Veri Koruma Özeti

• Avrupa Birliği (EU) GDPR bireyler için veri korumasını artırdı ve düzenleyici makamlara yeni yasaları ihlal eden işletmelere karşı harekete geçme konusunda daha fazla yetki verdi.
• Avrupa örneğini takiben, dünyadaki tüm ülkeler (örn. CCPA ile Kaliforniya, Güney Amerika, Asya) gizlilik düzenlemelerini güncelliyor.
• Bu mevzuat arasında ortak noktalar arasında şunlar vardır:
  • Veri konularına yönelik güçlü haklar,
  • Uygunsuzluk durumunda büyük yaptırımlar.

• 1991 yılında kuruldu
• Yazılım Çözümü
• Global Hizmetler
• Dijital Dönüşüm sürdürülmesine yardımcı olur
• 40 Ülkede Mevcut
• Dünya çapında 9 Bağlı Ortaklık ve 100 partner

• 1997 yılında kuruldu
• Danışmanlık Hizmetleri ve Veri Koruma Uzmanları
• Kurumsal Yönetişimi Yönlendirir
• Kalite Belgeli ISO 9001:2008

HOPEX Privacy Management – Avantajları

• Uyumluluk çalışmalarını ortak çalışma alanı ve merkezi depodan yönetme
• Güncel yasal ayrıntılar ve yasal şablonlarla iyileştirme faaliyetlerini bilgilendirin ve hızlandırın
• Denetim Otoritesi için tasarlanmış tüm raporlara uyumu belgelemek ve göstermek
• Veri Koruma Etki Değerlendirmeleri ile koruma üzerinde kontrol sahibi olun
• Tasarım çabaları ile veri korumasını etkilemek ve yeni ve gelişen işleme faaliyetlerinin ne zaman değerlendirileceğini bilmek

HOPEX Privacy Management paydaşlarınızı yönetmek için gerekli araçları sağlar:

• 7 farklı rol kullanarak kendi Gizlilik ekibinizi oluşturun ve yönetin
• Şirketinizin kuruluş modelini belgeleyin
• Ekibinizi kuruluşunuzun yasal yapısına, departmanlarına göre ölçeklendirin
• İşleme Faaliyetlerini ilgili DPO’lara delege edin
• Veri Denetleyicileri, İşlemciler ve Ulusal Temsilciler gibi farklı veri koruma rollerini belirleyin
• Her İşleme Etkinliği için, işleme faaliyetlerini ve ilgili Uygulamalarını tanımlaması beklenen doğru Etkinlik Sahibini ve Uygulama Sahibini atayın

• Tüzel Kişiler belirli bölgelerde (sites) bulunur

• Bölümler bir Tüzel Kişinin parçasıdır

• Chief Privacy Officer iç içe geçmiş birkaç tüzel kişilik ve bölümle karmaşık bir hiyerarşi oluşturmak için kuruluşun organigramını (organizasyon şeması) ayrıntılandırılabilir
• Kuruluş, farklı sorumlulukları tanımlamak için kendi rollerini ve işlevlerini yaratabilecektir.
• Organigrama dayanarak, kullanıcı, farklı rollerin görünürlük haklarını, arzu edilen ayrıntı düzeyi, ör. veri koruma ekibinin bir üyesi yalnızca belirli bir tüzel kişiliğin veya bölümün / alt bölümün işlemlerine erişebilir

• HOPEX Privacy Management DPO’ların ve Veri Denetleyicilerinin hızlı bir şekilde işleme faaliyetlerinin doğru bir kaydını oluşturmasını ve sürdürmesini sağlar:
• İşleme faaliyetleri oluşturma
• Kişisel veri kategorilerini işleyen mevcut süreçleri ve uygulamaları tanımlayın ve bunları işleme faaliyetlerine dönüştürün *
• Veri Koruma ile ilgili bilgileri işleme etkinliğinize ekleyin (amaç, meşruiyet, atamalar…)

• DPO’lar, önceden tanımlanmış iş akışları aracılığıyla yeni oluşturulan işleme etkinliklerinin doğrulanmasını izleyebilir
• Bir işlem etkinliğinin açıklamasını tamamlamaları için etkinlik sahiplerini (Activity Owner) otomatik olarak bilgilendirin
• Sağlanan bilgileri doğrulayın ve bir ön değerlendirme ve DPIA gerçekleştirin

• Data Controllers bildirim türü ve onay gereksiniminin yanı sıra, işleme faaliyetlerine hangi Veri Konusu Haklarının uygulanacağını belirtebilir.
• Data Controllers Veri Konusu Hakları ve Bildirim Yönetimi Uyumluluk Düzeyini de derecelendirilebilir.

• Data Controllers işleme faaliyetlerinin güvenli bir şekilde yürütülmesini sağlamak için hangi güvenlik önlemlerinin alınacağını belirleyebilir.
• Veri Denetleyicileri ayrıca bu aşamada Veri Aktarımları ve Güvenlik Önlemlerinin, Güvenlik Önlemlerine Uygunluğunu derecelendirebilir

• Data Controllers işleme faaliyetleri tarafından işlenen belirli verilerin en aza indirgenme derecesini derecelendirebilir.

Data Controllers işleme faaliyetlerini aşağıdakilerle daha fazla açıklayabilir:

• Ulusal temsilcilerin kapsama alanı
• İşlemleri gerçekleştiren ve onlarla sözleşme anlaşmaları yapan üçüncü taraflar
• Ülkelerin (işlemin gerçekleştiği yer ile verinin toplandığı yer) karşılaştırması ve gerekli önlemlerin uygulanması (veri koruma, DPIA, risk değerlendirmesi).

DPO’lar sadece Üçüncü Tarafları oluşturmakla kalmaz, aynı zamanda yönetir.

• Üçüncü Şahıs Siteleri, Transfer Korumaları ile birlikte tanımlanabilir.
• DPO’lar Üçüncü Taraflara atanabilir
• Ulusal Temsilciler de atanabilir
• Sözleşme Anlaşmaları yüklenebilir

• DPO’lar ve Data Controllers, İşleme Etkinlikleri için, hangi Üçüncü Tarafın alt işleme şeklinde yer alacağını belirtebilir.

• Üçüncü Taraflar Raporu, Üçüncü Tarafların katıldığı İşleme Faaliyetlerinin yanı sıra, sundukları Riskler ve Uyum Seviyeleri ile ilgili bir genel bakış sunar.

İç personelin olayları geçici bir web formu aracılığıyla bildirmesine olanak tanıyan tüm olası veri ihlallerini kaydedin. Data Controllers ile:

• Düzenlemenin gerektirdiğitüm bilgileri toplayın ve veri ihlallerinin ayrıntılı bir kaydını oluşturun
• Her ihlalin ciddiyetini değerlendirin ve 72 saat içinde harekete geçin:
  • İyileştirme önlemlerinin uygulanması
  • Etkilenen insanları belirlemek ve denetim makamlarını ve veri konularını potansiyel olarak bilgilendirme.

• Paydaşlar, HOPEX Gizlilik Yönetiminde oturum açmaya gerek kalmadan Veri ihlallerini rapor edebilir

• DPO’lar daha sonra Veri İhlallerini değerlendirebilir ve Veri Konularına ve denetim makamlarına gönderilen bildirimleri izleyebilir.

HOPEX Privacy Management Veri Konusu İstekleri yönetimi ile Veri Kontrolörlerine yardımcı olur. Özel bir bölümde Denetleyiciler şunları yapabilir:

• İstekleri topla
• Bunları türe göre kategorilere ayırın ve durumlarını izleyin
• Etkilenen tüzel kişilere, departmanlara ve işleme faaliyetlerine her talebi atayın
• Son başvuru tarihi yaklaştığında hatırlatma bildirimi alın

HOPEX Privacy Management DPO’ların:

• Her işleme etkinliğininrisk ve uyumluluk düzeyini değerlendirin
• Devam eden en son DPIA hakkında inceleme ve yorum yapmasında olanak tanır.

Ön Değerlendirme Özellikleri

• DPO’lar genel risk seviyesini ve işleme faaliyetlerinin uygunluğunu değerlendirebilir. Bu aşamada, işlemden sorumlu Veri Denetleyicisi tarafından verilen önceki uyumluluk derecelendirmelerine ilişkin hatırlatmalar sağlanır.
• Burada DPO, bir DPIA gerekip gerekmediğini belirler.
• İşleme faaliyetinin uygunluk ve risk seviyelerinin gelişiminin gelecekteki analizi için ön değerlendirmeler kaydedilebilir.

DPIA hakkında danışmanlık Özellikleri

DPO’lar inceleyebilir ve DPIA’lara yorum ekleyebilir. Ayrıca her DPIA’yı sonlandırabilir veya atabilirler.

HOPEX Privacy Management Veri Denetleyicilerinin Veri Koruma Etki Değerlendirmesi yapmasını sağlar:

• Bir DPIA gerektiren işleme faaliyetlerini belirleyin
• Bir DPIA başlatın, veri koruma risklerini belirleyin ve önerilerde bulunun
• Denetim otoritesine hesap verebilirliği kanıtlamak için ayrıntılı raporlar hazırlamak

DPO rolü ile ayrıca:

• DPIA’lar sırasında belirlenen Riskleri gözden geçirin
• Önerileri Doğrula
• Doğrulama bekleyen DPIA Bildirimleri alın

DPIA Özellikleri

Veri Denetleyicileri bir bakışta DPIA gerektiren işleme faaliyetlerini tanımlayabilir.

• Data Controllers, yeni bir DPIA başlatabilir veya bir öncekini klonlayabilir.
• Önceki DPIA’lara da danışılabilir.

• Data Controllers, DPO tarafından işleme faaliyetine verilen ön değerlendirme tedbirlerini hatırlatır.

Data Controllers işleme etkinliği tarafından temsil edilen Veri Koruma riskleri oluşturabilir. 5 tür Veri Koruma Riski vardır:

• Yasadışı Erişim
• Veri kaybı
• Veri bozulması
• Veri Kullanılamıyor
• Yasa Dışı İşleme (Unlawful Processing)

• Her Risk Etki ve Olabilirlik (likelihood) açısından değerlendirilir.
• Riskler değerlendirildikten sonra, Veri Denetleyicileri belirli bir veri koruma Riskinin seviyesini azaltmak amacıyla Öneriler verebilir.

DPIA Özellikleri

Denetleyiciler harici dosyaları DPIA’larını destekleyen kanıt olarak ekleyebilir.

DPIA Özellikleri

Data Controllers  daha sonra Nihai Uyum Düzeyi, Nihai Risk Düzeyi ayarlayarak İşleme Faaliyeti hakkında nihai bir karara varırlar ve yapılacak İşlemler konusunda aksiyon alırlar.

DPIA Özellikleri

Data Controllers, düzenleyici metinleri, İşleme Etkinliğiyle ilgili arka plan bilgilerini ve DPIA’nın sonuçlarını içeren bir DPIA belgesi oluşturabilir. Bu belge daha sonra gerektiğinde yetkiliye sunulmadan önce değiştirilebilir.

DPIA Özellikleri

DPO’lar, DPIA’lar (Data Protection Impact Assessment) sırasında tanımlanan Riskleri gözden geçirebilir.

DPIA Özellikleri

Şirket Politikaları ayrıca gelecekte başvurmak üzere bir DPIA’ya eklenebilir. Kurumsal Mimarlar, değerlendirilen işleme etkinliğini dönüştürmek için hem Önerileri hem de politika belgelerini kullanabilir.

DPIA Özellikleri

• DPO’lar, DPIA sırasında belirlenen belirli bir Veri Koruma Riskini azaltmak için yapılan Tavsiyeleri inceleyebilir.
• Öneriler, DPIA’larıyla birlikte doğrulanır.

DPO’lar HOPEX Gizlilik Yönetimini aşağıdaki raporlarla birlikte bir denetim kapasitesindeki Veri Denetleyicilerini desteklemek için kullanılabilir:

• Veri Riski Raporları
• Veri Koruma Riski
• Tutarlılık Raporları

Bilgilendirme & Öneride Bulunma Özellikleri

Veri Koruma Risk Raporu, bir İşleme Faaliyetinin birçok DPIA’sı boyunca Veri Koruma risk derecelendirmesinin gelişimine genel bir bakış sağlar.

Bilgilendirme & Öneride Bulunma Özellikleri

Veri Risk Raporları, Veri Kategorisine veya Veri Konusu Kategorilerine göre düzenlenen her bir işleme etkinliğinin Risk ve Uygunluk düzeylerine genel bir bakış sunar.

DPO’lar aşağıdaki raporlarla Uyum çabalarının ilerlemesini ve potansiyel farkları denetlemek için HOPEX Gizlilik Yönetimi’ni kullanabilir:

• Etkinlik Durumunu İşleme
• Bildirimlerin Kaydı

Uyumluluk İzleme Özellikleri

DPO’lar izleme ihtiyaçlarına yanıt vermek için tek bir tıklamayla kendi raporlarını oluşturma olanağına sahiptir.

Aşağıdaki bubble chart, işleme faaliyetlerinin uyumluluk ve risk derecelendirmesine göre dağılımını gösterirken, bubble size son değerlendirmeden bu yana geçen süreye dayanmaktadır. Isı haritası, risk derecesi ve uyumluluk seviyesine göre bir dağılım sunar.

Uyumluluk İzleme Özellikleri

Aşağıdaki pie chart DPO’ların henüz değerlendirilmemiş olanlara karşı halihazırda değerlendirilmiş olan işleme faaliyetlerinin sayısını izlemesine izin verir.

Pie chart ilgili bölümüne tıklayarak DPO’lar işleme faaliyetlerine daha yakından bakabilirler. İlgili işleme faaliyetlerinin listesi görüntülenir.

Uyumluluk İzleme Özellikleri

• Processing Activity Owner belirli bir İşleme Etkinliği için bildirim gereksinimlerini yakalayabilir.
• İlgili Veri Sahibine gönderilen bildirim, ileride başvurmak üzere işleme etkinliğine eklenebilir.
• Tebliğ edilmemişİşleme Faaliyetleri ilgili raporlarla izlenebilir.

DPO’lar yetkililere aşağıdaki raporları oluşturur ve sunar:

• İşletme faaliyetlerinin kaydı
• DPIA belgeleri

DPO’lar, işleme etkinlikleri listesinden MS Word biçiminde bir İşlem Kaydı raporu oluşturabilir.

Raporlar, HOPEX Gizlilik Yönetimi’nden gelen bilgiler içermektedir ve GDPR düzenlemesine dayanan içerikle zenginleştirilmiştir. Bilgiler bölümlerdeki yönetmeliğe (regulation) göre düzenlenir ve DPO’ların raporu paydaşlarının beklentilerine göre değiştirmelerine izin verir.

Düzenleyici Otorite ile Birlikte Hareket Etme Özellikleri

Kuruluşlar ve DPO’ları artık işleme kaydını doğrudan Fransız makamı (CNIL) tarafından önerilen biçimde dışa aktarabilir.

DPO’lar, belirli bir DPIA için MS Word biçiminde bir DPIA belgesi oluşturabilir.

Belge, HOPEX Gizlilik Yönetimi’nden gelen bilgiler içermektedir ve GDPR düzenlemesine dayalı içerikle zenginleştirilmiştir.

Bilgiler önceden düzenlenmiştir ve DPO’lar denetim makamına sunulmadan önce daha fazla bilgi ekleyebilir.

İş Dönüşümü & Veri Koruma

• Dünya çapında veri koruma mevzuatı, Veri Denetleyicilerinin işlemenin uyumlu olmasını ve tasarım ve varsayılan olarak veri koruma ilkesine uymasını sağlamak için uygun teknik ve organizasyonel önlemleri uygulaması gerektiğini öngörmektedir.
• Veri koruma mevzuatına uyum, Kuruluşların işlerini yürütme biçimlerindeki değişiklikleri içerir
• Bu tür değişikliklere ilişkin kararlar, söz konusu kuruluşların açıkça görünürlüğü olmadan alınamaz veya uygulanamaz.
• Bir kuruluşun işini nasıl yürüttüğünü açıklayan Kurumsal Mimari, yalnızca işlem faaliyetlerinin belirlenmesine yardımcı olmakla kalmaz, aynı zamanda gizlilik ekiplerinin iş dönüşümünü teşvik etmesine de olanak tanır.

Uyumluluk & İş Dönüşümü

HOPEX EA +  HOPEX Privacy Management

Business Process & Applications Yeniden Kullanma

IT Applications Yeniden Kullanma

Kullanıcılar artık bir işlem etkinliği içinde hangi BT uygulamalarının kullanıldığını belgeleyebilir, mevcut ITPM / ITA uygulamalarını doğrudan bağlayabilir ve tüm özelliklerine erişebilir.

Org-Units Yeniden Kullanma

Kullanıcı artık mevcut EA kuruluş birimlerini yeniden kullanabilir ve bunları Tüzel Kişiler, Departmanlar ve Üçüncü Taraflara dönüştürebilir. Dönüşüm, iki nesne arasında sürekli senkronizasyona izin veren bir bağlantı oluşturur.