Sepetim Sepetim

ISO/IEC 27701

ISO/IEC 27701 standardı, ISO 27001 bilgi güvenliği yönetim sisteminin (BGYS) genişletilmiş bir versiyonudur ve kuruluşlara gizlilik bilgi yönetim sistemlerinin (PIMS) oluşturulmasında rehberlik eder. Bu standart, kişisel veri işlemenin güvenli ve gizlilik uyumlu bir şekilde gerçekleştirilmesini sağlayarak, kuruluşların veri koruma yasalarına uyumunu kolaylaştırır.

ISO 27701 NASIL ALINIR?

Gizlilik Bilgi güvenliği Yönetim Sistemi (Privacy İnformation Management System ) standardının adıdır. Çeşitli veri ve gizlilik odaklı araç ve düzenlemelere uyumlu olmak için tel elden çözüm olmayı amaçlamaktadır. Müşterilerinize, iş ortaklarınıza, paydaşlarınıza bilgilerin güvenliğini sağladığınıza dair güvence veren bir yönetim sistem standardıdır. Veri gizliliğinizi önemsediğinizi ciddiye aldığınızı göstermektedir. ISO 27701 ISO 27000 ailesinin standartlarından biridir.
27.001 serisi öncelikle günümüzde şirketler kuruluşu için hayati öneme sahip olan siber güvenliği ve gizlilik işlevine odaklanmaktadır. Muhtemelen  ISO 27701 abisi ISO 27001’i duymuşsunuzdur şirketlerin bir bilgi güvenliği yönetim sistemi oluşturmasına, kurmasına, sürdürmesine iyileştirmesine yardımcı olmaktadır ve sürekli ek iyileştirmeyi amaç edinmektedir . ISO 27001 BGYS ISO 27701 ise (GBYS) olarak kısa şekilde adlandırılmaktadırlar. ISO 27701 kuruluşunuzun iki kategoriden birine girdiğini varsaymaktadır. Kişisel verilerin işlenmesi için denetleyici (verilerin kaynağı) ve de işleyici (verileri denetleyen adına işleyen kuruluştur) iki kategorisidir.

ISO 27701 8 maddesi 6 da eki vardır;  1-2-3 ISO 27001 temel maddelerini alır.

Madde 1 kapsam (Scope)
Madde 2 Atıf Yapılan Standartlar -Normatif Referanslar
Madde 3 Terimler tarifler
Madde 4 Gizlilik Bilgi Yönetim Sistemi Gereksinimleri (PIMS Requirements)
Madde 5 Gizlilik Uygulamaları (PIMS-specific Guidelines)
Madde 6 Bilgi Güvenliğinin Gereksinimlerinin Genişletilmesi (27001 Ek A genişletilmesi)
Madde 7 Bilgi Güvenliği denetleyicileri için Ek Rehber
Madde 8 Bilgi Güvenliği süreçleri için Ek Rehber
Annex A- Annex - B

ISO 27701 NE KADAR SÜREDE BİR YENİLENMELİDİR?
ISO için yıllık bir denetime tabi tutulmaktasınız. Denetim tüm standardın kontrol listesine göre yapılmaktadır. Kuruluşlar Uluslararası tanınırlık ve GDPR uyum kapsamında ISO 27701 denetimlerine girmektedir. Belgenin 3 yıl geçerliliği bulunmaktadır. Her yıl da takip denetimi yapılmaktadır.

ISO 27701´in Faydaları:

1.    Gizlilik Uyumunu Güvence Altına Alma: ISO 27701, Avrupa’daki GDPR gibi veri gizliliği mevzuatlarıyla uyumluluğun sağlanmasına katkıda bulunur. Kuruluşlar, kişisel verilerin işlenmesinde gerekli kontrolleri sağlayarak düzenleyici gerekliliklere uyum gösterebilir.

2.    Risk Yönetimi ve Güvenlik: Bu standart, veri işleme risklerini belirleyip yönetme konusunda kapsamlı bir çerçeve sunar. Gizlilik risklerinin değerlendirilmesi ve yönetimi için gerekli kontrollerin sağlanması, kuruluşlara veri güvenliğinde yüksek bir standarda ulaşmada destek olur.

3.    Güven Sağlama: Paydaşlar ve müşteriler için şeffaflık sağlayarak, kişisel verilerin korunması konusunda güven verir. Kuruluşların güvenilir bir veri koruma sistemine sahip olduğunu belgeleyerek, paydaşların güvenini kazanır.

4.    İş Sürekliliği ve İtibar Koruma: Veri ihlalleri sonucunda yaşanabilecek itibar kayıplarını en aza indirir ve iş sürekliliğini güvence altına alır. Ayrıca, bu tür sertifikalar ile güvenli bir veri işleme sistemine sahip olduğunu gösteren kuruluşlar, müşteri ilişkilerini güçlendirir.
Saldırılarla Başa Çıkma Stratejileri:
Veri ihlallerine karşı etkin bir strateji geliştirmek için şunlar yapılabilir:
•    Şifreleme ve Güçlü Kimlik Doğrulama: Verilerin şifrelenmesi, hassas verilere yalnızca yetkilendirilmiş kişilerin erişmesini sağlar. Güçlü parola ve kimlik doğrulama sistemleri, siber saldırılar karşısında ek koruma katmanı sağlar.
•    Tedarikçi Yönetimi: Veri işleyen veya işlenmesini sağlayan üçüncü taraflarla güvenlik ve gizlilik yükümlülükleri belirlenmelidir. Böylece tüm veri işleme süreçleri güvence altına alınır.
•    Sürekli İzleme ve Eğitim: Çalışanlar düzenli olarak siber güvenlik ve veri gizliliği konusunda eğitilmeli, sistemler sürekli izlenmeli ve potansiyel tehditler karşısında hızlı yanıt mekanizmaları oluşturulmalıdır.

Gizlilik ve Güvenlik Dengesi:

ISO 27701, güvenlik olmadan gizliliğin sağlanamayacağını ortaya koyar. Güvenlik, gizliliğin temeli olarak kabul edilirken, gizlilik ise güvenliğin sağladığı yapının etkin bir şekilde kullanılabilmesi için gereklidir. Bu bağlamda, hasta bilgileri gibi hassas verilerin korunması, güvenlik ve gizlilik kontrolleri ile sağlanır.
Özetle, ISO 27701, kurumların güvenlik ve gizlilik gereksinimlerini karşılamada uluslararası tanınmış bir standart olarak öne çıkmakta ve bu standart doğrultusunda alınan sertifikalar, veri gizliliğinin korunmasına katkı sağlar.

ISO 27701 sertifikasının maliyeti ne kadardır?

ISO 27701 sertifikasının maliyeti, bir dizi faktöre göre değişiklik gösterir. Aşağıda maliyet kalemlerine göre detaylı bir açıklama bulabilirsiniz:

1.    Sistem Kurulumu: ISO 27701 sertifikası almak için öncelikle bir gizlilik bilgi yönetim sistemi (PIMS) kurulumu gereklidir. Bu aşamada iki seçenek vardır:
o    Danışmanlık Hizmeti Almak: Bir danışmanlık firmasıyla çalışmak, özellikle bu sürece aşina olmayan firmalar için verimli olabilir. Danışmanlık maliyetleri firmanın büyüklüğüne, kurulumun kapsamına ve danışmanın deneyimine bağlı olarak değişiklik gösterir.
o    Eğitimlerle Kendi Kendinize Uygulama: Sistem kurulumunu eğitimlerle kendiniz de gerçekleştirebilirsiniz. Bu seçenekte, çeşitli ISO 27701 eğitimlerine katılarak sistem kurulum sürecini yönetebilirsiniz. Bu durumda maliyet, eğitimlerin fiyatları ile sınırlı kalır ve daha ekonomik olabilir.

2.    Denetim ve Sertifikasyon Maliyeti: Denetim maliyetleri birkaç faktöre bağlı olarak farklılık gösterir:
o    Yerinde veya Çevrimiçi Denetim: Sertifikasyon denetimleri hem yerinde (fiziksel olarak) hem de çevrimiçi olarak yapılabilir. Yerinde denetim daha maliyetli olabilir, çünkü seyahat ve konaklama gibi ek masraflar doğurabilir.
o    Akreditasyon Durumu: Sertifikasyonu gerçekleştiren denetim firmasının akreditasyon durumu da maliyeti etkiler. Akredite kuruluşlar genellikle daha yüksek bir fiyat sunar, ancak daha fazla güvenilirlik sağlar.

3.    İç Kaynaklar ve Eğitim Maliyetleri: Eğitim programları, çalışanların ISO 27701 süreçlerini daha iyi anlamalarına yardımcı olur. Eğitim maliyetleri, eğitim türüne (örneğin, online veya yüz yüze) ve eğitimi sunan kuruluşa göre değişir.
Özetle, ISO 27701 sertifikasyon sürecinin maliyeti firmanızın büyüklüğüne, akreditasyon durumuna, denetim şekline ve dışarıdan alacağınız hizmetlere göre değişiklik gösterecektir. Belgelendirme maliyetleri 4000 TL+KDV den başlayan rakamlar ile değişkenlik göstermektedir.

ISO 27701 BİR GDPR SERTİFİKASI MIDIR?

ISO/IEC 27701 standardı, birden fazla gizlilik ve güvenlik gereksinimini karşılayarak veri gizliliğine uyum sağlayan, işletmeleri daha sürdürülebilir hale getiren ve uyumluluk süreçlerini basitleştiren bir çerçeve sunar. Özellikle global olarak tanınan bir standart olduğu için şirketlerin uyum sağlaması gereken birden fazla gizlilik yasasını tek bir sistemde ele almasına olanak tanır. Bu durum, hem maliyetleri düşürür hem de operasyonel verimliliği artırır. İşte ISO 27701 uyumlu bir yönetim sisteminin temel faydaları:

ISO/IEC 27701 Nedir?

1. Tek Çatı Altında Uyum
ISO 27701, uluslararası standartlara uygun bir çerçeve sunarak, farklı ülkelerdeki düzenlemelere uyumu daha kolay hale getirir. Bu sayede işletmeler, birden fazla gizlilik yasasını tek bir sistem içinde karşılayabilir. Gerektiğinde, yerel özellikler eklenerek uyumlu hale getirilmesi mümkün olduğundan esnek bir yapı sunar.

2. Yasal Güvence ve Kanıt Sağlama
ISO 27701 sertifikası, düzenleyiciler, paydaşlar ve müşteriler için veri gizliliğine uyulduğuna dair güvence sunar. Sertifika, işletmelerin gizlilik gereksinimlerini karşıladığının ve düzenlemelere uyum sağladığının kanıtı olarak hizmet eder. Özellikle dijital dönüşüm sürecinde, şirketlerin bu tür sertifikalara sahip olması, müşterilere ve ilgili taraflara daha fazla güven verir.

3. Operasyonel Verimlilik ve Maliyet Azaltma
Birden fazla düzenleyici gereksinimi tek bir çatı altında karşılayabilmek, işletmelere operasyonel verimlilik kazandırır ve uyum maliyetlerini düşürür. Tek bir gizlilik yönetim sisteminin uygulanmasıyla, karmaşık yapılar yerine yalın ve etkin bir uyumluluk sistemi oluşturulabilir.

4. Siber Güvenlik Farkındalığını Artırma
ISO 27701, güvenlik ve gizliliği birlikte ele alarak siber güvenlik farkındalığını artırır. Bu standart sayesinde, çalışanlar siber tehditlerin farkına varır, şirketler düzenli izleme ve değerlendirme mekanizmaları oluşturarak güvenlik önlemlerini geliştirir. Bu süreç, siber saldırılara karşı dirençlerini artırır.

5. En İyi Uygulamaların Uygulanması
ISO 27701, güvenliğin ve gizliliğin korunması için en iyi uygulamaları belirler ve bu uygulamaların kurumsal yapıya entegre edilmesini sağlar. İşletmeler, verileri daha güvenli işleme, erişim denetimleri oluşturma ve tedarikçi yönetimi gibi konularda sistematik bir yaklaşım geliştirir.

ISO 27701 SERTİFİKASI ALMAK İÇİN NE YAPMALIYIM ?

ISO 27701 gibi kapsamlı bir gizlilik bilgi yönetim sistemi (PIMS) uygulamak, kuruluşunuz için belirli bir hedef doğrultusunda planlı bir yolculuğa çıkmak anlamına gelir. Bu yolculuğun her aşamasında uyum gereksinimlerini yönetmek için sistematik bir yaklaşım önemlidir. İşte uygulamayı başarılı kılmak için dikkate almanız gereken temel unsurlar:

1. Hedef Belirleme ve Netleştirme
ISO 27701 gibi bir sertifikasyonun hedeflenip hedeflenmeyeceğine karar vermek, sürecin ilk adımıdır. Sertifika almak her zaman zorunlu değildir, ancak ISO 27701’i uygulamak, veri gizliliğine dair bir kültür oluşturmaya yönelik önemli bir adımdır. Hedeflerinizi netleştirmek, zaman içinde ulaşmak istediğiniz olgunluk düzeyini belirlemenize ve uzun vadeli bir gizlilik stratejisi oluşturmanıza yardımcı olur.

2. Mevcut Sistemlerle Entegrasyon
Eğer ISO 27001 gibi mevcut bir bilgi güvenliği yönetim sisteminiz (BGYS) varsa, ISO 27701 gizlilik bileşenlerini buna entegre etmek oldukça verimli bir yöntem olabilir. Böyle bir sisteme sahip değilseniz, ISO 27001’i uygulayarak başlamak, ardından gizlilik yönetimini eklemek, daha yapısal bir geçiş sağlar. Alternatif olarak, her iki standardı aynı anda uygulamak da mümkündür. Seçiminiz, mevcut kaynaklarınız ve olgunluk düzeyinize bağlıdır.

3. Sürekli İyileştirme ve Planlama Döngüsü (PDCA)
ISO 27701, Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsünü temel alır. Bu, sürekli iyileştirme anlayışıyla ilerlemeyi sağlar ve ISO 27701’i uygulamak, süreçlerinizi sürekli olarak değerlendirme, iyileştirme ve olgunlaştırma alışkanlığı kazanmanıza yardımcı olur.

4. Kültürel Farkındalık ve Değişim Yönetimi
Veri gizliliği ve güvenliği için güçlü bir kültür oluşturmak, sistemin başarısında kritik rol oynar. İletişim planları oluşturmak, farkındalık eğitimleri düzenlemek ve değişim yönetimi metodolojilerini kullanmak, çalışanların yeni süreci benimsemesini kolaylaştırır. İnsanlar doğal olarak değişime direnç gösterebilir, bu nedenle bu sistemin onlara ve organizasyona ne gibi değerler kattığını anlatan somut bir iş senaryosu oluşturmak faydalı olur.

5. Proje Yönetimi ve Roller
Proje yönetim süreçlerini iyi tanımlanmış araçlar ve kaynaklarla desteklemek, özellikle büyük organizasyonlarda ISO 27701 gibi projelerin başarısını artırır. Bütçe tahminleri ve rollerin net bir şekilde belirlenmesi, organizasyon içindeki sorumlulukların daha iyi anlaşılmasını sağlar ve uygulama sürecinde karşılaşılan sorunları en aza indirir.

6. Maliyet ve Kaynak Planlaması
Bu tür bir projede maliyet ve kaynakların uygun planlanması önemlidir. ISO 27701, kapsamına ve organizasyon büyüklüğüne göre bütçelendirilmelidir. Örneğin, personel eğitimi, altyapı iyileştirmeleri ve sürekli izleme sistemleri için gerekli maliyetlerin önceden tahmin edilmesi, projenin finansal sürdürülebilirliğini sağlar.

7. İletişim ve Görünürlük
İç ve dış paydaşlarla etkili bir iletişim sağlamak, ISO 27701 uyumluluğunun değerini anlamaları için kritiktir. İletişim, projeye olan güveni ve bağlılığı artırır. Düzenli olarak bilgi paylaşımı yapmak, projenin ilerleyişi hakkında çalışanları bilgilendirmek ve başarıları görünür kılmak, değişim sürecinin başarılı bir şekilde yönetilmesine katkıda bulunur.
Sonuç olarak, ISO 27701 gibi bir gizlilik yönetim sistemi uygulaması, net bir hedefe yönelik yapılacak kapsamlı bir planlamayla başarıya ulaşır. Değişim yönetimi süreçleri ve güçlü bir gizlilik kültürü oluşturma çabaları, bu sürecin kalıcı ve etkin olmasına katkıda bulunur.

ISO 27701 İle Uyumlu Gizlilik Yönetim Sistemini Uygulamak İçin En İyi Uygulamalar:

•    Kapsamlı Eğitim Programları: Çalışanların gizlilik ve güvenlik farkındalığını artırmak için düzenli eğitimler sağlamak.
•    Sürekli İzleme ve Değerlendirme: Veri güvenliğini izlemek ve tehditlere karşı hızlı müdahale edebilmek için izleme sistemlerini uygulamak.
•    Risk Yönetimi: Veri işleme süreçlerinde risk değerlendirmesi yaparak, riskleri en aza indirecek kontrol önlemleri geliştirmek.
•    Tedarikçi ve Üçüncü Taraf Yönetimi: Tedarikçilerle yapılacak veri işleme sözleşmelerine gizlilik gereksinimlerini dahil etmek ve sürekli izleme sağlamak.

ISO 27701´in sunduğu kapsamlı çerçeve, şirketlerin gizlilik yasalarına uyum sağlamasını ve müşterilere daha güvenli bir deneyim sunmasını kolaylaştırır.

ISO 27701 STANDARDINDA DEĞİŞİM YÖNETİMİNİ NASIL SAĞLARIZ?

Değişim yönetimi, çalışma şeklimizi ve davranışlarımızı değiştirmeyi hedefler ve genellikle organizasyonda dirençle karşılaşabilir. Bu yüzden, başarılı bir değişim yönetimi süreci için çalışanlara ve paydaşlara ilham verecek, onların desteğini kazanacak bir Misyon ve Vizyon (MV) belirlemek çok önemlidir. Bu girişimin neden yapıldığını, değerini ve anlamını açık bir şekilde ortaya koymalısınız. İşte bu süreçte dikkate almanız gereken bazı önemli adımlar:

1. Misyon ve Vizyon Belirlemek
Kuruluşunuzun hedeflerine ulaşması için çalışanları motive edecek bir misyon ve vizyon belirlemek, değişim sürecinde olumlu bir etki yaratacaktır. Bu, çalışanların değişim sürecinin amacını daha iyi anlamalarını sağlar ve onlara bu sürecin sonunda ne kazanacaklarını gösterir.

2. Değişimin Anlamını Somutlaştırmak
Çalışanlar için değişim sürecinin amacını somut örneklerle açıklamak, sürecin daha iyi anlaşılmasını sağlar. Bu aşamada, belirli iş senaryoları oluşturarak, yapılacak değişikliklerin günlük iş akışlarına ve uzun vadeli hedeflere nasıl katkıda bulunacağını gösterebilirsiniz. Bu tür somut açıklamalar, özellikle değişime direnç gösteren çalışanları kazanmak için faydalı olacaktır.

3. Bütçe ve Kaynak Planlaması
Değişim yönetimi süreci maliyet gerektiren bir girişimdir, bu yüzden bütçe tahmini doğru yapılmalıdır. Eğitimler, yeni araçlar, kaynak ve zaman planlaması gibi unsurlar bu bütçeye dahil edilmelidir. Örneğin, eğitim programları, yeni yazılım veya teknolojik altyapılar için ek maliyetler oluşabilir. Bu tür bir girişim için net bir bütçe tahmini yapmak, kaynakların daha verimli kullanılmasını sağlar.

4. Rollerin ve Sorumlulukların Açıkça Belirlenmesi
Değişim sürecinde, herkesin rol ve sorumluluklarının açıkça tanımlanması çok önemlidir. Bu, görevlerde belirsizlikleri önleyerek sorumluluk sahibi bireylerin daha etkili çalışmasını sağlar. Genellikle organizasyonlarda rollerin net olmaması sorunlara yol açar, bu yüzden her çalışanın hangi aşamada nasıl katkıda bulunacağı belirlenmelidir.

5. Etkili İletişim Planı Oluşturma
İletişim, değişim yönetiminde en önemli unsurlardan biridir. Düzenli ve şeffaf iletişim, çalışanların değişim sürecine dair sorularına yanıt bulmasını ve bu süreci sahiplenmesini sağlar. İyi bir iletişim planı, süreç boyunca çalışanları bilgilendirerek, onları daha fazla motive eder.
Bu adımları izleyerek değişim yönetimini etkili bir şekilde uygulayabilir, organizasyonda güçlü bir destek kazanarak değişim sürecini başarıyla tamamlayabilirsiniz.

CDP’nin (Gizlilik Etki Değerlendirmesi) Önemi ve Gerekliliği

CDP, bir işletme veya kuruluşun yürüttüğü faaliyetlerin gizlilik ve veri güvenliği üzerindeki etkilerini değerlendirerek riskleri yönetmesine yardımcı olan bir süreçtir. Temelde, elde edilen verilerin nereden geldiği, satış veya pazarlama amacıyla kullanılıp kullanılmadığı, bilgiler üzerinde hangi işaretlemelerin yapıldığı ve bu bilgilerin nerede saklandığı gibi sorulara yanıt arar. Bu değerlendirme, şirketin faaliyetlerinde yer alan kişisel verilerin nasıl işlendiğini ve bu işlemin bireyler üzerinde yaratabileceği riskleri anlamak açısından önemlidir.

1.    Gizlilik ve Veri Koruma Etki Değerlendirmesi: Gizlilik Etki Değerlendirmesi (CDP) ve Veri Koruma Etki Değerlendirmesi (PIA) arasında bazı farklar vardır. Uluslararası Standartlar Örgütü (ISO) gibi kuruluşlar, gizlilik etki değerlendirmesi için spesifik standartlar geliştirmiştir. Bu standardın amacı, gizlilik açısından potansiyel riskleri belirlemek ve bu riskleri azaltmak için gerekli önlemleri almak için bir araç sunmaktır.

2.    Riskleri Tanımlama ve Yönetme: Bu değerlendirme yalnızca uyum sağlama amaçlı değildir; aynı zamanda riskleri tanımlama ve çözme amacı güder. Bu nedenle işletmelerin, işlemleri esnasında ortaya çıkabilecek gizlilik risklerini anlaması ve bireylerin hak ve özgürlükleri açısından yüksek risk oluşturabilecek durumlar için önceden değerlendirme yapması gerekmektedir.

3.    ISO ve CDP Farkları: ISO standartları, paydaşlara danışmayı kapsarken, CDP´nin tanımı bu kapsama dahil değildir. Paydaşlara danışmak, yalnızca veri sahipleri değil, tüm ilgili tarafların görüşlerinin alınmasını ifade eder. Bu farklar, gizlilik etki değerlendirmesi süreçlerinde bazı detay farklılıklarına yol açabilir.

4.    Kontrol ve Raporlama: Güncel CDP standartları, işlemlerde meydana gelebilecek risklerin denetleyici makamlar tarafından denetlenmesi ve olası risklerin raporlanmasını da içerir. İşletmelerin bu değerlendirmeleri gerçekleştirmesi, veri sahiplerine yönelik riskleri en aza indirgemek adına önemlidir.
Sonuç olarak, gizlilik etki değerlendirmesi, işletmelerin veri işleme faaliyetlerindeki potansiyel gizlilik risklerini önceden belirlemesine, bu riskleri yönetmesine ve denetleyici makamlar ile veri sahiplerine karşı hesap verebilir olmalarına olanak sağlar.

Madde 6: ISO/IEC 27002 ile İlişkili PIMS´e Özgü Rehberlik

Bu madde, ISO/IEC 27002 bilgi güvenliği rehberliğini genişleterek gizlilik korumasını da kapsayacak şekilde uyarlama üzerine odaklanır. İşte bu rehberliğin içerdiği başlıca unsurlar:

•    Bilgi Güvenliği Politikalarının Gizlilikle Entegre Edilmesi: Kuruluşların, yasal uyum, sözleşme yükümlülükleri ve paydaş gereksinimlerine dayalı olarak, bilgi güvenliği politikalarına gizlilikle ilgili açıklamaları eklemeleri gerekir.

•    Kişisel Verilerin İşlenmesiyle İlgili Rol ve Sorumluluklar: Kişisel verilerin işlenmesi konusunda net bir görev dağılımı sağlanır. Bu rehber, gizlilik ihlali durumunda olay bildirimine dair farkındalık yaratmayı ve ihlalin sonuçlarına ilişkin bilinç oluşturmayı içerir.

•    Bilgi Sınıflandırma İçerisinde Kişisel Verilerin Ele Alınması: Kuruluşlar, işledikleri kişisel verileri, saklandıkları yerleri ve geçtiği sistemleri tanımalıdır. Ayrıca, çalışanlar, kişisel verilerin (PII) ne olduğunu ve nasıl tanımlanacağını bilmelidir.

•    Olay Yönetimi ve Diğer Uygulama Rehberlikleri:
o    Olay yönetimi, çıkarılabilir medya, PII işleyen sistem ve hizmetlerde kullanıcı erişimi, kriptografik koruma, PII saklanan alanın yeniden atanması, PII yedekleme ve kurtarma süreçleri, olay günlüklerinin gözden geçirilmesi, bilgi transfer politikaları ve gizlilik anlaşmaları konularında detaylı rehberlik sağlanır.

•    Veri Aktarımı ve Sistem Geliştirme Öncesinde PII Dikkate Alma: Kamuya açık ağlarda veri aktarımı öncesinde ve sistem geliştirme ve tasarım süreçlerinde PII’nin önceden dikkate alınması teşvik edilir.

•    Tedarikçi İlişkileri ve Beklentilerin Belirlenmesi: Tedarikçilerle olan ilişkilerde, kişisel veri işleme beklentileri ve sorumluluklar açıkça belirlenmelidir.
Bu madde, kuruluşların PII´nin korunmasını sağlamak için gereken uygulamaları bütünsel bir şekilde planlamalarını teşvik eder.
Madde 7: Kişisel Veri Sorumluları İçin Ek Rehberlik
Bu madde, kişisel veri sorumluları (PII controllers) için PIMS´e özgü uygulama rehberliği sunar ve Ek A´da listelenen kontrollere dayanır. İşte bu rehberliğin öne çıkan yönleri:

•    Kişisel Veri İşleme Amaçlarını Belirleme ve Yasal Dayanak Sağlama: İşlediğiniz kişisel veriler için özel amaçları tanımlamalı ve ilgili yasalara uyum için işleme faaliyetlerinizin yasal bir dayanağını belirlemelisiniz. Verinin işleme amacı değişirse veya genişletilirse güncellemeler yapılmalıdır.

•    Özel Kategori Veriler ve Onay Gereksinimleri: Özel kategori verilerin (hassas veriler) işlenmesi, veri sahiplerinin onay gereksinimlerinin dikkate alınması ve riskleri en aza indirmek için gizlilik etki değerlendirmelerinin yapılması gerekir.

•    Kişisel Veri İşleyiciler ve Ortak Sorumlularla İlgili Sözleşmeler: Veri işleyicilerle yapılacak sözleşmelerde ve ortak veri sorumluları ile iş ilişkilerinde açık roller ve sorumluluklar belirlenmelidir.

•    Veri Sahiplerini Bilgilendirme: İşlediğiniz kişisel veriler hakkında kişileri bilgilendirmeniz gereklidir; bu bilgilendirme neden ve nasıl veri işlediğinizi açıkça içermelidir. Herhangi bir talep için bir iletişim noktası sunulmalıdır.

•    Onay, Erişim, Düzeltme veya Silme Rehberliği: Veri sahiplerinden onay alınması, onayın geri çekilmesi, kişisel verilere erişim, verilerin düzeltilmesi veya silinmesi konusunda ayrıntılı rehberlik sunulur. Ayrıca üçüncü taraf yükümlülükleri, taleplerin ele alınması ve otomatik karar alma işlemleri ile ilgili rehberlik sağlanır.

•    Gizlilik Tasarımı ve Minimum Veri Gereklilikleri: Sistem ve süreçlerde gizlilik tasarımı ilkesi, veri toplama ve işleme için minimum gereksinimlerin dikkate alınmasını gerektirir. İşlenen verilerin doğruluğu, kalitesi, işleme amacına uygun veri sınırlamaları ve işleme sonlandırma gereklilikleri göz önünde bulundurulmalıdır.

•    Kişisel Veri Paylaşımı, Transfer ve Açıklama: Farklı yargı bölgeleri arasındaki veri aktarımı için destekleyici belgelerle birlikte veri paylaşımı, transferi ve açıklama rehberliği sağlanır.
Bu madde, veri sorumlularının kişisel veri işlemede yasal uyum ve şeffaflık sağlamalarına yönelik detaylı rehberlik sunarak, veri işleme süreçlerinde gizliliğin etkin şekilde yönetilmesini amaçlar.

 

Bizi Takip Edin :
EKOL ULUSLARARASI BELGELENDİRME EĞİTİM HİZMETLERİ LİMİTED ŞİRKETİ
  • AMaslak Meydan Sokak. Beybi Giz Plaza No:1 Kat:15 D:55 Sarıyer İstanbul
  • T0212 909 12 07
  • W0552 746 10 51
  • Minfo@ekolbelgelendirme.com
Kapat
Anlık gelişmelerden ve kampanyalarımızdan anında haberdar olmak için bültenimize abone olun!
Instagram
Whatsapp