GDPR, Avrupa Birliği Dışındaki Şirketlerin Tabiiyeti ve Cloud

Bu yazımızda; varlığı da yokluğu da sorun olmaya başlayan Bulut hizmetlerini, AB dışında bulut ve diğer hizmet veren şirketleri ve GDPR ile ilişkisini inceleyeceğiz.

Aslında fark etmediğimiz ve belki de kendilerinin de fark etmediği kadar Türk şirketi internet, mobil uygulama vb üzerinden Avrupa Birliği üye vatandaşlarına mal ve hizmet sunumu yapmaktadır hatta bazen yurt dışına verilen hizmet yerel profile verilen hizmetten daha değerli hale bile gelebilmektedir. Mayıs ayında aşil tendonu ameliyatım sonrası istirahatte iken şehir dışından gelen telefon, benim de açıkçası pek duymadığım ve bilmediğim bir organizasyondan idi. Son derece iyi niyetli ve saygılı yöneticilerinden birisi bir GDPR ve danışmanlığı ile ilgili bilgi edinmek istiyordu. Şirketin ekosistemini öğrenmek için sorduğum bazı sorular sonucunda hiç de bilmediğim duymadığım şirket ve hizmet alanları olduğunu, çoktan Viyana kapılarını geçtiğimizi anladım girişimci kafalarımız ile… Şirket bir online dating şirketi idi, yurt dışına ve yurt içine hizmet veriyordu. Ve aynı Mayıs ayı GDPR’ın hayata geçme termini nedeni ile yöneticiler tarafından da doğal olarak uyum çalışmaları yapmak istiyorlardı. Bu yönleri ile takdire şayanlardı ama yerel veri koruma kanununa uyum ile ilgili çalışmalarının ne aşamada olduğunu ve öncelikle bu kanunumuza uyum sağlanması gerektiğini söylediğim zaman, domestic profillerini feda edebileceklerini ve yerel hizmet yelpazelerini sonlandırma düşünceleri ile şaşırtmışlardı beni… Konuşmanın ileri safhaları, Veri Sorumlusu ve İşleyen yükümlülüklerinin sadece hizmet alanları ile sınırlı olmadığı, çalışanların, adayların, tedarikçi çalışanları vb. profillerin de kanunumuza uyum mükellefiyeti doğurduğunu anlatarak ilerledi ve değerlendireceklerini söyleyerek görüşme sonlandı. Kim bilir bu gibi kaç tane şirketimiz var, acaba diğer şirketlerimizde de bu kadar farkındalık var mıdır bilmiyorum ama Avrupa Birliği gayet farkında ve birlik vatandaşlarına ait kişisel verileri koruma adına GDPR’da aşağıda belirtilen maddeler ve Weltimmo tipi davalar bu işi ne kadar ciddiye aldıklarının göstergesidir.

Bulut bilişime döner ve tanımından başlayacak olur isek;

Bulut Bilişim”i bilgi teknolojileri servislerinin internet üzerinden alındığı durumlar olarak özetleyebiliriz. Bu servisler, organizasyonun kendi “özel bulut”u ya da üçüncü taraf tedarikçiler aracılığı ile temin edilebilir. Servisler arasında, yazılım, altyapı (ör: grup sunucu yapıları), hosting ve platformlar (ör: işletim sistemleri) sayılabilir. Günümüzde nerelerde kullanmıyoruz ki bulutu? web ortamındaki mail’lerden kurumsal veri depolama çözümlerine kadar birçok uygulama olarak karşımıza çıkıyor. Bunlar aşağıdakiler ile sınırlı olmamak üzere farklı tiplerde servis modelleri olarak hayatımıza girdi:

·      Servis olarak altyapı (IaaS – Infrastructure as a Service ): Bu yapı, hizmet sağlayıcının yalnız uzaktan erişim ve kullanım olanağı sağladığı fiziksel bilişim kaynaklarıdır. İşletim platformu ve tüm uygulamaların hem sağlanması hem de kurulumu servis edinen sorumluluğundadır.

·      Servis olarak platform (PaaS – Platform as a Service): Bu hizmet yapısında tedarikçi, işletim sistemlerine uzaktan erişim ve kullanım olanağının yanı sıra temel donanımı da sağlar, ancak, uygulamaların sağlanması ve kurulumundan hizmet alıcı sorumludur.

·      Servis olarak yazılım (SaaS – Software as a Service): Bu yapıda ise, hizmet sağlayıcının tümüyle altyapı, platform ve uygulamayı sağladığı durumlardır.

Bu servisler genellikle aşağıda sayılan genel özelliklere sahiptir:

·     Güvenlik önlemleri, lokasyon ve işleme için uygulanabilir servis standartlarını tedarikçi belirler.

·      Müşteri verileri, kapasiteye bağlı olarak servis sağlayıcının altyapısı içinde dağıtıktır.

·      Servis altyapısı ve kaynakları, tedarikçinin müşterileri arasında paylaşılır ve birden fazla ülkede konumlandırılmış olabilir.

Geleneksel yaklaşımda bir kuruluşun işletim sistemi, programları ve verileri ya bilgisayarlarında ya da kuruluşun kendi sunucularında bulunur. Bulut sistemleri bu modeli önemli ölçüde değiştirmiştir. Söz konusu sistem, program ve/veya veriler, dünyanın herhangi bir noktasında, kendi kullanıcılarına özel olarak kuruluşun kendisi tarafından ya da bir servis sağlayıcı tarafından yönetilebiliyor.

Bulut bilişim konusunda an itibarı ile AB’e yönelik düzenleyici herhangi bir yasama aracı bulunmasa da (devam eden süreçler mevcut, ör. CISP ve EDPB görüşmeleri) teknolojik açıdan tarafsız olan Genel Veri Koruma Tüzüğü (GDPR), veri sorumluları için yükümlülükler tesis ediyor.

İlişkili Regülasyon Hükümleri ve Yaklaşımlar

Şimdi GDPR’a göz atalım ve bulut ile ilişkisine değinelim:

Madde 3.1: Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi için uygulanır.

Madde 3.2: Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyici tarafından işlenmesi için uygulanır:

Madde 3.2.a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya

Madde 3.2.b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

Bu hükümlerin Madde 3.1’i için, GDPR’nin yerini aldığı Veri Koruma Direktifi 95/46/EC içeriğinde de kapsamda idi. Ancak, Avrupa Birliği Adalet Divanının yakın tarihli davalarında bu koşulu çok geniş olarak yorumladı. Divan; Weltimmo Davasında, söz konusu ‘kurulmuş’luğu (establishment) nelerin oluşturduğu konusunda önemli bir yön belirledi ve bu durumun kuruluş düzenlemelerinin istikrarlılık derecesine ve faaliyetlerinin etkin biçimde uygulanıp uygulanmadığına dayalı olarak yorumlanacağını ifade etti. Weltimmo şirketi, Macaristan‘da bir web sitesi üzerinden emlak komisyonculuğu hizmeti veren bir Slovak şirketiydi. Avrupa Birliği Adalet Divanı, aşağıdaki koşullara sahipliği ışığında Weltimmo’nun Direktif bağlamında Macaristan’da bir ‘kuruluş’ olduğunu tayin etti:

·      Macaristan’da bir banka hesabının bulunması.

·      Macaristan’da bir posta kutusunun bulunması;

·      Macaristan’a yönelik ve Macar dilinde oluşturulmuş bir web sitesinin bulunması;

·      Mahkeme işlemlerinde temsil ve borç tahsilatı amaçları için Macaristan’da bir temsilcisinin bulunması;

Dolayısı ile bu dava, bir Avrupa Birliği üye ülkesindeki minimal faaliyetlerin bile Avrupa veri koruma yasaları bağlamında bir kuruluş, tesis olarak değerlendirilmesi için yeterli olabileceğini teyit etmiştir.

Yine başka bir Avrupa Birliği Adalet Divanı davasında AB dışındaki şirketin muallak ve AB vatandaşlarını hedeflemediğini öne sürdüğü faaliyetleri ile ilgili olarak verdiği kararda (ki bence şirketi yakaladığı muazzam nokta atışları var); AB müşterilerini hedefleme niyetinin aşağıdaki indikatörler ile belirli olduğunu karara bağlamıştır.

  • ‘patent’ kanıtı: bir AB üye devlet içindeki kişilerin erişimini kolaylaştırmak amacıyla bir arama motoruna para ödenmesi
  • (muhtemelen birbirleriyle kombinasyon halinde) aşağıdakileri içeren diğer faktörler: İlgili faaliyetin “uluslararası niteliği” (örneğin, turistik faaliyetler); uluslararası kodlu telefon numaralarının tahsisi; tüccarın kurulu olduğu ülke dışında başka bir üst alan adının (domain) kullanılması ve alınması (örneğin, .de veya .eu alan bir ABD kuruluşu); AB üye devlet dillerinde kullanım kılavuzu ve rehberler; “çeşitli Üye Devletlerde yerleşik müşterilerden oluşan uluslararası müşteri” tanımlarının geçtiği sözleşmeler

Ayrıca son içtihat kanunları, kişisel veri işleyen AB dışından bir veri sorumlusu ile AB merkezli bir kuruluş arasındaki bir ekonomik bağlantının, veri sorumlusunun faaliyetlerinin Tüzük’e tabi olacağı anlamına geldiğini de gösteriyor.

Madde 3 koşullarının Direktif’e dahil edilmemiş olan ikinci kolu, Avrupa veri koruma yasalarının uygulanabilirliğinde önemli bir gelişmeyi temsil ediyor. Bu sayede veri işleyen ya da veri sorumlusu, işlediği kişisel verilerin, AB’de bulunan bireylerin davranışlarının izlenmesi ya da bu kişilere hizmet veya ürün sunulmasına ilişkin olması halinde, bir AB kuruluşu olsun ya da olmasın, Tüzük kapsamında değerlendiriliyor.

Bu bağlamda bulut servis sağlayıcıları; bu koşullardan herhangi birinin, tüm veri işleme faaliyetlerini ya da bir kısmını Avrupa veri koruma yasaları kapsamına getirip getirmediği konusunu dikkate almak durumundalar. Bu işleme faaliyetleri, doğrudan Tüzük’e tabi olmasa bile müşterilerinin Tüzük’e tabi olması halinde, müşterilerin bulut servis sağlayıcısına, kişisel verilerin kullanımı için aynı şartları içeren sıkı veri işleme sözleşmeleri imzalatmaları zorunluluğu geliyor.

Nihayetinde düşünelim; biz veya bir AB vatandaşı kişileri verilerimizi bir organizasyona belirli hukuki zeminlere oturması gereken işleme süreçleri için emanet ediyoruz. Organizasyon da; gerek kendi gerek İlgili Kişi’lerin menfaati için teknolojiyi kullanarak, tarafların hayatını kolaylaştıran “bulut hizmetleri”ni sunan bulut servis sağlayıcılarına emaneti emanet ediyor. Bu bağlamda kullanılan teknolojinin karmaşıklığını, işleyişini (fail over, load balance, disaster restorations, security concerned infrastructures,vb) ve devimine ait kontrollerini, TAM MANASI ile ne bizim ne de emanet ettiğimiz ve hesap sorulacak (veri sorumlusu) olan ilk şirketin bilmesine olanak görünmüyor. Eee zaten oturmuş bir standart da henüz yok, bu durumda elleri kuvvetlendirecek, kontrol bağlamında elimizde sahip olabildiğimiz son ipin ucu ve yükümlülük paratoneri olabilecek yegane geriye kalan bağlayıcı şey, Veri Sorumlusunun bulut hizmet sağlayıcısı ile yaptığı sözleşmelerdir kanaatindeyim.

Bir sonraki yazımızda GDPR yaklaşımı ile Bulut Bilişim hizmeti alımında en önemli nüanslardan olan;

  • Bulut bilişim firmaları ile yapılan sözleşmelerde nelere dikkat edildiği ve
  • Bulut bilişim kullanımı ile uluslararası veri transferlerinde regülasyonlar ile uyum sağlamak için hangi hukuka uygun yolların kullanıldığına

değinmeye çalışacağım.

Sağlıcak ve Esenlikle…

DRUCKER KÖŞESİ


İnsanlarla İlgili Doğru Yargıda Bulunma:

“İnsanlarla ilgili kararlarınızı önceliğiniz haline getirin.
Bu kararlar için daha çok zaman ayırın, böylece vaktinizi pişman olmakla harcamazsınız.”

KVKK Uyum Geçiş Süreçleri için Özdeğerlendirme Soruları

Bilindiği üzere organizasyonların, KVKK’yi (Kişisel Verileri Koruma Kanunu) 7 Ekim 2016 tarihi itibarı ile, uygulama yükümlülüğü mevcut. Avrupa Birliği ve Avrupa Ekonomik Alanı ülkeleri ise, kişisel veriler ile ilgili düzenlemeleri 1996 yılından (ve hatta kısmi olarak daha eski) bu yana hayatlarında tecrübe etmekteler. Kanunumuz ile; kurumların, yaşayan birey verisine dokunduğu süreçlerinde artık hiçbir şey eskisi gibi olmayacak. Lakin diğer regülasyonlarda tecrübe edildiği gibi, bizi öldürmeyen kuvvetlendireceğinden; mahremiyet, bilgi güvenliği, risk yönetimi vb. disiplinlerinde düzgün adaptasyon ile, ülke ve kurumlar olarak sıkılaşacağımızı düşünüyorum. Kanun’un ortaya çıkma sebeplerinden biri olan bireylerin temel hak ve özgürlüklerindeki kazanımlar da cabası.

Kanuna uyum ve kişisel verileri koruma; 
bir proje değil,
tamamlanma tarihi olmayacak,
yaşayan bir sistem...

Kanun’a uyum ve kişisel verileri koruma; bir proje değil, tamamlanma tarihi olmayacak, ve yönetim sistemlerinde (ISMS/BGYS, BCMS/İSYS, ITMS/BTYS, QMS/KYS vb.) olduğu gibi, tanımlanmış fazları (PDCA/PUKÖ vb.) ve döngüleri üzerinde ne kadar bilinçli spin atılırsa, o kadar olgunluğu artacak yaşayan bir sistem olacağı görüşündeyim. Bu yüzden henüz hayata geçirmemiş kurumlar, organizasyon şemalarında bu alana (mahremiyet/privacy) veya bu alanın da dahil edildiği ortak paydalı disiplinlere yer açmayı değerlendirmeleri faydalı olacaktır.

Hazır konuya girmişken bir öngörü daha yapalım o zaman: (bahsedeceğimiz birim/sorumluluk ile halihazırda yaşayan vizyoner kurumlarımızı hariç tutarak) nasıl ki mahremiyet (privacy) kapsamlı nur topu gibi bir bebeğimiz olduysa yakın/orta gelecekte konjonktüre binaen, “etik” adında başka bir sorumluluk ve yönetim alanımız da olabilecektir.

Bu yazımızda; hem GDPR üzerine doküman (özellikle BFDI yayını) incelemelerimizde hem de kişisel veriler uyum projelerimde, “atlanmaması gerekenler” olarak belirlediğim alanlara dair öz değerlendirme soruları sormaya çalışıyoruz. Aşağıda paylaşılanlar; çoğunun yerine getirilmesi haftalar alabilecek ana çalışma konuları altında, bir nevi checklist soruları olarak görülebilir. Baştan ifade etmekte fayda var, bunlar bir proje planı adımları değil ve Kurul’un duyuru ve yayınları ile eklenebilecek, yer verilmemiş kalemler de mevcut. Maksat; organizasyon olarak uyum sağlamaya çalıştığımız ve bazılarını henüz yapmamış olabileceğimiz çalışmaları gözden geçirmek, hatırlatmak ve eksiklikler varsa bir yerlere not almak ve en önemlisi düşündürmek amacıyla bazı sorular ile bir öz değerlendirme yaklaşımı… O zaman başlayalım:

I. Organizasyonel Yapı ve Sorumluluklar

  1. Şirkette, (kişisel) verileri korumanın, yönetimin sorumluluğu olduğunun farkındalığı var mıdır? Ör;
    • Veri koruma yönetmeliklerinin, politikalarının varlığı
    • Veri koruma hedeflerinin tanımlanmış olması
    • Sorumlulukların düzenlenmesi
    • Veri koruma riskleri konusunda farkındalık
  2. Şirketiniz, bir veri koruma görevlisine veya eşlenik sorumlukta bir role sahip mi?
    • Değilse neden?
    • Evet ise, hangi konularda kim tarafından hangi alanlarda görevlendirilecektir?
    • Evet ise hangi alanlarda görev, yetki ve sorumlulukları bulunmaktadır? Net ve resmi olarak tanımlanmış mıdır?
    • Evet ise, “Veri Sorumluları Sicili Hakkında Yönetmelik” te tanımlanan veri sorumlusu temsilcisi veya irtibat kişisi sıfatlarından herhangi birine haiz midir ve sicile bildirimi düşünülmekte midir?

II. İşleme faaliyetlerine genel bakış

  1. KVKK’nin “Kişisel Verilerin İşlenmesi” tanımında yer alan “kaydedilme” kapsamında işleme faaliyetleriniz hakkında kayıtlarınız ve bu kayıtların yönetim süreci var mı?
  2. Kurumunuz; her veri düzeltimi veya değiştirimi içeren işleme faaliyetinde; (kişisel) veri koruma hususlarının dikkate alındığını ve yönetildiğini nasıl garanti eder?

III. Üçüncü tarafların katılımı

  1. Faaliyetlerinizin yürütülmesi için üçüncü taraflar (veri işleyen) kullanıyor musunuz?
    • Evet ise, veri işleyenlerinize karşı gözetim süreciniz mevcut mudur?
    • Evet ise, tüm veri işleyenlerinizle KVKK Madde 12.2’nin asgari içeriğini içeren gerekli anlaşmaları imzaladınız mı?

IV. Şeffaflık, aydınlatma yükümlülükleri ve ilgili kişi haklarının güvencesi

  1. Veri toplama esnasında ilgili kişilerin veri korumasıyla ilgili bilgilendirme metinlerinizi KVKK Madde 10.1’e uygun hale getirdiniz mi?
    KV yükümlülüklerinize yönelik yakın gelecekte lazım olabilecek alttaki hazırlıklar, çalışma kapsamınızda mıdır?
    • Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri, VERBİS’in 2018 başında devreye gireceği bildiriliyor ve kişiyi tespit (ve ikna:) ) etme süresi azalıyor.
    • Kişisel verileri işlemenin hangi amaçla yapıldığı ki bunu data envanterinden toplamanız gerekebilir,
    • Kişisel verilerin aktarıldığı alıcı veya alıcı grupları, ki bu da uzun bir çalışma gerektirebilir structured bir knowledge management süreciniz yoksa
    • İlgili kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, yine VERBİS’in isteyeceği alanlardan bir tanesi
    • Kişisel verilerin işlenmesi için yasal dayanaklar. Bu sorunun cevabını ben değerli avukatlarımızdan destek alarak cevaplamanın doğru olduğu kanaatindeyim.
    • Verilerinizi sizin adınıza veya üçüncü şahıslar adına işlendiği durumlarda amaç, meşru menfaatler ise: bu meşru menfaatlerin neler olduğu
    • Saklama süresi; bu bilgi sağlanamıyorsa bile depolama periyodunun belirlenmesi.
    • Verisi işlenen ilgili kişinin verisine erişim, düzeltme, silme, işlemeyi kısıtlama hakları, özel durumlarda itiraz etme hakları ve verisinin taşınabilirliği için ortam mevcudiyeti
    • İşlemeye ilişkin yasal dayanak açık rıza ise: ilgili kişinin herhangi bir zamanda onayını geri çekme için bildirim veya kanal mevcut mudur?
    • Bir gözetim makamına şikayet etme hakkı, süreci biliyor musunuz?
    • Kişisel verilerin tedarik edilmesinin, bir yasal veya sözleşmeye dayalı gereklilik olup olmadığı veya bir sözleşmede şart olup olmadığı. Bu madde ile ilgili sözleşmelere vakıf olmak ve gerekliliklerimiz ile kendimizi Kanunun 5.2.c tentesinin altına almakta fayda var derim.
    • Kişisel verisini, ilgili kişiden temin etmediyseniz: kişisel verilerin hangi kaynaktan temin edildiği ve varsa kamuya açık kaynaklardan gelip gelmediği; dikkat alenileştirilmiş veriden bahsetmiyoruz.
    • Pazarlama izni kullanıyor iseniz; müşteriler, potansiyel müşteriler vb. için KVKK uyumlu hale getirilip getirilmediği; bu konuda da Kurul’umuzun aydınlattığı şekilde ilerlemek gerekecek zira muallak konular mevcut bu alanda.
  2. KVKK’ya göre ilgili kişinin kişisel verilere erişim taleplerini derhal ve tamamen yerine getirmek için bir prosedür oluşturdunuz/tasarladınız mı?
  3. Düzeltim ve silme taleplerinin kabulü ve gerçekleştirimi sonrası ilgili kişinin bu talepleri için bağlantılı ve aktarılmış taraflara da bildirimini karşılamak için prosedür hazırladınız mı? Konunun çok dışına çıkmadan bir ipucu: ISO 22301 İş Sürekliliği Yönetim Sisteminde çok güzel bir vektör vardır: İPA; İlgili Partiler Analizi, organizasyonda bu varsa taraflarınıza hakimiyetiniz daha fazla olacaktır, daha fazla bilgi için Özgüven Saymaz Hoca’nın kitap ve dokümanları iyi bir referans olabilir.

V. Yükümlülük, Bilgi Güvenliği ve Risk Yönetimi

  1. Her veri işleme faaliyetinin, hukuka uygun işlendiğini ispatlamayı sağlayan bilgi var mı? Ör. Amaçlarla ilgililik, kişisel veri kategorileri, alıcılar ve/veya silme periyotları
    • Veri işlemenizin dayandığı açık rıza metinlerinin KVKK’nin 10. maddesi (aydınlatma yükümlülüğü) gereklilikleri ile uyumlu olup olmadığını değerlendirdiniz mi?
    • Rızanın verildiğine ait tüm yazılı, sözlü ve (varsa) sosyal medya kanıtlarını gösterebilecek durumda mısınız?
  2. Veri işleme sürecinizin KVKK’a uyumlu olduğunu kanıtlamak, taahhüt edildiği gibi yaşadığına güvence sağlayabilmek ve sistemi sürdürülebilir kılmak için bir Veri Koruma Yönetim Sistemi planladınız mı?
  3. Var olan güvenlik süreçlerinizi; KVKK’nın 8.2.b, 12.1, 12.2 ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı’nın 3.7.1.d-e, 4.8.2, 4.8.3.c, 4.9.2 maddelerine göre analiz ettiniz ve gerekli düzenlemeleri yapmaya başladınız mı?
    • Güvenlik önlemlerinin düzenli gözden geçirilmesi, değerlendirilmesi ve iyileştirilmesi için uygun bir yönetim sistemi uygulanmakta mıdır? (ISO 27001, PCI/DSS, CobIT denetimleri, kısmen ise penetrasyon testleri fayda sağlayacaktır)
    • Mevcut kurumsal ve BT Risk Yönetimi yaklaşımınıza yakın gelecekte Mahremiyet Etki Analizi (Privacy Impact Analysis) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) bileşenini de dahil etmeniz gerektiğini biliyor musunuz?
  4. Yakın gelecekte kurumsal risk yönetimi yapınıza bir bileşen olarak girebilecek Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) hakkında bilginiz var mı?
    • (Evet ise); organizasyonunuzda bir Mahremiyet Etki Değerlendirmesi (PIA) ve/veya Veri Koruma Etki Değerlendirmesi (DPIA) yapılıp yapılmayacağını belirlemek için uygun bir yöntem oluşturdunuz mı? Organizasyonunuzda uygun bir risk metodu kurguladınız mı? Bu değerlendirmeleri yapabilmek için organizasyonunuzda bir süreç seçtiniz mi?

VI. Kişisel Veri İfşa ve İhlalleri

  1. Önümüzdeki dönemlerde yapılacak düzenlemeler çerçevesinde kişisel veri ihlallerinin denetim otoritesine bildirilmesi gerekeceğini biliyor musunuz?
    •  Organizasyonunuzda veri ihlallerinin tespit kabiliyetine sahip misiniz?
    •  İhlallerinin risklerini tespitine yönelik uygun bir yönteme sahip olduğunuzu düşünüyor musunuz?
    • Olası ihlaller ile ilgili dahili olarak nasıl başa çıkılacağı üzerine bir süreç düşündünüz mü?

Bu özdeğerlendirme sorularını tablo formatında incelemek isterseniz aşağıdaki tabloyu kullanabilirsiniz: