DSRRM ve GDPR Politikası
EITCA Akademi Veri Konusu Hak Talepleri Yönetimi Politikası ve Genel Veri Koruma Yönetmeliği
Bu belge, etkinliğini ve uygunluğunu sağlamak için düzenli olarak gözden geçirilen ve güncellenen AB Genel Veri Koruma Yönetmeliğinin uygulanmasının yanı sıra Avrupa BT Sertifikasyon Enstitüsünün Veri Sahibi Hakları Taleplerinin Yönetimine ilişkin Politikasını belirtir. EITCI Veri Sahibi Hakları Talepleri Yönetimi ve GDPR Politikasındaki son güncelleme 10 Ocak 2023'te yapılmıştır. Veri Sahibi Hakları Talepleri Yönetimi ve GDPR Politikamız, ISO 27701 Bilgi Güvenliğine ek olarak ISO 27001 Gizlilik Bilgi Yönetim Sistemi ilkelerine dayanmaktadır. Sistem standardı ve Genel Veri Koruma Yönetmeliği'nin (2016/679) gerekliliklerine göre.
Bölüm 1. Giriş
Veri konusu hak taleplerini yönetmek, veri koruma düzenlemelerine, yani GDPR'ye (AB Genel Veri Koruma Yönetmeliği) uygunluğu sağlamanın önemli bir parçasıdır. Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları taleplerini yönetmek ve GDPR gerekliliklerini uygulamak için aşağıdaki resmi prosedürleri tanımlamıştır:
1.1. Veri sahibi hakları taleplerini işlemek için bir süreç oluşturmak
Bu süreç, veri konusunun tanımlanması ve kimlik doğrulaması, veri konusunun talebinin doğrulanması ve talebe yanıt verilmesi dahil olmak üzere veri sahibi hakları taleplerini ele alırken Avrupa BT Sertifikasyon Enstitüsünün izlediği adımları ana hatlarıyla belirtir.
1.2. Bir Veri Koruma Görevlisi (DPO) Belirleme
Avrupa BT Sertifikasyon Enstitüsü, taleplerin incelenmesi, taleplere yanıt verilmesi ve veri koruma düzenlemelerine uygunluğun sağlanması dahil olmak üzere veri sahibi hakları taleplerinin yönetimini denetlemekten sorumlu bir DPO atar.
1.3. Kişisel verilerin güncel bir kaydını tutmak
Avrupa BT Sertifikasyon Enstitüsü, elinde tuttuğu kişisel verilerin ve bunların işlenme amaçlarına ilişkin güncel bir kayıt tutar. Bu, Avrupa BT Sertifikasyon Enstitüsünün veri sahibi hakları taleplerine hızlı ve doğru bir şekilde yanıt vermesini sağlayacaktır.
1.4. Veri sahiplerine açık ve özlü bilgi sağlanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verileri toplarken, veri sahiplerine, kişisel verilerine erişme, düzeltme, silme ve işlenmesine itiraz etme hakkı da dahil olmak üzere hakları hakkında açık ve özlü bilgiler sağlar.
1.5. Standart bir yanıt süresinin oluşturulması
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları talepleri için standart bir yanıt süresi uygular ve taleplerin bu süre içinde yanıtlanmasını sağlar.
1.6. Veri sahibinin kimliğinin doğrulanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin yalnızca doğru kişiye verildiğinden emin olmak için talepte bulunan veri sahibinin kimliğini doğrular.
1.7. Veri sahibi hakları taleplerine derhal yanıt vermek
Avrupa BT Sertifikasyon Enstitüsü, veri konusu hak taleplerine derhal yanıt verir ve veri sahibine talep ettiği bilgileri sağlar.
1.8. Veri sahibi hakları taleplerinin belgelenmesi
Avrupa BT Sertifikasyon Enstitüsü, talebin tarihi, niteliği ve talebe verilen yanıt da dahil olmak üzere veri konusu hak taleplerinin kaydını tutar.
1.9. Sürecin izlenmesi ve gözden geçirilmesi
Avrupa BT Sertifikasyon Enstitüsü, etkili kalmasını ve ilgili veri koruma yönetmelikleriyle uyumlu kalmasını sağlamak için veri sahibi hakları taleplerini ele alma sürecini düzenli olarak izler ve gözden geçirir.
1.10. İşleme Faaliyetlerinin Kaydını Oluşturma
Avrupa BT Sertifikasyon Enstitüsü, kuruluş tarafından gerçekleştirilen kişisel verilerin işlenmesini özetleyen bir belge olan İşleme Faaliyetlerinin Kaydını tutar. AB Genel Veri Koruma Yönetmeliği (GDPR) kapsamında zorunludur ve veri işleme faaliyetlerinin anlaşılmasını ve GDPR ile uygunluğun gösterilmesini desteklemeyi amaçlar.
Avrupa BT Sertifikasyon Enstitüsü, bu resmi ve prosedürleri takip ederek, veri konusu hak taleplerini etkin bir şekilde yönetebilir ve Avrupa Birliği'ndeki Genel Veri Koruma Yönetmeliği dahil olmak üzere veri koruma düzenlemelerine uyumu sağlayabilir.
Bölüm 2. Veri sahibi hakları taleplerini işlemek için bir süreç oluşturmak
Bu süreç, veri konusunun tanımlanması ve kimlik doğrulaması, veri konusunun talebinin doğrulanması ve talebe yanıt verilmesi dahil olmak üzere veri sahibi hakları taleplerini ele alırken Avrupa BT Sertifikasyon Enstitüsünün izlediği adımları özetlemektedir:
2.1. Veri öznesinin belirlenmesi ve kimliğinin doğrulanması
Avrupa BT Sertifikasyon Enstitüsü, talepte bulunan veri sahibinin kimliğini doğrulamak için yürürlükte olan bir süreç sürdürür. Bu, devlet tarafından verilmiş bir kimlik istemeyi, mevcut kayıtları kontrol etmeyi veya diğer kimlik doğrulama yöntemlerini kullanmayı içerebilir.
2.2. Veri konusunun talebinin doğrulanması
Veri konusunun kimliği belirlendikten sonra, Avrupa BT Sertifikasyon Enstitüsü talebin geçerli olduğunu ve veri sahibinin kişisel verileriyle ilgili olduğunu doğrulamalıdır. Talep, kişisel verilere erişme, bunları düzeltme veya silme hakkı gibi kullanılan özel hakkı da içermelidir.
2.3. İsteğe yanıt verme
Avrupa BT Sertifikasyon Enstitüsü, ilgili veri koruma yasalarında belirtilen süre içinde, ancak 30 günü geçmeyecek şekilde ilgili kişinin talebine yanıt vermelidir. Yanıtta, talebin kabul edilip edilmediği veya reddedildiği ve kararın gerekçeleri açıklanmalıdır.
2.4. Talep ve yanıtın belgelenmesi
Avrupa BT Sertifikasyon Enstitüsü, tüm veri sahibi hakları taleplerinin ve yanıtlarının kaydını tutar. Bu, ilgili veri koruma yasalarına uyulmasını sağlamanın yanı sıra gelecekteki denetimleri veya soruşturmaları kolaylaştırmaya yardımcı olur.
2.5. İlgili personeli eğitmek
Avrupa BT Sertifikasyon Enstitüsü, ilgili veri koruma yasalarını ve Avrupa BT Sertifikasyon Enstitüsü'nün bu tür talepleri işleme koyma prosedürlerini bildiklerinden emin olmak için veri sahibi hakları taleplerini ele almaktan sorumlu personele eğitim sağlayacaktır.
2.6. Sürecin izlenmesi ve gözden geçirilmesi
Avrupa BT Sertifikasyon Enstitüsü, etkin kalmasını ve ilgili veri koruma yasalarıyla uyumlu kalmasını sağlamak için veri sahibi hakları taleplerini ele alma sürecini düzenli olarak izler ve gözden geçirir. Herhangi bir sorun veya olay zamanında bildirilir ve ele alınır.
Bölüm 3. Bir Veri Koruma Görevlisi (DPO) Tayin Etme
Avrupa BT Sertifikasyon Enstitüsü, taleplerin incelenmesi, taleplere yanıt verilmesi ve veri koruma düzenlemelerine uygunluğun sağlanması dahil olmak üzere veri sahibi hakları taleplerinin yönetimini denetlemekten sorumlu bir DPO atar.
3.1. DPO'yu belirleme
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları taleplerinin yönetimini denetlemek ve veri koruma düzenlemelerine uyumu sağlamak için bir Veri Koruma Görevlisi (DPO) tayin eder. DPO, talepleri incelemekten ve Avrupa BT Sertifikasyon Enstitüsünün veri korumaya ilişkin yasal yükümlülüklerini yerine getirmesini sağlamaktan sorumlu olacaktır.
3.2. DPO'nun yeterlilik gereklilikleri
DPO, veri koruma yasaları ve uygulamaları hakkında uzman bilgisine sahip olmalı ve sorumluluklarını yerine getirmesi için gerekli kaynaklara sahip olmalıdır. Üst yönetime doğrudan erişimleri olmalı ve kuruluşun en üst yönetim seviyesine rapor vermelidirler.
3.3. DPO'nun sorumlulukları
DPO'nun sorumlulukları aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- Veri sahibi hakları taleplerinin yönetimi de dahil olmak üzere veri koruma konularında Avrupa BT Sertifikasyon Enstitüsüne rehberlik ve tavsiye sağlanması.
- Avrupa BT Sertifikasyon Enstitüsü'nün veri koruma düzenlemelerine ve dahili politika ve prosedürlere uyumunun izlenmesi.
- Veri sahiplerinin veri koruma düzenlemeleri kapsamındaki haklarına ilişkin soru ve şikayetlerine yanıt vermek.
- Veri koruma gereksinimlerinin kuruluş genelinde karşılanmasını sağlamak için diğer departmanlarla koordinasyon sağlamak.
- Avrupa BT Sertifikasyon Enstitüsü'nün veri koruma uygulamalarının periyodik incelemelerini ve değerlendirmelerini yapmak ve iyileştirme için önerilerde bulunmak.
- Veri koruma makamları için bir irtibat noktası olarak hizmet etmek ve bir soruşturma veya denetim durumunda onlarla işbirliği yapmak.
- DPO ayrıca Avrupa BT Sertifikasyon Enstitüsü'nün veri sahibi hakları taleplerinin ele alınmasıyla ilgili olanlar da dahil olmak üzere veri korumaya ilişkin politika ve prosedürlerinin geliştirilmesi ve uygulanmasında yer alır.
3.4. DPO'nun eğitimi ve niteliklerinin geliştirilmesi
Avrupa BT Sertifikasyon Enstitüsü, DPO'nun veri koruma düzenlemeleri konusunda yeterince eğitimli olmasını ve bu düzenlemelerdeki herhangi bir değişiklik veya güncelleme konusunda güncel tutulmasını sağlamalıdır.
3.5. DPO'nun iletişim bilgileri
DPO'nun iletişim bilgileri veri sahiplerine sunulmalı ve Avrupa BT Sertifikasyon Enstitüsü'nün gizlilik bildirimi veya politikasına dahil edilmelidir.
Bölüm 4. Kişisel verilerin güncel bir kaydının tutulması
Avrupa BT Sertifikasyon Enstitüsü, elinde tuttuğu kişisel verilerin ve bunların işlenme amaçlarına ilişkin güncel bir kayıt tutar. Bu, Avrupa BT Sertifikasyon Enstitüsünün veri sahibi hakları taleplerine hızlı ve doğru bir şekilde yanıt vermesini sağlayacaktır.
4.1. Kişisel verilerin belirlenmesi ve kaydedilmesi için bir süreç oluşturmak
Avrupa BT Sertifikasyon Enstitüsü, veri sahibinin adı, iletişim bilgileri ve diğer ilgili bilgiler dahil olmak üzere kişisel verileri tanımlamak ve kaydetmek için açık ve standartlaştırılmış bir süreç oluşturur. Bu süreç, kişisel verilerin yalnızca belirli ve meşru amaçlar için toplanmasını sağlar.
4.2. Kişisel verilerin sınıflandırılması
Avrupa BT Sertifikasyon Enstitüsü, izlemeyi ve yönetmeyi kolaylaştırmak için kişisel verileri kategorilere ayırır. Bu, iletişim bilgileri, fatura bilgileri, yetkinlikler ve nitelikler, finansal bilgiler veya istihdam geçmişi gibi türe göre kategorize etmeyi içerir.
4.3. Bir veri yönetim sisteminin uygulanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin doğru, güncel ve erişilebilir olmasını sağlamaya yardımcı olmak için bir veri yönetim sistemi uygular. Veri yönetimi sistemi, veri sahibi hakları taleplerine yanıt verilmesine yardımcı olmak için aranabilen ve sorgulanabilen bir veritabanı içerir.
4.4. Kişisel verilerin kaydını tutma sorumluluğunun atanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin kaydını tutma sorumluluğunu belirli kişilere veya departmanlara vermelidir. Bu, kaydın güncel ve doğru tutulmasını sağlayacaktır.
4.5. Kişisel veri kaydının düzenli olarak gözden geçirilmesi ve güncellenmesi
Avrupa BT Sertifikasyon Enstitüsü, doğru ve güncel kalmasını sağlamak için kişisel verilerin kaydını düzenli olarak gözden geçirmeli ve güncellemelidir. Bu, periyodik denetimler veya sürekli bir izleme süreci yoluyla yapılabilir.
4.6. Uygun güvenlik önlemlerini uygulayın
Avrupa BT Sertifikasyon Enstitüsü, kuruluşun Bilgi Güvenliği Politikasının (ISP) bir parçası olarak, elinde tuttuğu kişisel verileri korumak için yetkisiz erişimi, kişisel verilerin kazara kaybolmasını veya imha edilmesini önlemeye yönelik önlemler dahil olmak üzere uygun güvenlik önlemlerini uygular. Buna şifreleme, güvenlik duvarları ve erişim kontrolleri dahildir. Veri korumaya yönelik süreçlerin ve önlemlerin ayrıntılı bir spesifikasyonu, özel Avrupa BT Sertifikasyon Enstitüsü'nün Bilgi Güvenliği Politikası kapsamındadır.
Bölüm 5. Veri sahiplerine açık ve özlü bilgi sağlanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verileri toplarken, veri sahiplerine, kişisel verilerine erişme, düzeltme, silme ve işlenmesine itiraz etme hakkı da dahil olmak üzere hakları hakkında açık ve özlü bilgiler sağlar.
5.1. şeffaflık
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin işlenmesinde şeffaftır ve veri sahiplerine verilerinin nasıl kullanıldığı, işlendiği ve saklandığı hakkında özlü bilgiler sağlar.
5.2. Gizlilik Politikası
Avrupa BT Sertifikasyon Enstitüsü, veri sahiplerinin veri konusu haklarını nasıl kullanabilecekleri de dahil olmak üzere veri işleme faaliyetlerini özetleyen ayrıntılı bir gizlilik politikasına sahiptir.
5.3. Erişim Hakkı
Veri sahipleri, Avrupa BT Sertifikasyon Enstitüsünün kendileri hakkında tuttuğu kişisel verilere erişim talep etme hakkına sahiptir. Avrupa BT Sertifikasyon Enstitüsü, erişim talebinde bulunmanın nasıl yapılacağı, kimliklerini doğrulamak için hangi bilgilerin gerekli olacağı ve Avrupa BT Sertifikasyon Enstitüsünün talebe yanıt vermesinin ne kadar süreceği hakkında veri sahiplerine açık ve özlü bilgiler sağlar.
5.4. Düzeltme Hakkı
Veri sahipleri, Avrupa BT Sertifikasyon Enstitüsünün kendileri hakkında elinde bulundurduğu yanlış veya eksik kişisel verileri düzeltmesini talep etme hakkına sahiptir. Avrupa BT Sertifikasyon Enstitüsü, düzeltme talebinin nasıl yapılacağı, kimliklerini doğrulamak için hangi bilgilerin gerekli olacağı ve Avrupa BT Sertifika Kurumunun talebe yanıt vermesinin ne kadar süreceği hakkında veri sahiplerine açık ve özlü bilgiler sağlar.
5.5. Silme Hakkı
Veri sahipleri, belirli durumlarda Avrupa BT Sertifikasyon Enstitüsünden kişisel verilerinin silinmesini talep etme hakkına sahiptir. Avrupa BT Sertifikasyon Enstitüsü, veri sahiplerine nasıl silme talebinde bulunacakları, kimliklerini doğrulamak için hangi bilgilerin gerekli olacağı ve Avrupa BT Sertifikasyon Enstitüsünün talebe yanıt vermesinin ne kadar süreceği hakkında açık ve özlü bilgiler sağlar.
5.6. İtiraz Hakkı
Veri sahipleri, belirli durumlarda kişisel verilerinin işlenmesine itiraz etme hakkına sahiptir. Avrupa BT Sertifikasyon Enstitüsü, veri sahiplerine nasıl itiraz talebinde bulunacakları, kimliklerini doğrulamak için hangi bilgilerin gerekli olacağı ve Avrupa BT Sertifikasyon Enstitüsünün talebe yanıt vermesinin ne kadar süreceği hakkında açık ve özlü bilgiler sağlar.
5.7. İletişim bilgileri
Avrupa BT Sertifikasyon Enstitüsü, veri sahiplerinin kişisel verilerinin nasıl işlendiğine ilişkin soruları veya endişeleri olması durumunda kullanmaları için açık ve özlü iletişim bilgileri sağlar.
Bölüm 6. Standart bir yanıt süresinin oluşturulması
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları talepleri için standart bir yanıt süresi belirlemiştir ve taleplerin bu süre içinde yanıtlanmasını sağlar.
6.1. standart yanıt süresi
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları talepleri için 30 günlük standart bir yanıt süresi belirler. Standart yanıt süresi, işleme ve yanıt için bir üst süre sınırı tanımlar ve isteklerin çoğu daha kısa sürede işlenir ve yanıtlanır.
6.2. Makbuz onay zamanı talep edin
Bir veri konusu hak talebinin alınması üzerine, DPO veya diğer personel, talebin alındığını 5 iş günü içinde onaylayacak ve veri sahibine bir yanıt vermesi için tahmini bir zaman çerçevesi sağlayacaktır.
6.3. Standart yanıt süresinin olağanüstü uzatılması
Avrupa BT Sertifikasyon Enstitüsü, belirlenen standart yanıt süresi içinde veri sahibi hakları taleplerine yanıt vermek için makul çabayı gösterecektir. Ancak, talep karmaşıksa veya Avrupa BT Sertifikasyon Enstitüsü çok sayıda talep alırsa, yanıt süresi uzayabilir. Bu gibi durumlarda DPO, veri sahibini uzatma ve gecikmenin nedeni hakkında bilgilendirecektir.
6.4. Bir veri sahibi hakları talebini yerine getirmeyi reddetme
Avrupa BT Sertifikasyon Enstitüsü, bir veri konusu hak talebini yerine getiremezse, veri sahibine ret için bir açıklama sağlayacak ve ilgili denetim makamına şikayette bulunma hakları konusunda onları bilgilendirecektir.
6.5. Veri konusu hak taleplerinin ve yanıtlarının kayıtları
Avrupa BT Sertifikasyon Enstitüsü, talebin alındığı tarih, talebin niteliği ve cevabın tarihi ve şekli dahil olmak üzere veri sahibi hakları talepleri ve yanıtlarının doğru kayıtlarını tutacaktır.
6.6. Periyodik incelemeler
Veri Koruma Görevlisi, Avrupa BT Sertifikasyon Enstitüsü'nün yanıt sürelerini periyodik olarak gözden geçirecek ve geçerli veri koruma düzenlemelerine uygunluğu sağlamak için gerektiğinde güncelleyecektir.
Bölüm 7. Veri sahibinin kimliğinin doğrulanması
7.1. Kimlik doğrulama gereksinimi
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin yalnızca doğru kişiye verildiğinden emin olmak için talepte bulunan veri sahibinin kimliğini doğrulamalıdır.
7.2. Kimlik doğrulama araçları ve yöntemleri
Bir veri konusu, veri koruma yasaları kapsamındaki haklarını kullanmak için talepte bulunduğunda, Avrupa BT Sertifikasyon Enstitüsü, kimlik belgelerinin talep edilmesi gibi uygun önlemleri kullanarak veri konusunun kimliğini doğrulamalıdır.
7.3. Bir vekil sahibinin kimlik doğrulaması
Veri sahibi, talebi başka biri adına yapıyorsa, Avrupa BT Sertifikasyon Enstitüsü hem veri sahibinin hem de adına talepte bulunulan kişinin kimliğini doğrulamalıdır.
7.4. Kimlik doğrulama şüpheleri
Avrupa BT Sertifikasyon Enstitüsü, veri sahibinin kimliği veya talebin geçerliliği hakkında şüpheye düşerse, veri sahibinin kimliğini doğrulamak için ek bilgi talep edebilir veya diğer uygun önlemleri alabilir.
7.5. Kimlik doğrulama kayıtları
Avrupa BT Sertifikasyon Enstitüsü, doğrulama sürecinin ve veri konusunun kimliğini doğrulamak için alınan önlemlerin kaydını tutmalıdır. Bu kayıt makul bir süre boyunca saklanmalı ve veri koruma yasalarına uygunluğu göstermek için kullanılmalıdır.
Bölüm 8. Veri sahibi hakları taleplerine derhal yanıt verilmesi
8.1. Ani cevap
Avrupa BT Sertifikasyon Enstitüsü, veri konusu hak taleplerine derhal yanıt verir ve veri sahibine talep ettiği bilgileri sağlar.
8.2. Makbuz onayı iste
Avrupa BT Sertifikasyon Enstitüsü, veri sahibinin talebinin mümkün olan en kısa sürede, ideal olarak 5 iş günü içinde alındığını onaylar.
8.3. İnceleme iste
Belirlenen DPO, gerekli gereksinimleri karşıladığından ve gerekli tüm bilgilerin sağlandığından emin olmak için talebi incelemelidir.
8.4. Veri sahibi kimliğinin doğrulanması
Avrupa BT Sertifikasyon Enstitüsü, kişisel verilerin yalnızca doğru kişiye verildiğinden emin olmak için talepte bulunan veri sahibinin kimliğini doğrular.
8.5. Gerekirse ek bilgi edinme
Talep net değilse veya yetersizse, Avrupa BT Sertifikasyon Enstitüsü ek bilgi almak için veri sahibiyle iletişime geçmelidir.
8.5. İlgili verileri alma
Avrupa BT Sertifikasyon Enstitüsü, ilgili kişisel verileri alır ve doğru ve güncel olduğundan emin olmak için inceler.
8.6. İstenen bilgilerin sağlanması
Avrupa BT Sertifikasyon Enstitüsü, aksi talep edilmedikçe, kişisel verilerinin bir kopyası da dahil olmak üzere veri sahibine talep ettiği bilgileri yaygın olarak kullanılan bir elektronik formatta sağlar.
8.7. Veri sahibini hakları konusunda bilgilendirmek
Avrupa BT Sertifikasyon Enstitüsü, veri sahibini kişisel verilerini düzeltme veya silme hakkı gibi diğer hakları konusunda bilgilendirir ve onlara gerekli talimatları sağlar.
8.8. Tepki süresine uymak
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları taleplerine belirlenen yanıt süresi içinde yanıt vererek talebe uymak için gerekli önlemlerin alınmasını sağlar.
8.9. Yanıtın belgelenmesi
Avrupa BT Sertifikasyon Enstitüsü, uyumluluk amacıyla denetlenebilmesini ve takip edilebilmesini sağlamak için, yapılan tüm işlemler ve yanıt süresi dahil olmak üzere veri sahibi hakları talebine verilen yanıtı belgeler.
8.10. Herhangi bir değişikliğin veri sahibine bildirilmesi
Veri sahibinin talebi sonucunda kişisel verilerinde herhangi bir değişiklik yapılırsa, Avrupa BT Sertifikasyon Enstitüsü veri sahibine bu değişiklikleri bildirir.
Bölüm 9. Veri sahibi hakları taleplerinin belgelenmesi
Avrupa BT Sertifikasyon Enstitüsü, talebin tarihi, niteliği ve talebe verilen yanıt da dahil olmak üzere veri konusu hak taleplerinin kaydını tutar. Veri sahibi hakları taleplerinin belgelenmesi aşağıdaki hususları içerir:
9.1. kayıt tutmak
Avrupa BT Sertifikasyon Enstitüsü, alınan tüm veri sahibi hakları taleplerini kaydeden bir kayıt tutar. Bu kayıt aşağıdaki ayrıntıları yakalamalıdır:
- Talep tarihi
- Veri sahibinin adı ve iletişim bilgileri
- talebin açıklaması
- Talebe cevaben yapılan işlem
- İsteği işlemek için gereken ek bilgiler
9.2. Dokümantasyon için standartlaştırılmış süreç
Avrupa BT Sertifikasyon Enstitüsü, toplanan bilgilerde tutarlılık ve doğruluğu sağlamak için veri sahibi hakları taleplerini belgelemek için standartlaştırılmış bir süreç yürütür.
9.3. Saklama süresi
Avrupa BT Sertifikasyon Enstitüsü, bu kayıtları 2 yıldan kısa olmamak üzere geçerli yasa ve yönetmeliklerle belirlenen makul bir süre boyunca saklar.
9.4. gizliliğin korunması
Avrupa BT Sertifikasyon Enstitüsü, veri konusu hak taleplerinin kayıtlarına yalnızca görevlerini yerine getirirken bu tür bilgilere erişmesi gereken yetkili personel tarafından erişilebilir olmasını sağlar. Ayrıca, veri konusu hak taleplerinin kayıtlarında yer alan kişisel verilere yetkisiz erişimi, ifşayı, değişikliği veya imhayı önlemek için teknik ve organizasyonel önlemler uygular.
9.5. Raporlama
Avrupa BT Sertifikasyon Enstitüsü, alınan, işlenen ve bekleyen veri konusu hak talepleri hakkında periyodik olarak raporlar oluşturur. Bu raporlar, üst yönetim ve DPO dahil olmak üzere ilgili paydaşlarla paylaşılır.
9.6. analitik
Avrupa BT Sertifikasyon Enstitüsü, taleplerin kalıplarını ve temel nedenlerini belirlemek için veri sahibi hakları taleplerine ilişkin trend analizi yürütür. Bu bilgiler, bu tür talepleri daha iyi yönetmek için süreçleri ve prosedürleri geliştirmek için kullanılır.
Bölüm 10. Sürecin izlenmesi ve gözden geçirilmesi
Avrupa BT Sertifikasyon Enstitüsü, GDPR ile etkili ve uyumlu kalmasını sağlamak için veri sahibi hakları taleplerini ele alma sürecini düzenli olarak izler ve gözden geçirir.
10.1. Periyodik gözden geçirmeler yapmak
Avrupa BT Sertifikasyon Enstitüsü, etkin ve veri koruma yönetmelikleriyle uyumlu olduğundan emin olmak için veri sahibi hakları talebi işleme sürecini ve GDPR uyum politikasını periyodik olarak gözden geçirir. Bu gözden geçirmeler, alınan taleplerin sayısı ve türü, yanıtların zamanında ve etkililiği ve iyileştirmeye açık alanların bir analizini içerir.
10.2. İyileştirmelerin uygulanması
İncelemelerin bulgularına dayanarak, Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları talebi işleme sürecinde gerekli iyileştirmeleri uygular. Bu, prosedürlerdeki güncellemeleri, personel için ek eğitimi veya taleplerin doğrulanma ve yanıtlanma şeklindeki değişiklikleri içerebilir.
10.3. Devam eden uyumluluğun sağlanması
Avrupa BT Sertifikasyon Enstitüsü, politikalarını ve prosedürlerini ilgili yasa ve yönetmeliklerdeki değişiklikler doğrultusunda düzenli olarak gözden geçirerek ve güncelleyerek veri koruma düzenlemelerine sürekli uyum sağlar.
10.4. Personel performansının izlenmesi
Avrupa BT Sertifikasyon Enstitüsü, yanıtların kalitesi ve güncelliği dahil olmak üzere, veri sahibi hakları taleplerinin ele alınmasıyla ilgili olarak personel performansını izler. Bu, personelin bu alanda bilgili ve yetkin olmasını sağlamak için periyodik eğitim ve performans incelemelerini içerebilir.
10.5. Veri sahipleri ile iletişim
Avrupa BT Sertifikasyon Enstitüsü, ilerleme ve ilgili bilgiler hakkında bilgilendirilmelerini sağlamak için talep işleme süreci boyunca veri sahipleriyle iletişim kurar. Bu, taleplerinin durumu hakkında güncellemeler sağlamayı veya gerektiğinde ek bilgi talep etmeyi içerebilir.
10.6. kayıtların tutulması
Avrupa BT Sertifikasyon Enstitüsü, veri sahibi hakları talebi işleme sürecinde yapılan tüm değişiklikler ve veri sahiplerinden alınan geri bildirimler dahil olmak üzere incelemelerinin kayıtlarını tutar. Bu bilgiler, devam eden uyumluluk çabalarını desteklemek ve daha fazla iyileştirme yapılacak alanları belirlemek için kullanılabilir.
Bölüm 11. İşleme Faaliyetlerinin Kaydını Oluşturma
Avrupa BT Sertifikasyon Enstitüsü, kuruluş tarafından gerçekleştirilen kişisel verilerin işlenmesini özetleyen bir belge olan İşleme Faaliyetlerinin Kaydını tutar. AB Genel Veri Koruma Yönetmeliği (GDPR) kapsamında zorunludur ve veri işleme faaliyetlerinin anlaşılmasını ve GDPR ile uygunluğun gösterilmesini desteklemeyi amaçlar.
11.1. ROPA yapısı
ROPA, kuruluşun adı ve iletişim bilgileri, veri işleme amaçları, işlenen kişisel verilerin kategorileri, kişisel verilerin alıcıları ve kişisel verilerin saklanma süreleri hakkında temel bilgileri içerir. Ayrıca, kuruluş adına kişisel verileri işleyen herhangi bir üçüncü taraf işleyici hakkında bilgi içerir.
11.2. ROPA düzenli güncellemeler
ROPA düzenli olarak güncellenir ve Avrupa BT Belgelendirme Enstitüsü'nün veri işleme faaliyetlerindeki değişiklikleri yansıtan ve veri sahibi ile güven inşa etmeyi destekleyen canlı bir belgedir.
Avrupa BT Sertifikasyon Enstitüsü, Veri Konusu Hak Talepleri Yönetimi ve Genel Veri Koruma Yönetmeliği Politikası ile ilgili olarak en yüksek standartları korumaya kararlıdır ve bu konularla ilgili tüm geçerli yasa ve yönetmeliklerin yanı sıra önde gelen endüstri standartlarına uyduğundan emin olur. ve ISO 27701 Gizlilik Bilgi Yönetim Sistemi dahil olmak üzere en iyi uygulamalar.