HOPEX Privacy Management
- Avrupa Birliği (EU) GDPR bireyler için veri korumasını artırdı ve düzenleyici makamlara yeni yasaları ihlal eden işletmelere karşı harekete geçme konusunda daha fazla yetki verdi.
- Avrupa örneğini takiben, dünyadaki tüm ülkeler (örn. CCPA ile Kaliforniya, Güney Amerika, Asya) gizlilik düzenlemelerini güncelliyor.
- Bu mevzuat arasında ortak noktalar arasında şunlar vardır:
- Veri konularına yönelik güçlü haklar,
- Uygunsuzluk durumunda büyük yaptırımlar.
Yazılım + Deneyim = Çözüm
- 1991 yılında kuruldu
- Yazılım Çözümü
- Global Hizmetler
- Dijital Dönüşüm sürdürülmesine yardımcı olur
- 40 Ülkede Mevcut
- Dünya çapında 9 Bağlı Ortaklık ve 100 partner
- 1997 yılında kuruldu
- Danışmanlık Hizmetleri ve Veri Koruma Uzmanları
- Kurumsal Yönetişimi Yönlendirir
- Kalite Belgeli ISO 9001:2008
HOPEX Privacy Management – Avantajları
- Uyumluluk çalışmalarını ortak çalışma alanı ve merkezi depodan yönetme
- Güncel yasal ayrıntılar ve yasal şablonlarla iyileştirme faaliyetlerini bilgilendirin ve hızlandırın
- Denetim Otoritesi için tasarlanmış tüm raporlara uyumu belgelemek ve göstermek
- Veri Koruma Etki Değerlendirmeleri ile koruma üzerinde kontrol sahibi olun
- Tasarım çabaları ile veri korumasını etkilemek ve yeni ve gelişen işleme faaliyetlerinin ne zaman değerlendirileceğini bilmek
HOPEX Privacy Management – Ana Özellikler
*Supported by HOPEX PM & EA
HOPEX Privacy Management – Sorumlulukları Atanması
HOPEX Privacy Management paydaşlarınızı yönetmek için gerekli araçları sağlar:
- 7 farklı rol kullanarak kendi Gizlilik ekibinizi oluşturun ve yönetin
- Şirketinizin kuruluş modelini belgeleyin
- Ekibinizi kuruluşunuzun yasal yapısına, departmanlarına göre ölçeklendirin
- İşleme Faaliyetlerini ilgili DPO’lara delege edin
- Veri Denetleyicileri, İşlemciler ve Ulusal Temsilciler gibi farklı veri koruma rollerini belirleyin
- Her İşleme Etkinliği için, işleme faaliyetlerini ve ilgili Uygulamalarını tanımlaması beklenen doğru Etkinlik Sahibini ve Uygulama Sahibini atayın
Sorumluluk Özellikleri Atama
Chief Privacy Officers kuruluşlarını Tüzel Kişiler, Bölgeler (Sites) ve Departmanlar ile kurabilirler.
- Tüzel Kişiler belirli bölgelerde (sites) bulunur
- Bölümler bir Tüzel Kişinin parçasıdır
Sorumluluk Özellikleri Atama
- Chief Privacy Officer iç içe geçmiş birkaç tüzel kişilik ve bölümle karmaşık bir hiyerarşi oluşturmak için kuruluşun organigramını (organizasyon şeması) ayrıntılandırılabilir
- Kuruluş, farklı sorumlulukları tanımlamak için kendi rollerini ve işlevlerini yaratabilecektir.
- Organigrama dayanarak, kullanıcı, farklı rollerin görünürlük haklarını, arzu edilen ayrıntı düzeyi, ör. veri koruma ekibinin bir üyesi yalnızca belirli bir tüzel kişiliğin veya bölümün / alt bölümün işlemlerine erişebilir
Sorumluluk Özellikleri Atama
- Chief Privacy Officers Tüzel Kişiye bir DPO ve her Bölüm için bir DPO yardımcısı atayabilir.
- Bir departmanın gizlilikle ilgili talepler için BT muhabiri (correspondent) de olabilir.
HOPEX Privacy Management – İşleme Faaliyetlerinin Kaydı
- HOPEX Privacy Management DPO’ların ve Veri Denetleyicilerinin hızlı bir şekilde işleme faaliyetlerinin doğru bir kaydını oluşturmasını ve sürdürmesini sağlar:
- İşleme faaliyetleri oluşturma
- Kişisel veri kategorilerini işleyen mevcut süreçleri ve uygulamaları tanımlayın ve bunları işleme faaliyetlerine dönüştürün *
- Veri Koruma ile ilgili bilgileri işleme etkinliğinize ekleyin (amaç, meşruiyet, atamalar…)
İşleme Faaliyetleri Özellikleri
DPO’lar manuel olarak İşleme Faaliyetleri oluşturabilir ve hangi Departman tarafından gerçekleştirileceklerini belirtebilir.
Sorumlulukları Atama bölümünde belirtildiği gibi ilgili DPO ve DPO yardımcısına yeni İşleme Faaliyetleri atanacaktır.
İşleme Faaliyetleri Özellikleri
DPO’lar, hangi tüzel kişiyi ilgilendiklerini ve kaydın veri denetleyicisine veya veri işlemcisine uygulanıp uygulanmayacağını seçerek işleme kaydını dışa aktarabilir.
İşleme Faaliyetleri Özellikleri
DPO’lar zaten mevcut süreçleri * kişisel veri kategorilerini işleyebilir ve tek bir sürükle bırak eylemiyle işleme etkinliklerine dönüştürebilir.
İşlemleri işleme faaliyetine dönüştürmeden önce süreçleri açıklayan diyagramlara bakılabilir.
İşleme Faaliyetleri Özellikleri
DPO’lar mevcut olan uygulamaları * kişisel veri kategorilerini işleyebilir ve tek bir sürükle bırak eylemiyle işleme etkinliklerine dönüştürebilir.
İşleme Faaliyetleri Özellikleri
- DPO’lar, önceden tanımlanmış iş akışları aracılığıyla yeni oluşturulan işleme etkinliklerinin doğrulanmasını izleyebilir
- Bir işlem etkinliğinin açıklamasını tamamlamaları için etkinlik sahiplerini (Activity Owner) otomatik olarak bilgilendirin
- Sağlanan bilgileri doğrulayın ve bir ön değerlendirme ve DPIA gerçekleştirin
İşleme Faaliyetleri Özellikleri
- DPO’lar, Tüzel Kişinin (Veri Denetleyici, İşlemci veya Ortak Denetleyici) işleme faaliyetiyle ilgili sorumluluk seviyesini belirtebilir.
- İşleme faaliyeti sahibi (Activity Owner), işleme ilişkin yasal dayanağı bildirebilir.
- Veri Kontrolörleri (Data Controllers), Yasal Dayanak Uygunluk seviyesini de derecelendirebilir.
İşleme Faaliyetleri Özellikleri
- Data Controllers bildirim türü ve onay gereksiniminin yanı sıra, işleme faaliyetlerine hangi Veri Konusu Haklarının uygulanacağını belirtebilir.
- Data Controllers Veri Konusu Hakları ve Bildirim Yönetimi Uyumluluk Düzeyini de derecelendirilebilir.
Processing Activities Features
- Data Controllers işleme faaliyetlerinin güvenli bir şekilde yürütülmesini sağlamak için hangi güvenlik önlemlerinin alınacağını belirleyebilir.
- Veri Denetleyicileri ayrıca bu aşamada Veri Aktarımları ve Güvenlik Önlemlerinin, Güvenlik Önlemlerine Uygunluğunu derecelendirebilir
Processing Activities Features
- Data Controllers işleme faaliyetleri tarafından işlenen belirli verilerin en aza indirgenme derecesini derecelendirebilir.
HOPEX Privacy Management – İşleme Faaliyetlerini Yönetin
Data Controllers işleme faaliyetlerini aşağıdakilerle daha fazla açıklayabilir:
- Ulusal temsilcilerin kapsama alanı
- İşlemleri gerçekleştiren ve onlarla sözleşme anlaşmaları yapan üçüncü taraflar
- Ülkelerin (işlemin gerçekleştiği yer ile verinin toplandığı yer) karşılaştırması ve gerekli önlemlerin uygulanması (veri koruma, DPIA, risk değerlendirmesi).
Ulusal Temsilcilerin Özellikleri
- DPO’lar her Tüzel Kişi için Ulusal Temsilciler belirleyebilir. Ulusal Temsilciler tarafından kapsanan ülkeler tanımlanmıştır.
- Daha sonra Tüzel Kişilik (Null, Partial, Full) tarafından gerçekleştirilen İşleme Faaliyetlerine bir Ulusal Temsilci kapsamı verilir.
Üçüncü Tarafların Yönetim Özellikleri
DPO’lar sadece Üçüncü Tarafları oluşturmakla kalmaz, aynı zamanda yönetir.
- Üçüncü Şahıs Siteleri, Transfer Korumaları ile birlikte tanımlanabilir.
- DPO’lar Üçüncü Taraflara atanabilir
- Ulusal Temsilciler de atanabilir
- Sözleşme Anlaşmaları yüklenebilir
Üçüncü Tarafların Yönetim Özellikleri
- DPO’lar ve Data Controllers, İşleme Etkinlikleri için, hangi Üçüncü Tarafın alt işleme şeklinde yer alacağını belirtebilir.
- Üçüncü Taraflar Raporu, Üçüncü Tarafların katıldığı İşleme Faaliyetlerinin yanı sıra, sundukları Riskler ve Uyum Seviyeleri ile ilgili bir genel bakış sunar.
Veri Aktarımı Yönetimi Özellikleri
DPO’lar ve Data Controllers, bir işleme etkinliği tarafından gerçekleştirilen Veri Aktarımlarını yakalayabilir. Bu veri aktarımları daha sonra bir Veri Aktarım Haritası üzerinde temsil edilebilir.
HOPEX Privacy Management – Veri İhlallerini Yönetme
İç personelin olayları geçici bir web formu aracılığıyla bildirmesine olanak tanıyan tüm olası veri ihlallerini kaydedin. Data Controllers ile:
- Düzenlemenin gerektirdiğitüm bilgileri toplayın ve veri ihlallerinin ayrıntılı bir kaydını oluşturun
- Her ihlalin ciddiyetini değerlendirin ve 72 saat içinde harekete geçin:
- İyileştirme önlemlerinin uygulanması
- Etkilenen insanları belirlemek ve denetim makamlarını ve veri konularını potansiyel olarak bilgilendirme.
Veri İhlalleri Yönetimi Özellikleri
- Paydaşlar, HOPEX Gizlilik Yönetiminde oturum açmaya gerek kalmadan Veri ihlallerini rapor edebilir
- DPO’lar daha sonra Veri İhlallerini değerlendirebilir ve Veri Konularına ve denetim makamlarına gönderilen bildirimleri izleyebilir.
HOPEX Privacy Management – Veri Konusu İsteklerini Yönetme
HOPEX Privacy Management Veri Konusu İstekleri yönetimi ile Veri Kontrolörlerine yardımcı olur. Özel bir bölümde Denetleyiciler şunları yapabilir:
- İstekleri topla
- Bunları türe göre kategorilere ayırın ve durumlarını izleyin
- Etkilenen tüzel kişilere, departmanlara ve işleme faaliyetlerine her talebi atayın
- Son başvuru tarihi yaklaştığında hatırlatma bildirimi alın
Veri Konusu İsteklerini Yönetme Özellikleri
Data Controllers tüm Veri Konusu İsteklerinin kaydını tutabilir ve ilerlemelerini izleyebilir.
HOPEX Privacy Management – İşleme Faaliyetlerinin Ön Değerlendirmesi
HOPEX Privacy Management DPO’ların:
- Her işleme etkinliğininrisk ve uyumluluk düzeyini değerlendirin
- Devam eden en son DPIA hakkında inceleme ve yorum yapmasında olanak tanır.
Ön Değerlendirme Özellikleri
- DPO’lar genel risk seviyesini ve işleme faaliyetlerinin uygunluğunu değerlendirebilir. Bu aşamada, işlemden sorumlu Veri Denetleyicisi tarafından verilen önceki uyumluluk derecelendirmelerine ilişkin hatırlatmalar sağlanır.
- Burada DPO, bir DPIA gerekip gerekmediğini belirler.
- İşleme faaliyetinin uygunluk ve risk seviyelerinin gelişiminin gelecekteki analizi için ön değerlendirmeler kaydedilebilir.
DPIA hakkında danışmanlık Özellikleri
DPO’lar inceleyebilir ve DPIA’lara yorum ekleyebilir. Ayrıca her DPIA’yı sonlandırabilir veya atabilirler.
HOPEX Privacy Management – Veri Koruma Etki Değerlendirmeleri
HOPEX Privacy Management Veri Denetleyicilerinin Veri Koruma Etki Değerlendirmesi yapmasını sağlar:
- Bir DPIA gerektiren işleme faaliyetlerini belirleyin
- Bir DPIA başlatın, veri koruma risklerini belirleyin ve önerilerde bulunun
- Denetim otoritesine hesap verebilirliği kanıtlamak için ayrıntılı raporlar hazırlamak
DPO rolü ile ayrıca:
- DPIA’lar sırasında belirlenen Riskleri gözden geçirin
- Önerileri Doğrula
- Doğrulama bekleyen DPIA Bildirimleri alın
Veri Denetleyicileri bir bakışta DPIA gerektiren işleme faaliyetlerini tanımlayabilir.
- Data Controllers, yeni bir DPIA başlatabilir veya bir öncekini klonlayabilir.
- Önceki DPIA’lara da danışılabilir.
- Data Controllers, DPO tarafından işleme faaliyetine verilen ön değerlendirme tedbirlerini hatırlatır.
Data Controllers işleme etkinliği tarafından temsil edilen Veri Koruma riskleri oluşturabilir. 5 tür Veri Koruma Riski vardır:
- Yasadışı Erişim
- Veri kaybı
- Veri bozulması
- Veri Kullanılamıyor
- Yasa Dışı İşleme (Unlawful Processing)
- Her Risk Etki ve Olabilirlik (likelihood) açısından değerlendirilir.
- Riskler değerlendirildikten sonra, Veri Denetleyicileri belirli bir veri koruma Riskinin seviyesini azaltmak amacıyla Öneriler verebilir.
Denetleyiciler harici dosyaları DPIA’larını destekleyen kanıt olarak ekleyebilir.
Data Controllers daha sonra Nihai Uyum Düzeyi, Nihai Risk Düzeyi ayarlayarak İşleme Faaliyeti hakkında nihai bir karara varırlar ve yapılacak İşlemler konusunda aksiyon alırlar.
Data Controllers, düzenleyici metinleri, İşleme Etkinliğiyle ilgili arka plan bilgilerini ve DPIA’nın sonuçlarını içeren bir DPIA belgesi oluşturabilir. Bu belge daha sonra gerektiğinde yetkiliye sunulmadan önce değiştirilebilir.
DPO’lar, DPIA’lar (Data Protection Impact Assessment) sırasında tanımlanan Riskleri gözden geçirebilir.
Şirket Politikaları ayrıca gelecekte başvurmak üzere bir DPIA’ya eklenebilir. Kurumsal Mimarlar, değerlendirilen işleme etkinliğini dönüştürmek için hem Önerileri hem de politika belgelerini kullanabilir.
- DPO’lar, DPIA sırasında belirlenen belirli bir Veri Koruma Riskini azaltmak için yapılan Tavsiyeleri inceleyebilir.
- Öneriler, DPIA’larıyla birlikte doğrulanır.
HOPEX Privacy Management – Veri Denetleyicisini Bilgilendir & Öneride bulun
DPO’lar HOPEX Gizlilik Yönetimini aşağıdaki raporlarla birlikte bir denetim kapasitesindeki Veri Denetleyicilerini desteklemek için kullanılabilir:
- Veri Riski Raporları
- Veri Koruma Riski
- Tutarlılık Raporları
Bilgilendirme & Öneride Bulunma Özellikleri
Veri Koruma Risk Raporu, bir İşleme Faaliyetinin birçok DPIA’sı boyunca Veri Koruma risk derecelendirmesinin gelişimine genel bir bakış sağlar.
Bilgilendirme & Öneride Bulunma Özellikleri
Veri Risk Raporları, Veri Kategorisine veya Veri Konusu Kategorilerine göre düzenlenen her bir işleme etkinliğinin Risk ve Uygunluk düzeylerine genel bir bakış sunar.
HOPEX Privacy Management – Denetimin Yapılması
DPO’lar aşağıdaki raporlarla Uyum çabalarının ilerlemesini ve potansiyel farkları denetlemek için HOPEX Gizlilik Yönetimi’ni kullanabilir:
- Etkinlik Durumunu İşleme
- Bildirimlerin Kaydı
Uyumluluk İzleme Özellikleri
DPO’lar izleme ihtiyaçlarına yanıt vermek için tek bir tıklamayla kendi raporlarını oluşturma olanağına sahiptir.
Aşağıdaki bubble chart, işleme faaliyetlerinin uyumluluk ve risk derecelendirmesine göre dağılımını gösterirken, bubble size son değerlendirmeden bu yana geçen süreye dayanmaktadır. Isı haritası, risk derecesi ve uyumluluk seviyesine göre bir dağılım sunar.
Uyumluluk İzleme Özellikleri
Aşağıdaki pie chart DPO’ların henüz değerlendirilmemiş olanlara karşı halihazırda değerlendirilmiş olan işleme faaliyetlerinin sayısını izlemesine izin verir.
Pie chart ilgili bölümüne tıklayarak DPO’lar işleme faaliyetlerine daha yakından bakabilirler. İlgili işleme faaliyetlerinin listesi görüntülenir.
Uyumluluk İzleme Özellikleri
- Processing Activity Owner belirli bir İşleme Etkinliği için bildirim gereksinimlerini yakalayabilir.
- İlgili Veri Sahibine gönderilen bildirim, ileride başvurmak üzere işleme etkinliğine eklenebilir.
- Tebliğ edilmemişİşleme Faaliyetleri ilgili raporlarla izlenebilir.
HOPEX Privacy Management – Düzenleyici Otorite ile Birlikte Hareket Etme
DPO’lar yetkililere aşağıdaki raporları oluşturur ve sunar:
- İşletme faaliyetlerinin kaydı
- DPIA belgeleri
Düzenleyici Otorite ile Birlikte Hareket Etme Özellikleri
DPO’lar, işleme etkinlikleri listesinden MS Word biçiminde bir İşlem Kaydı raporu oluşturabilir.
Raporlar, HOPEX Gizlilik Yönetimi’nden gelen bilgiler içermektedir ve GDPR düzenlemesine dayanan içerikle zenginleştirilmiştir. Bilgiler bölümlerdeki yönetmeliğe (regulation) göre düzenlenir ve DPO’ların raporu paydaşlarının beklentilerine göre değiştirmelerine izin verir.
Düzenleyici Otorite ile Birlikte Hareket Etme Özellikleri
Kuruluşlar ve DPO’ları artık işleme kaydını doğrudan Fransız makamı (CNIL) tarafından önerilen biçimde dışa aktarabilir.
Düzenleyici Otorite ile Birlikte Hareket Etme Özellikleri
DPO’lar, belirli bir DPIA için MS Word biçiminde bir DPIA belgesi oluşturabilir.
Belge, HOPEX Gizlilik Yönetimi’nden gelen bilgiler içermektedir ve GDPR düzenlemesine dayalı içerikle zenginleştirilmiştir.
Bilgiler önceden düzenlenmiştir ve DPO’lar denetim makamına sunulmadan önce daha fazla bilgi ekleyebilir.
İş Dönüşümü & Veri Koruma
- Dünya çapında veri koruma mevzuatı, Veri Denetleyicilerinin işlemenin uyumlu olmasını ve tasarım ve varsayılan olarak veri koruma ilkesine uymasını sağlamak için uygun teknik ve organizasyonel önlemleri uygulaması gerektiğini öngörmektedir.
- Veri koruma mevzuatına uyum, Kuruluşların işlerini yürütme biçimlerindeki değişiklikleri içerir
- Bu tür değişikliklere ilişkin kararlar, söz konusu kuruluşların açıkça görünürlüğü olmadan alınamaz veya uygulanamaz.
- Bir kuruluşun işini nasıl yürüttüğünü açıklayan Kurumsal Mimari, yalnızca işlem faaliyetlerinin belirlenmesine yardımcı olmakla kalmaz, aynı zamanda gizlilik ekiplerinin iş dönüşümünü teşvik etmesine de olanak tanır.
HOPEX EA + HOPEX Privacy Management
Business Process & Applications Yeniden Kullanma
IT Applications Yeniden Kullanma
Kullanıcılar artık bir işlem etkinliği içinde hangi BT uygulamalarının kullanıldığını belgeleyebilir, mevcut ITPM / ITA uygulamalarını doğrudan bağlayabilir ve tüm özelliklerine erişebilir.
Org-Units Yeniden Kullanma
Kullanıcı artık mevcut EA kuruluş birimlerini yeniden kullanabilir ve bunları Tüzel Kişiler, Departmanlar ve Üçüncü Taraflara dönüştürebilir. Dönüşüm, iki nesne arasında sürekli senkronizasyona izin veren bir bağlantı oluşturur.