Neden procurement listesi yetmez?
Tedarikci listeleri genellikle ticari iliskiyi gosterir; fakat hangi veri kategorilerinin paylasildigini, hangi ulkeye aktarim yapildigini veya sozlesme guvencelerinin durumunu gostermez. Privacy acisindan anlamli bir vendor kaydinin daha zengin olmasi gerekir.
Bir veri isleyen kaydinda ne olmali?
- islenen veri kategorileri
- ilgili urun veya surec
- barindirma veya aktarim ulkesi
- DPA durumu
- SCC veya diger aktarim mekanizmasi
- guvenlik incelemesi ve review tarihi
Bu bilgiler procurement, hukuk ve guvenlik ekipleri arasinda ortak bir cisim yaratir.
DPA ve SCC neden ayrilmali?
DPA, veri isleyen iliskisinin temel sozlesmesel zemini olabilir; SCC ise her senaryoda gerekli olmayan ama uluslararasi aktarimlarda ayrica takip edilmesi gereken bir mekanizmadir. Ikisini tek kutuda tutmak raporlamayi bozar.
En cok gorulen operasyonel hata
Yeni bir arac veya servis alininca ekipler teknik entegrasyona odaklanir; privacy review sonradan gelir. Bu nedenle veri isleyen kaydi satin alma oncesi veya en gec canliya cikis oncesi zorunlu bir kontrol noktasi olmalidir.
Yonetilmesi gereken deadline'lar
- DPA imza tarihi
- review yenileme tarihi
- SCC bildirimi gerekiyorsa son tarih
- yuksek riskli vendorlar icin yeniden degerlendirme tarihi
Sonuc
Vendor envanteri ne kadar canliysa, privacy programi o kadar gercektir. Veri isleyen kaydini sozlesme klasorunde degil, operasyon panelinde yasatmak gerekir.