdırıb. Əgər şəxsiyyətin yenidən təsdiqlənməsi mümkündürsə, hüquqi əsasa malik olmaq, DPIA-ların aparılması və adekvat təhlükəsizliyin təmin edilməsi də daxil olmaqla, bütün GDPR öhdəlikləri tətbiq olunur.

Praktik qəbul: Mütəxəssislər tərəfindən təsdiqlənmiş ciddi anonimləşdirmə prosesindən keçməmisinizsə, təxəllüslü məlumatlara şəxsi məlumat kimi yanaşın. Təkrar şəxsiyyətin müəyyənləşdirilməsinin qarşısını almaq üçün mövcud texniki və təşkilati tədbirləri sənədləşdirin.

Tez-tez soruşulan suallar

GDPR çərçivəsində məlumat paylaşımına nə vaxt icazə verilir?

Məlumatların paylaşılması yalnız GDPR-in 6-cı maddəsinə əsasən etibarlı hüquqi əsasınız olduqda qanunidir. Altı hüquqi əsas bunlardır: razılıq, müqavilə zərurəti, hüquqi öhdəlik, həyati maraqlar, ictimai vəzifə və qanuni maraqlar. Həmçinin qanunilik, ədalətlilik, şəffaflıq, məqsəd məhdudiyyəti, məlumatların minimuma endirilməsi, dəqiqlik, saxlama məhdudiyyəti, bütövlük və məxfilik prinsiplərinə riayət etməlisiniz (GDPR-in 5-ci maddəsi). Praktikada bu, məlumatları niyə paylaşdığınızı aydın şəkildə sənədləşdirmək, məqsədin onu ilk dəfə topladığınız səbəblə uyğun olduğundan əmin olmaq və məlumat subyektlərini paylaşma barədə məlumatlandırmaq deməkdir.

Nəzarətçi ilə prosessor arasındakı fərq nədir?

A nəzarətçi şəxsi məlumatların emal məqsədlərini və vasitələrini müəyyən edir. A prosessor məlumatları nəzarətçi adından xüsusi təlimatlar əsasında emal edir. Bu fərq vacibdir, çünki nəzarətçilər əsasən GDPR uyğunluğuna görə məsuliyyət daşıyırlar, prosessorların isə daha məhdud öhdəlikləri var (əsasən təhlükəsizlik və məxfiliyin təmin edilməsi). Məlumatları təlimatlarınıza əsasən emal edən təchizatçı ilə - məsələn, əmək haqqı provayderi və ya bulud saxlama xidməti ilə - paylaşırsınızsa, onlar adətən prosessordurlar. Əgər onlar həmçinin məlumatları öz məqsədləri üçün necə istifadə edəcəklərinə qərar verirlərsə, onlar (birgə) nəzarətçi ola bilərlər. Rolların səhv müəyyən edilməsi hesabatlılıqda və pozuntulara görə birgə məsuliyyətdə boşluqlara səbəb ola bilər.

Məlumatların emalı müqaviləsi (DPA) nə vaxt məcburidir?

Şəxsi məlumatları sizin adınızdan emal etmək üçün bir prosessor işə götürdüyünüz zaman Məlumatların Mühafizəsi haqqında Müqavilə (MMH) məcburidir (GDPR-ın 28-ci maddəsi). Bu, təşkilatınızın ölçüsündən və ya daxil olan məlumatların həcmindən asılı olmayaraq tətbiq olunur. Məlumatların Mühafizəsi haqqında Müqavilə yazılı şəkildə olmalı və emalın mövzusu və müddəti, mahiyyəti və məqsədi, məlumatların növləri və məlumat subyektlərinin kateqoriyaları, eləcə də hər iki tərəfin təhlükəsizlik, pozuntu bildirişi və alt emal ilə bağlı öhdəlikləri kimi xüsusi məcburi bəndləri əhatə etməlidir. Uyğun MMH olmadan, heç bir zərər olmasa belə, prosessor emal etməyə başladığı andan etibarən pozuntuya uğramış hesab olunursunuz.

Müştəri məlumatlarını AB xaricindəki bir tərəflə paylaşa bilərəmmi?

Bəli, amma yalnız ciddi şərtlər yerinə yetirildikdə. GDPR-in 44–49-cu maddələrinə əsasən, məlumatları üçüncü ölkəyə aşağıdakı hallarda ötürə bilərsiniz: (a) Avropa Komissiyası həmin ölkə üçün adekvatlıq qərarı veribsə və ya (b) standart müqavilə bəndləri (SCC) kimi müvafiq təhlükəsizlik tədbirləri görmüsünüzsə. Schrems II Mühakimə yürütməklə yanaşı, təyinat ölkəsinin qanunlarının (məsələn, hökumət nəzarəti) SCC-lər tərəfindən təmin edilən qorunmanı pozub-pozmadığını qiymətləndirmək üçün köçürmə təsirinin qiymətləndirilməsi (TIA) də aparmalısınız. Risklər qalırsa, şifrələmə və ya məlumatların minimuma endirilməsi kimi əlavə tədbirlər həyata keçirməlisiniz. Müvafiq təhlükəsizlik tədbirləri olmadan köçürmələr AP tərəfindən köçürmənin dayandırılması da daxil olmaqla, icra tədbirləri ilə nəticələnə bilər.

Məlumatların paylaşılması üçün DPIA nə vaxt tələb olunur?

DPIA, GDPR-ın 35-ci maddəsinə əsasən, məlumatların emalı fərdlərin hüquq və azadlıqlarına yüksək risk yarada biləcəyi hallarda məcburidir. Buraya aşağıdakılar daxildir: xüsusi kateqoriyalı məlumatların (məsələn, sağlamlıq, biometrik, genetik məlumatlar) genişmiqyaslı emalı, ictimaiyyətə açıq sahələrin sistematik monitorinqi, hüquqi və ya oxşar əhəmiyyətli təsirləri olan avtomatlaşdırılmış qərar qəbuletmə və yeni texnologiyaların istifadəsi. Məlumatları paylaşarkən, məlumat dəstlərini birləşdirirsinizsə, həssas məlumatları paylaşırsınızsa və ya məlumatları profilləşdirmə və ya süni intellektlə idarə olunan analitika üçün istifadə edirsinizsə, DPIA tez-tez tələb olunur. AP DPIA tələb edən emal əməliyyatlarının siyahısını dərc edib. Şübhəniz varsa, birini aparın - üzr istəməkdənsə, ehtiyatlı olmaq daha yaxşıdır.

GDPR-i pozduqlarına görə şirkətlər hansı cərimələr ilə üzləşə bilərlər?

GDPR iki səviyyəli cərimə nəzərdə tutur. Aşağı səviyyə — 10 milyon avroya qədər və ya qlobal illik dövriyyənin 2%-i — müvafiq təhlükəsizlik tədbirlərinin həyata keçirilməməsi və ya lazım olduqda DPIA-nın aparılmaması kimi pozuntulara tətbiq edilir. Daha yüksək səviyyə — 20 milyon avroya qədər və ya qlobal illik dövriyyənin 4%-i — emal üçün qanuni əsasın olmaması, qanunsuz beynəlxalq köçürmələr və ya məlumat subyektlərinin hüquqlarının pozulması da daxil olmaqla daha ciddi pozuntulara tətbiq edilir. AP cərimə məbləğini pozuntunun təbiəti və şiddəti, qəsdən və ya səhlənkarlıq olub-olmaması, təsirlənən şəxslərin sayı və görülən hər hansı yüngülləşdirici tədbirlər kimi amillərə əsasən müəyyən edir. Son tətbiqlər AP-nin, xüsusən də sistemli və ya qəsdən pozuntulara görə əhəmiyyətli cərimələr tətbiq etməyə hazır olduğunu göstərir.

Təxəllüslü məlumatların paylaşılması həmişə təhlükəsizdirmi?

Xeyr. Təxəllüsləşdirmə riski azaldır, lakin aradan qaldırmır. GDPR-in 4(5)-ci maddəsinə əsasən, təxəllüsləşdirmə birbaşa identifikatorların (məsələn, adların) kodlar və ya təxəllüslərlə əvəz edilməsi deməkdir. Lakin, məlumatlar hələ də bir şəxsə - məsələn, sizin və ya alıcının saxladığı əlavə məlumatlardan istifadə etməklə - geri əlaqələndirilə bilirsə, bu, şəxsi məlumatlar olaraq qalır və tamamilə GDPR-ə tabedir. Bu o deməkdir ki, siz hələ də hüquqi əsasa ehtiyac duyursunuz, məlumat subyektlərini məlumatlandırmalı və adekvat təhlükəsizliyi təmin etməlisiniz. Yalnız həqiqi anonimləşdirmə - yenidən identifikasiyanın artıq heç bir ağlabatan vasitə ilə mümkün olmadığı hallarda - məlumatları GDPR-in əhatə dairəsindən çıxarır. Praktikada həqiqi anonimləşdirməyə nail olmaq çətindir və ekspert təsdiqini tələb edir.

Qanunsuz məlumat paylaşımı səbəbindən biznesimdə məlumat sızması olarsa, nə etməliyəm?

Qanunsuz məlumat paylaşımı nəticəsində yaranan şəxsi məlumatların pozulması da daxil olmaqla, aşkar etsəniz, 72 saat AP-yə GDPR-ın 33-cü maddəsinə əsasən məlumat vermək (pozuntunun fərdlərin hüquq və azadlıqlarına risk yarada biləcəyi ehtimalı azdırsa). Pozuntunun onlar üçün yüksək risk yarada biləcəyi təqdirdə təsirə məruz qalan şəxslərə də gecikmədən məlumat verməlisiniz (GDPR-ın 34-cü maddəsi). Təxirəsalınmaz addımlara aşağıdakılar daxildir: pozuntunun qarşısını almaq, onun əhatə dairəsini və təsirini qiymətləndirmək, baş verənləri və bununla bağlı nə etdiyinizi sənədləşdirmək və AP-yə onların onlayn portalı vasitəsilə məlumat vermək. Xəbərdarlıq etməmək ayrıca cərimə ilə nəticələnə bilər. AP pozuntunun ciddiliyinə və cavabınıza əsasən icra tədbirinin zəruri olub-olmadığını qiymətləndirəcək.

Biznesinizi Qoruyun — Ekspert Hüquqi Rəhbərliyi Alın

Məlumatların paylaşılması qaçılmazdır, lakin GDPR pozuntuları qaçılmaz deyil. Yuxarıda qeyd olunan yeddi risk nəzəri deyil - onlar real icra işlərindən, məhkəmə qərarlarından və tənzimləyici rəhbərlikdən irəli gəlir. Onların hər biri cərimələrə, məsuliyyət iddialarına və nüfuza dəyən ziyana səbəb ola bilər.

Xoş xəbər? Düzgün hüquqi çərçivə, aydın sənədləşmə və proaktiv uyğunluq tədbirləri ilə məlumatları inamla və qanuni şəkildə paylaşa bilərsiniz. Lakin bunu düzgün etmək üçün ümumi məsləhətdən daha çox şey tələb olunur - bu, biznesinizi, məlumat axınlarınızı və üzləşdiyiniz spesifik riskləri başa düşən xüsusi hüquqi dəstək tələb edir.

AP-nin qapını döyməsini gözləməyin. Məlumat paylaşma təcrübələrinizin GDPR-a uyğun olub-olmadığından əmin deyilsinizsə və ya Məlumatların Mübadiləsi Sənədlərinin (DPA) hazırlanmasında, DPIA-ların aparılmasında və ya beynəlxalq köçürmələrin idarə olunmasında köməyə ehtiyacınız varsa, ixtisaslaşmış məxfilik vəkili ilə əlaqə saxlayın. Biznesiniz və müştəriləriniz bundan daha az şeyə layiq deyillər.

Hüquqi Yardıma Ehtiyacınız Var?

Əlaqə Law & More Hüquqi məsələləriniz üzrə ekspert məsləhəti üçün. Çoxdilli komandamız sizə kömək etməyə hazırdır.

Bir konsultasiya sifariş edin
Əlaqə

Hüquqi Məsləhətə Ehtiyacınız Var?

Təcrübəli vəkillərimiz hüquqi suallarınızda sizə kömək etməyə hazırdırlar.

Bir konsultasiya sifariş edin

Əlaqəli məqalələr

Texnologiya və hüquqi risklərin kəsişməsini simvolizə edən yaşıl təpələrlə əhatə olunmuş şüşə ofis binaları və uzaq şəhər üfüq xətti ilə müasir texnologiya kampusunun qızıl saatda havadan görünüşü.
Cinayət hüququ, İT Qanunu

Texnologiya sahibkarları üçün cinayət məsuliyyəti: mülki Əqli Mülkiyyət Mübahisəsi nə vaxt cinayətə çevrilir?

Hollandiyanın SaaS şirkəti əsas xüsusiyyətinin onların fəaliyyətinin dayandırılması barədə məktub alır.

Daha çox oxu
Texniki planlar, patent sənədi və şəhər üfüq xəttinə baxan zərif masa üzərində mis prototip ilə qızıl saatda müasir ofis
İT Qanunu

Hollandiyada Patent üçün Müraciət: Sahibkarlar üçün Tam Təlimat

1. Giriş – Patent sahibkarlar üçün nə üçün vacibdir? Siz aylarla vaxt sərf etmisiniz –

Daha çox oxu
İT Qanunu

Hollandiya Qanunvericiliyinə əsasən Məlumatların Saxlanma Müddətləri: Müştəri Məlumatlarını Nə Qədər Saxlaya Bilərsiniz?

Hollandiya qanunvericiliyi müştəri məlumatlarının saxlanmasına ikitərəfli yanaşma tətbiq edir. Maliyyə sənədləri kimi biznes qeydləri də mövcuddur.

Daha çox oxu

Hollandiya Qanunundan Yeniliklərdən Qalın

Ən son hüquqi məlumatlar, tənzimləyici yeniləmələr və praktik məsləhətlər üçün bülletenimizə abunə olun.

Law & More logo
Loqotiplər hamısı şaquli (1)

Xidmətlər

Təcrübə sahələri

Quick Link

Məlumat

Facebook Instagram Linkedin Twitter

© 2026 Law & More. Bütün hüquqlar qorunur.

Açıq Saatlar image.webp
Klantenvertellen.nl Law and More müştəri rəyləri

Beynəlxalq hüquq firması müəssisələrə və fərdlərə xidmət göstərir Eindhoven və Amsterdam. 

Brainport texnologiya ekosistemində təcrübə.

 

Facebook Instagram Linkedin Twitter
Logos

Xidmətlər

Təcrübə sahələri

Quick Link

© 2026 Law & More. Bütün hüquqlar qorunur.

Ümumi şərtlər  ·  Məxfilik bəyanatı  ·  Şikayətlər Prosessual  ·  Kuki siyasəti

Əlaqə

  • +31 20 369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (ziyarət yeri)
  • Bazar ertəsi-Cümə: 08:00-18:00 | Şənbə-Bazar: 09:00-17:00

Dil:

Açıq Saatlar image.webp
Klantenvertellen.nl Law and More müştəri rəyləri