Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

İç Denetim Raporu

Kurumsal Yönetim

Veri Koruma

Verildi:
Richard Ellis, Geçici Kurumsal Yönetişim Direktörü Fraser
Bell, Hukuk ve Demokratik Hizmetler Başkanı Simon
Haston, BT ve Dönüşüm Başkanı
Steven Whyte, Finans Müdürü
Craig Innes, Ticaret ve Satın Alma Başkanı
Jessica Anderson, Geçici Hukuk Müdürü - Hukuk Hizmetleri
Anne MacDonald, Audit Scotland

Yayınlanma Tarihi Eylül 2016 Rapor No. AC1707

YÖNETİCİ ÖZETİ

1998 tarihli Veri Koruma Yasası, yaşayan bir bireyin kimliğinin belirlenebileceği
kişisel verilerin işlenmesini düzenlemektedir. Verilerin işlenmesi, bu tür bilgilerin elde
edilmesi, tutulması, kullanılması ve ifşa edilmesini içerir. Yasa, yaşayan ve kimliği
belirlenebilir kişiler hakkında kişisel bilgiler içeren tüm bilgisayarlı veya manuel
kayıtlar için geçerlidir ve Yasaya uygunluğun sağlanması için uygun teknik ve
organizasyonel önlemlerin alınmasını gerektirir.

Bu denetimin amacı, Veri Koruma mevzuatına uyulup uyulmadığını değerlendirmek

için Konsey genelinde yürürlükte olan düzenlemeleri gözden geçirmekti. Bu
kapsamda Veri Koruma yönetişimi; politikalar ve prosedürler; personel eğitimi; bilgi
yönetimi; ICT ekipmanlarının kullanımı; sözleşmeler ve yüklenici performansı; veri
paylaşımı; gizli atıklar; konu erişim talepleri ve risk yönetimi gözden geçirilmiştir.

Genel olarak, 1998 tarihli Veri Koruma Yasası'na uygunluğu gösteren düzenlemeler
mevcuttur. İyileştirme yapılabilecek alanlar arasında personel eğitiminin izlenmesine
yönelik temel performans göstergeleri; bilgi varlığı sahipleri için rehberlik; BİT
ekipmanının kullanım ömrü boyunca izlenmesi; üçüncü taraf sözleşmelerinde Veri
Koruma hüküm ve koşullarının kullanılması ve Bilgi Paylaşım Protokollerinin
kullanılması yer almaktadır. Bu konularla ilgili olarak yapılan tavsiyeler kabul
edilmiştir.

1 Rapor No. AC1707

1. GİRİŞ
1.1 1998 tarihli Veri Koruma Yasası, yaşayan bir bireyin kimliğinin belirlenebileceği kişisel
verilerin işlenmesini düzenlemektedir. Verilerin işlenmesi, bu tür bilgilerin elde edilmesi,
tutulması, kullanılması ve ifşa edilmesini içerir. Yasa, yaşayan ve kimliği belirlenebilir
kişiler hakkında kişisel bilgiler içeren tüm bilgisayarlı veya manuel kayıtlar için geçerlidir
ve Yasaya uygunluğun sağlanması için uygun teknik ve organizasyonel önlemlerin
alınmasını gerektirir.

1.2 Bu denetimin amacı, Veri Koruma mevzuatına uyulup uyulmadığını değerlendirmek

üzere Konsey genelinde yürürlükte olan düzenlemeleri gözden geçirmektir.

1.3 Bu raporun gerçeklere uygunluğu ve yapılan tavsiyelerle ilgili olarak atılacak adımlar
konusunda Ekip Lideri - Yönetişim - Hukuk Hizmetleri Jessica Anderson ve BT ve
Dönüşüm Başkanı Simon Haston ile mutabakata varılmıştır.

2 Rapor No. AC1707

2. BULGULAR VE ÖNERİLER
2.1 1998 tarihli Veri Koruma Yasası ve Kayıt

2.1.1 Veri Koruma Yasası (DPA) 1998, 'Veri Kontrolörleri' için geçerli olan mevzuattır; yani
kişisel verilerin hangi amaçlarla ve ne şekilde işleneceğini belirleyen kişi veya kuruluşlar.
DPA 1998, kişisel veriler işlenirken uyulması gereken iyi uygulamalara ilişkin 8 Veri
Koruma İlkesinin yanı sıra hassas kişisel bilgiler işlenirken uyulması gereken ek koşulları
da içermektedir.

2.1.2 Yasa ayrıca şunları kapsamaktadır: kişisel verileri tutulan ve 'veri sahibi' olarak
tanımlanan bireylerin hakları; ulusal güvenliğin korunması gibi DPA 1998'in istisnaları;
kayıt gereklilikleri ve Bilgi Komiserine bildirimde bulunma yükümlülüklerinin yanı sıra
suçlar ve cezalar.

2.1.3 Yasa, kişisel bilgileri işleyen her Veri Kontrolörünün, muaf olmadıkları sürece Bilgi
Komiserliği Ofisine (ICO) kaydolmasını gerektirmektedir. Kayıt yaptırmamak cezai bir
suçtur. Kayıt, Veri Kontrolörünün işlenen bilgilerin ayrıntılarını ve hangi amaçla
tutulduğunu sağlamasını gerektirir. Bu bilgiler daha sonra ICO'nun web sitesinde
yayınlanır ve kamu tarafından incelenebilir. Kayıt her yıl yenilenmelidir ve Veri
Kontrolörünün mevcut kaydın ayrıntılarını gözden geçirmesini ve uygun olduğunda yeni
süreçleri ve bilgi toplamayı değiştirmesini ve kaydetmesini gerektirir.

2.1.4 Konsey, Veri Kontrolörü olarak sınıflandırılmış ve ICO'ya kaydedilmiştir. Kayıt, Konseyin
Veri Koruma Görevlisi (Hukuk ve Demokratik Hizmetler Başkanı) adına Hukuk Hizmetleri
bünyesindeki Yönetişim Ekibi tarafından yıllık olarak güncellenir. Konsey'in mevcut kaydı
ICO web sitesinde gösterilmektedir.

2.1.5 ICO, yıllık kayıt ücretinin ne zaman ödenmesi gerektiğini Konseye bildirir. Yönetişim
Ekibi, işlenen kişisel bilgi kategorilerinde veya işleme amaçlarında herhangi bir değişiklik
olup olmadığını kontrol eder. SIRO, Bilgi Yönetişimi Grubu aracılığıyla herhangi bir
değişiklikten haberdar edilecektir (bkz. paragraf 2.3.2).

2.2 ICO Denetimi

2.2.1 Bilgi Komiseri, 1998 tarihli DPA'ya uyulmasını sağlamak ve teşvik etmekten sorumludur.
Konsey, ICO'yu, Konsey'in İyi Uygulama Değerlendirmesi olarak bilinen ve Haziran
2013'te tamamlanan Kanun'a uygunluğunun bir denetimini yapmaya davet etmiştir. Bu
değerlendirme, süreç ve prosedürlerin yürürlükte olduğuna ve Veri Koruma
uyumluluğunu sağladığına dair makul düzeyde bir güvence olduğunu ortaya koymuştur.

2.2.2 Denetim üç ana alana odaklanmıştır: Veri Koruma yönetişimi, eğitim ve farkındalık ve
kişisel verilerin güvenliği ve hem iyi uygulama hem de iyileştirme alanları vurgulanmıştır.

2.3 Veri Koruma Yönetişimi

2.3.1 Veri koruma yönetişimi, Veri Koruma sorumluluğunun, politikalarının ve prosedürlerinin,

performans ölçüm kontrollerinin ve DPA uyumluluğunu izlemeye yönelik raporlama
mekanizmalarının kurum genelinde ne ölçüde mevcut ve işler durumda olduğunu ifade
eder.

2.3.2 Konsey, 1998 tarihli Veri Koruma Yasası (DPA) kapsamındaki yükümlülüklerini yerine
getirmek için net bir rol çerçevesine sahiptir:

• Hukuk ve Demokratik Hizmetler Başkanı atanmış Veri Koruma Görevlisidir

3 Rapor No. AC1707

 (DPO) ve aynı zamanda ICO için atanmış irtibat noktasıdır. Hukuk ve Demokratik
Hizmetler Başkanı, Konseyin Veri Koruma Politikası ve Prosedürleri konusunda
genel sorumluluğa sahiptir. DPO'nun rolü SIRO'nunkinden farklıdır ve Yasa ile genel
yasal uyumluluğa odaklanır.

• Daha önce, Veri Koruma Teknik Görevlisi (DPTO) BİT ve Veri Koruma ile ilgili
konularla ilgileniyordu. DPTO'nun rolünün kapsamı artık Kıdemli Bilgi Riski
Görevlisinin (SIRO) daha geniş ve bütüncül rolü içerisinde üstlenilmiştir. SİRO'nun
rolü, bilgi risk yönetiminin genel sahipliğine odaklanmaktadır; yani bilgi yönetişimi,
risk yönetimi, risk güvencesi ve bilgi yönetimi ve güvenliğine uyum. SIRO'nun
sorumlulukları iyi bir bilgi yönetimi kültürüne öncülük etmektir.

• SIRO, Bilgi Müdürü ve ekibi, Güvenlik Mimarı, Risk Müdürü ve Topluluklar, Konut ve
Altyapı, Eğitim ve Çocuk Hizmetleri, Entegre Sağlık ve Sosyal Bakım, Kurumsal
Soruşturma Ekibi ve Hukuk Hizmetleri Yönetişim Ekibi üyelerinden oluşan bir Bilgi
Yönetişimi Kurulu bulunmaktadır.

• Her Hizmet Başkanı, kendi personelinin Politika ve Prosedürlere uymasından

sorumludur. Her Serviste, Servislerindeki tüm personele Veri Koruma ile ilgili her
türlü sorunda destek sağlamaktan sorumlu olan ve soruların ortaya çıkması halinde
ilk temas noktası olan bir Bilgi Yönetimi İrtibat Görevlisi (IMLO) bulunmaktadır. IMLO
toplantıları her 6 ayda bir yapılır ve gündem maddelerinden biri de Veri Korumadır.

• Hukuk Hizmetleri bünyesindeki Yönetişim Ekibi, Konsey genelindeki IMLO'lara ve

Hizmetlere Veri Koruma konularında ayrıntılı tavsiye, yardım ve eğitim
sağlamaktadır.

2.3.3 Veri Koruma uyumluluğu, 2013 ICO Denetimi tarafından yapılan tavsiyelerin bir sonucu
olarak Denetim, Risk ve İnceleme Komitesine üç ayda bir rapor edilmiştir. Konsey, 2016
yılında daha geniş kapsamlı bir Yönetişim İncelemesinin bir parçası olarak, Bilgi
Yönetişimini yönetme ve raporlamaya yönelik düzenlemelerini gözden geçirmektedir. Bu
gözden geçirmenin bir sonucu olarak Konsey, Veri İhlalleri, Konu Erişim Talepleri, Bilgi
Edinme Özgürlüğü İstatistikleri, Veri Olayları, Güvenlik Yönetimi ve Kayıt Yönetimini
kapsayan Bilgi Yönetimine ilişkin daha geniş bir uyum genel bakışının bir parçası olarak
DPA ile uyumun da üç ayda bir Kurumsal Yönetim Ekibine (CMT) raporlanmasını
önermektedir. Bu yeni düzenlemeleri öneren ve üç aylık uyum güncellemesini içeren
rapor Temmuz 2016'da CMT tarafından değerlendirilmiş olup Eylül 2016'da Denetim,
Risk ve İnceleme Komitesi tarafından ele alınması planlanmaktadır.

2.3.4 2013 ICO denetimi, bilgi yönetimi ve bilgi güvenliğini de içeren resmi bir Veri Koruma
stratejisinin mümkün olan en kısa sürede yazılmasını ve uygulanmasını tavsiye etmiştir.
ICO, tatmin edici bir kurumsal gözetim elde etmek için bunun uygun kıdemli konu
uzmanlarının katıldığı bir yönlendirme grubunu tanımlaması gerektiğini tavsiye etti. Bilgi
Yönetimi Stratejisi ve Eylem Planının Ağustos 2013'e kadar bu konuyu kapsayacak
şekilde güncellenmesi kararlaştırılmıştır. Konsey, daha geniş kapsamlı Bilgi Yönetimi
Stratejisinin uygulanmasını kolaylaştırmak için bir kurumsal bilgi yönetimi danışma grubu
(IMAG) kurmuştur.

2.3.5 Konsey'in bilgi yönetişimini yönetme ve raporlama düzenlemelerini gözden geçirmesinin

bir sonucu olarak, Mayıs 2016'da Konsey'in Veri Koruma uyumluluğu için gerekli çalışma
programını yürütme sorumluluğu açısından IMAG'nin yerini alacak olan bir Bilgi
Yönetişim Kurulu kurulmuştur. Bilgi Yönetişimi Grubu şu anda sistemler ve süreçler,
eğitim ve farkındalık ve ihlal raporlaması dahil olmak üzere Veri Koruma uyumluluğunun
bir incelemesini yürütmektedir.

4 Rapor No. AC1707

2.4 Yazılı Politikalar ve Prosedürler

2.4.1 Konsey, Zone'da yer alan açık ve özlü bir Veri Koruma Politikasına sahiptir. Bu politika,
böyle bir politikaya duyulan ihtiyacı açıklamakta ve DPA 1998'in gerekliliklerini
karşılamak için Kurumsal Veri Koruma Çerçevesi'ndeki rol ve sorumlulukları ortaya
koymaktadır. Bu, Hizmet Bilgi Yönetimi İrtibat Görevlileri (IMLO); Hizmet Veri Koruma
Teknik Görevlileri (DPTO); Hukuk ve Demokratik Hizmetler Başkanı; Tüm Hizmet
Başkanları ve Seçilmiş Üyelerin özel rolleri dahil olmak üzere tüm personelin DPA 1998
ile ilgili görev ve sorumluluklarını içerir. Politika ayrıca eğitim; disiplin konuları; Konsey ve
Seçilmiş Üyeler için ICO'ya kayıt sorumlulukları; bilginin yaşam döngüsü boyunca nasıl
yönetilmesi gerektiği ve işlerin tipik olarak ne zaman yanlış gittiğini de kapsamaktadır.

2.4.2 İç Denetim raporu AC1604, Kurumsal Politikalar ve Prosedürler'de rapor edildiği üzere,
Konsey'in Veri Koruma Politikası'nı destekleyen çeşitli münferit prosedürleri
bulunmaktadır. Bunlar Politikanın ekinde yer almaktadır

2.4.3 Bölge'deki diğer politikalar içinde yer alan politika ve prosedürlerin eski versiyonlarına
bağlantılar olduğu tespit edilmiştir, bu da eski versiyonlar en son versiyonlarla
çelişebileceğinden personel için kafa karıştırıcı olabilir.

Tavsiye
Birbiriyle çelişen politikalar/prosedürler olmadığından emin olmak ve prosedürlerin
sadece güncel versiyonlarının görüntülenebildiğinden emin olmak için Bölge'deki
belgeler gözden geçirilmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi. Bu konu, daha geniş kapsamlı Bilgi Yönetişimi Grubu incelemesinin bir
parçası olarak ele alınacaktır.

Uygulama Tarihi Sorumlu Görevli Notlandırma

Mart 2017 Kamu Performans Denetlenen alan içinde
Raporlama ve Dijital önemli
Katılım Müdürü

2.5 Eğitim

2.5.1 Konseyin Veri Koruma Politikası, kişisel bilgileri işleyen tüm personelin işe başlarken
belirli Veri Koruma Eğitimlerini almalarını ve daha sonra düzenli olarak tazeleme
eğitimlerini tamamlamalarını gerektirmektedir. Veri Koruma Eğitiminin yenilenmesi,
ICO'nun 2013 Denetim Raporunda yer alan ve Konseyin de kabul ettiği tavsiyelerden
biriydi.

2.5.2 Konsey'in Veri Koruma ile ilgili üç eğitim kursu bulunmaktadır: Veri Koruma konusuna
odaklanan 'Veri Koruma - Temel Bilgiler', yeni çalışanlar için temel Konsey politikalarını
kapsayan ve yakın zamanda uygulamaya konulan E İndüksiyon ve Bilgi Güvenliği
konusuna odaklanan 'Sadece Sizin Gözünüz İçin'. Ayrıca, bilgisayar kullanmayan ya da
işlerinin gereklilikleri nedeniyle tam eğitimi tamamlamaları gerekmeyen personel için yüz
yüze ve kağıt tabanlı eğitimler de mevcuttur.

2.5.3 Tamamlanmış ve tamamlanmamış Veri Koruma eğitimlerini gösteren yönetim raporları

talep edilmiştir, ancak bu raporlar Veri Koruma eğitiminin tüm formatlarıyla ilgili uyum
konusunda netlik veya güvence sağlamamıştır ve uyumsuzluğun nasıl yönetildiği açık
değildir.

2.5.4 ICO, 2013 Denetim Raporu'nda raporlama iyileştirmelerinin şu şekilde olması gerektiğini
tavsiye etmiştir

5 Rapor No. AC1707

 Kabul edilebilir bir süre içerisinde zorunlu eğitimi tamamlamayan personelin tespit
edilmesini kolaylaştırmak amacıyla, eğitimin tamamlanmasının izlenmesine ilişkin olarak
uygulamaya konulmuştur. ICO ayrıca, zorunlu Veri Koruma eğitiminin tamamlanmasını
resmi olarak ölçmek için CMT tarafından denetlenen resmi Anahtar Performans
Göstergelerinin (KPI) uygulamaya konulmasını tavsiye etmiştir.

2.5.5 İnsan Kaynakları bünyesindeki Organizasyonel Gelişim, yöneticilerin görev için hangi
düzeyde Veri Koruma eğitimi gerektiğini belirlemelerini gerektiren İndüksiyon Kontrol
Listesinde değişiklikler yapmıştır. Ayrıca, çalışanlardan Performans, Gözden Geçirme ve
Gelişim programı aracılığıyla temel politikalara ilişkin mesajları aldıklarını ve anladıklarını
teyit etmeleri istenecektir. Temmuz 2016'da, Geçici Kurumsal Yönetim Direktörü, Veri
Koruma bilgilerini güncellemeleri için personele bir hatırlatma göndermiştir. Bu yazıda
Veri Koruma eğitiminin tüm personel için zorunlu bir gereklilik olduğu belirtilmiş ve
yöneticilerden tüm personelin uygun eğitim seviyesini tamamladığından emin olmaları
istenmiştir. Veri Koruma Temelleri kursunun son 12 ay içinde tamamlandığı durumlarda
başka bir işlem yapılmasına gerek yoktu. Veri Koruma Temelleri kursunun hiç
tamamlanmadığı durumlarda bu kursun veya E-Endüksiyonun Ekim 2016'ya kadar
tamamlanması gerekiyordu. E-indüksiyon, Veri Koruma da dahil olmak üzere temel
politikaları kapsayan yeni çalışanlar için yakın zamanda geliştirilmiş zorunlu bir kurstur.
Veri Koruma modülü eğitiminin tamamlanmasına ilişkin raporlar, Veri Koruma eğitiminin
uygunluğunu göstermek üzere Temmuz ve Ağustos 2016'da yöneticilere gönderilmiştir
ve bilgisayar kullanmayan personelin Veri Koruma konusundaki sorumluluklarını
bildiklerini ve anladıklarını teyit etmelerini gerektirecek çalışmalar devam etmektedir.

2.5.6 ICO, 2013 Denetim Raporunda Konu Erişim Taleplerine özel bir eğitim kursunun
uygulanmasını tavsiye etmiştir. Hukuk Hizmetleri Yönetişim Ekibi, Hizmetlere özel
konularda yüz yüze eğitim verildiğini doğrulamıştır (Yetişkin Koruma ve Bilgi Paylaşımı
konusunda aylık eğitim, Şehir Gardiyanlarına Bilgi Paylaşımı eğitimi ve Eğitim Psikolojisi
Hizmetine yıllık eğitim). Buna ek olarak, Hizmet, Mart 2015'te personel değişikliği
nedeniyle Sosyal Hizmet Şikayetler, Haklar ve Sorgular Ekibinin Konu Erişim talepleri ve
Üçüncü Taraf Talep prosedürleri konusunda özel bir eğitim aldığını ve bu eğitim için özel
bir sunum geliştirildiğini doğrulamıştır. Servis ayrıca eğitimin ICO'nun mevcut kılavuzunu
yansıttığını ve Konseyin mevcut prosedürüyle uyumlu olduğunu bildirmiştir. Tazeleme
Eğitimi, Bilgi Yönetişimi Grubu tarafından bir öncelik olarak belirlenmiştir, ancak personel
için iyi bilgi yönetimi hakkında daha pratik tavsiyelere / ipuçlarına odaklanacaktır.

Tavsiye
SIRO, üç yılda bir Veri Koruma ile ilgili bilgi güvenliği ve bilgi yönetimi standartları
alanlarını içeren tazeleme eğitimini tüm uygun Konsey personeline geliştirmek ve
sunmak için ilgili tüm Hizmetlerle birlikte çalışmalıdır.

SIRO, her türlü Veri Koruma eğitimini ölçmek için hangi uygun tedbirlerin uygulanması
gerektiğini değerlendirmelidir. ICO'nun 2013 Raporunda yaptığı tavsiyeye göre,
zorunlu Veri Koruma eğitiminin tamamlanmasını ölçmek için CMT tarafından
denetlenen resmi KPI'lar uygulamaya konulmalıdır. Buna ek olarak, uyumsuzluk
durumlarının nasıl ele alınacağı da belirtilmelidir.

Hizmet Yanıtı / Eylem

Kabul edilmiştir. Zorunlu eğitimlerin alınması, kaydedilmesi ve raporlanması ile ilgili
konular Bilgi Yönetişimi Grubu tarafından öncelikli olarak araştırılmakta ve gözden
geçirilmektedir.

Uygulama Tarihi Sorumlu Görevli Notlandırma

Mart 2017 Bilgi Yöneticisi Denetlenen alan içinde
önemli

6 Rapor No. AC1707

2.6 Kayıt Yönetimi

2.6.1 Konseyin Bilgi Yönetimi Ekibi, tüm bilgi varlıklarını (Bilgi Yönetimi Ekibine bildirilen)
kaydeden bir Bilgi Varlığı Kaydı tutmaktadır. Bu, Konseyin tüm bilgilerin ve kişisel
verilerin DPA 1998 uyarınca doğru bir şekilde yönetilmesini (saklanmasını,
kullanılmasını, dağıtılmasını, imha edilmesini) sağlamasına olanak vermelidir.

2.6.2 Bilgi Varlığı Kaydı Konsey'de hala oldukça yenidir ve Bilgi Yönetimi Ekibi, tüm
Hizmetlerin kaydın güncellenmesine izin vermek için yeni / değişen bilgileri kendilerine
bildirmelerini sağlamak üzere kaydı geliştirmek için daha fazla çalışma yapılması
gerektiğini anlamaktadır. Bu, sicilin daha fazla değerlendirme ve dikkat için yüksek riskli
alanları belirlemek üzere bir yönetim aracı olarak kullanılmasını sağlayacaktır.

2.6.3 Bilgi Varlığı Kaydı, Konseyin İş Sınıflandırma Planı aracılığıyla Konseyin Kayıt Saklama
ve İmha Programına bağlanır ve bu, ikisinin birbirine bağlanmasına ve her varlık için
uygun saklama ve imha tetikleyicilerinin, tarihlerinin ve gerekçelerinin anlaşılmasına
olanak tanır. Kayıt Saklama ve İmha Programı, farklı bilgi türlerinin nasıl imha edilmesi
gerektiği konusunda da rehberlik sağlar. Konsey ayrıca personel için, yaşam döngüsü
boyunca bilginin uygun şekilde yönetilmesi konusunda rehberlik sağlayan Kurumsal Bilgi
Yönetimi Prosedürleri de uygulamaktadır.

2.6.4 Örneğin, bilgilerin sadece belirtilen amaç(lar) için kullanılmasını sağlamak da dahil olmak
üzere, kendi bilgi parçalarını yönetmek her bir Bilgi Varlığı Sahibinin sorumluluğundadır.
Hizmetlerin ayrıca her ekibin hangi bilgilere sahip olduğunu, bu bilgilerin nerede
olduğunu ve ne kadar süreyle saklanması gerektiğini belirleyen dosya planları vardır.
Bunlar farklı olgunluk aşamalarındadır ve IGG İyileştirme Programının bir parçası olarak
Bilgi Varlığı Sahipleri ile birlikte daha da yerleştirilecek ve geliştirilecektir.

2.6.5 Bilgi Varlığı Kayıt Politikası, Bilgi Varlıklarının yönetilmesiyle ilgili rolleri belirler. Bu roller,
Bilgi Yönetişimi Grubunun iyileştirme programının bir parçası olarak daha da
geliştirilecek ve yerleştirilecektir.

Tavsiye
Hizmet, Bilgi Varlığı Sahiplerinin rol ve sorumluluklarını uygun şekilde destekleyici
rehberlikle birlikte yerleştirmeli ve geliştirmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi

Uygulama Tarihi Sorumlu Görevli Notlandırma

Eylül 2017 Bilgi Yöneticisi Denetlenen alan içinde
önemli

2.7 Koruyucu İşaretleme Şeması

2.7.1 2013 Denetim Raporu'nda ICO, işlenmekte olan verilere uygulanacak uygun güvenlik
standartları için net bir kıyaslama kılavuzu sağlamak amacıyla Konsey'in bir koruyucu
işaretleme şeması benimsemesini tavsiye etmiştir. Konsey, bir Koruyucu İşaretleme
Programının benimsenip benimsenmeyeceğini değerlendirmek için bir seçenek
değerlendirmesi yapacaklarını bildirmiştir.

2.7.2 Konseyin ICO'ya gönderdiği Haziran 2014 tarihli güncelleme belgesine göre (ICO
tavsiyelerinin her birine karşı kaydedilen ilerlemeyi detaylandıran), bu tavsiyenin
uygulanmasına ilişkin ilerleme, hükümet işaretleme planına ilişkin daha geniş çaplı
sorunlar nedeniyle ertelenmiştir. Kullanılabilecek iki işaretli yeni Hükümet Sınıflandırma
Şeması da dahil olmak üzere bir seçenek değerlendirmesi yapılacaktır -

7 Rapor No. AC1707

 'RESMİ' ve 'RESMİ DUYARLI'.

2.7.3 ICO ayrıca, verilere koruyucu işaretlerin uygulanmasını ve daha sonraki işleme
durumları da dahil olmak üzere 'yaşamın sonuna' kadar takip edilmesini tavsiye etmiştir.

2.7.4 Yapılan görüşmelerde, Hükümet Sınıflandırma Programının Sosyal Hizmetlerde pilot

olarak uygulandığı belirtilmiştir. Programın Konsey içerisinde tamamen yaygınlaştırılıp
yaygınlaştırılmayacağına henüz karar verilmemiştir.

Tavsiye
Konsey, Sosyal Hizmet pilot uygulamasının ardından seçeneklerin değerlendirilmesine
ilişkin çalışmaları tamamlamalı ve uygun olması halinde Programı diğer tüm
Hizmetlere yaygınlaştırmalıdır.

Hizmet Yanıtı / Eylem

Kabul edildi
Uygulama Tarihi Sorumlu Görevli Notlandırma
Mart 2017 Bilgi Güvenliği Denetlenen alan içinde
Mimarı önemli

2.8 ICT Ekipmanı

2.8.1 Veri Koruma ihlalleri bilgisayarların, dizüstü bilgisayarların ve USB belleklerin kaybını
içerebilir. Yürürlükteki güvenlik düzenlemeleri yeterlilik açısından gözden geçirilmiştir.

2.8.2 BİT varlıkları, varlık numaralarının tahsis edildiği ve marka, model, seri numarası,
kullanıcı, hizmet, konum, PO numarası, PO tarihi, maliyet ve giriş tarihinin kaydedildiği
Konsey'in Kurumsal Varlık Kaydı'na kaydedilir. Ekipmanın son kullanıcısının bilinmediği
durumlarda, siparişi veren kişinin adı kullanıcı olarak kaydedilebilir. Buna ek olarak, eğer
bilinmiyorsa konum girilmeyebilir.

2.8.3 Kurumsal Varlık Kaydı, ekipmanın kullanım ömrü boyunca güncellenmemektedir. Eski
30 çalışandan oluşan bir örneklem üzerinde yapılan testlerde, dizüstü bilgisayarların
artık Konsey için çalışmayan 4 kişiye tahsis edildiği görülmüştür.

2.8.4 Konsey, 2012 yılında Konsey'e ait tüm dizüstü bilgisayarları disk şifrelemenin
gerçekleşmesine izin verecek şekilde yükseltmek ve değiştirmek için bir tatbikat
yapmıştır. Bu çalışma tamamlanmış ve sadece sunumlar için kullanılan eski bir Sanat
Galerisi dizüstü bilgisayarı haricinde tüm dizüstü bilgisayarlar şifrelenmiştir.

Tavsiye
BT ekipmanını ömrü boyunca izlemek, mevcut durumunu, sahibini ve konumunu
kaydetmek için Kurumsal Varlık Kaydının kullanılması düşünülmelidir.

Son kullanıcının veya yerin adının bilinmediği durumlarda, durumu açıklayan notlar
Kayıt Defterine kaydedilmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi. Bir Hizmet Yönetim Aracının Ekim 2016'da hayata geçmesi
planlanmaktadır. Bu araç BT ekipmanlarının takibi için bir Varlık Yönetimi modülü
içerecektir.
Uygulama Tarihi Sorumlu Görevli Notlandırma
Mart 2017 BT Müşteri Hizmetleri Denetlenen alan içinde
Müdürü önemli

8 Rapor No. AC1707

2.9 Erişim Kontrolleri - Ayrılanlar veya Taşınanlar

2.9.1 BT, İK tarafından sağlanan aylık bir elektronik tablo aracılığıyla, halihazırda ayrılmış olan
personel hakkında geriye dönük olarak bilgilendirilmektedir. Bu durum, Konseyden
ayrılan personelin ayrılış tarihini takip eden ay boyunca Konsey sistemlerine erişebilmesi
gibi potansiyel bir risk yaratmaktadır.

2.9.2 Ayrılanların BİT ekipmanlarının BT'ye iadesine ilişkin resmi bir prosedür
bulunmamaktadır. Çevrimiçi Ayrılanlar Formu, ayrılanlara BİT ekipmanını iade etmelerini
hatırlatmaktadır, ancak Bölüm Yöneticilerinin ekipmanı BT'ye iade etmeleri için bir
gereklilik görünmemektedir. BT ve Dönüşüm ile yapılan görüşmeye göre, ayrılanların BİT
ekipmanı, ayrılan çalışanın Birim Yöneticisi tarafından idare edilmektedir.

2.9.3 Bireysel Hizmetlerin, bir çalışanın rolündeki herhangi bir değişiklikle ilgili olarak BT'yi
sürekli olarak bilgilendirip bilgilendirmediği açık değildir. Hizmetlerin bu tür rol
değişikliklerini BT'ye bildirmesi için belgelenmiş bir gereklilik yok gibi görünmektedir.

Tavsiye
ICT, planlanan ayrılma tarihinin IT'ye bildirilmesi (ayrılma tarihinde hesaplarının devre
dışı bırakılmasına izin vermek için) ve ICT ekipmanının IT'ye iadesi de dahil olmak
üzere, ayrılanlarla ilgili net bir prosedür geliştirmek ve uygulamak için HR&OD ile
birlikte çalışmalıdır. Prosedür ayrıca terfiler ve geçici görevlendirmeler de dahil olmak
üzere personel rol değişiklikleriyle ilgili gereklilikleri de belirlemelidir.

Hizmet Yanıtı / Eylem

Kabul edildi

Uygulama Tarihi Sorumlu Görevli Notlandırma

Ocak 2017 BT Teknoloji Müdürü Denetlenen alan içinde
önemli

2.10 Kullanıcı Hesapları

2.10.1 Hizmet, hareketsiz ağ kullanıcı hesapları için düzenli kontroller yapar.

2.10.2 Hizmet, kullanıcı hesapları oluşturma süreçlerine ilişkin rehberlik de dahil olmak üzere
BİT İşlemleri Standartları'na sahiptir. Servis, genel bir kullanıcı hesabı oluşturulmadan
önce bir risk değerlendirme süreci olduğunu ancak bunun BİT Operasyon
Standartlarında açıkça belgelenmediğini belirtmiştir.

Tavsiye
Mevcut ICT Operasyon Standartları, genel ağ kullanıcı hesaplarının kullanımına
ilişkin süreçleri belgeleyecek şekilde güncellenmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi

Uygulama Tarihi Sorumlu Görevli Notlandırma

Aralık 2016 BT Teknoloji Müdürü Denetlenen alan içinde
önemli

2.11 ICT Kabul Edilebilir Kullanım

2.11.1 ICT Kabul Edilebilir Kullanım Politikası, ICT ekipmanının kabul edilebilir kullanımına
ilişkin üst düzey bir genel bakış sağlar. Politika, kabul edilemez kullanımı tanımlar ve
şifreler, Konsey BİT ekipmanlarının, sistemlerinin ve ağlarının kişisel kullanımı, sistem
yedeklemeleri, erişim ve izleme; ihlaller ve olayların raporlanması ile ilgili bazı rehberlik
sağlar.
9 Rapor No. AC1707
 Şifreli ICT ekipmanlarının kullanımı, uzaktan çalışma, e-posta rehberliği ve yaşam
döngüsü boyunca bilgilerin yönetilmesine ilişkin genel iyi uygulama rehberliğini kapsayan
Kurumsal Bilgi Yönetimi Prosedürleri personelin kullanımına sunulmuştur.

Tavsiye
BİT Kabul Edilebilir Kullanım Politikasının diğer BİT prosedürlerine bağlantılar
içerecek şekilde güncellenmesi düşünülmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi

Uygulama Tarihi Sorumlu Görevli Notlandırma

Aralık 2016 Bilgi Yöneticisi Denetlenen alan içinde
önemli

2.12 Sözleşmeler ve Yüklenici Performansı

2.12.1 Konseyin, Veri Denetleyicisi olarak sorumlu olduğu verilere erişimi olan bir dizi üçüncü
tarafla yürürlükte olan anlaşmaları vardır. Bu verilerin korunmasını ve 1998 tarihli Veri
Koruma Yasasına uyulmasını sağlamak için yeterli Veri Koruma ve Gizlilik Hüküm ve
Koşullarının (üçüncü tarafla yapılan ana sözleşmede veya ayrı bir anlaşma olarak)
bulunması önemlidir.

2.12.2 Çalışanlar, iş sözleşmeleri ve Davranış Kuralları (bkz. Madde 7.6 - Gizli Bilgiler)
kapsamında zımni bir gizlilik yükümlülüğüne sahiptir ve bir gizlilik anlaşması
imzalamalarına gerek olmaksızın DPA 1998'e uymaları gerekmektedir. Çalışan
olmayanlar, bir çerçeve anlaşması dışında görevlendirilen acente personeli, gönüllüler,
stajyer öğrenciler ve yüklenicileri içerir, bunlar bir Veri Denetleyicisi adına kişisel verileri
işler ve DPA 1998 kapsamında Veri İşleyenler olarak sınıflandırılır. Yalnızca Veri
Kontrolörleri Veri Koruma mevzuatına uymakla yükümlüdür ve Veri İşleyicileri tarafından
üstlenilen her türlü işlemden sorumludur. Bu nedenle, kişisel veya hassas verilere
potansiyel olarak erişebilecek olan çalışan olmayan kişiler bir gizlilik sözleşmesi
imzalamalıdır. Personelin, Konseyin sözleşmesi veya onaylı çerçeve anlaşması olan
üçüncü taraf bir tedarikçi tarafından sağlandığı durumlarda, personeli sağlayan üçüncü
taraf kuruluş Veri İşleyen olarak kabul edilir ve bireysel personel yerine bir gizlilik
sözleşmesi imzalaması gerekir.

2.12.3 Geçerli sözleşmelerin ve gizlilik anlaşmalarının mevcut olduğunu ve Konsey'in şart ve

koşullara uyulduğundan emin olmak için sözleşme performansını izlediğini tespit etmek
amacıyla kişisel verilere erişimi olan 12 tedarikçiden oluşan bir örneklem seçilmiştir.
Örneklenen 12 tedarikçiden 5'i için bilgi mevcut değildi. Sağlanan 7 sözleşmeden, yatılı
bakım hizmetleriyle ilgili olan 1 tanesi imzalanmamıştır. Sağlanan geri kalan sözleşmeler
geçerlidir ve Veri Koruma ve gizlilik hüküm ve koşullarını içermektedir.

2.12.4 CPS, Hizmetler ile işbirliği içinde bir sözleşme kaydı geliştirmiştir. Ancak, test için seçilen
sözleşmeler merkezi olarak depolanmamış ve bunun yerine ilgili Hizmetler tarafından
tutulmuştur. Personelin sözleşmeleri bulmasının zor olduğu kanıtlanmıştır. Bu durum,
sona erme tarihlerinin izlenmesi de dahil olmak üzere sözleşme yönetiminin zor
olabileceğini göstermektedir.

2.12.5 Talep edilen sözleşmelerden biri 18 yıl önce kabul edilmiştir ve o zamandan beri sadece
iki buçuk yıllık tek bir uzatma yapıldığı bildirilmiştir. Kararlaştırılan sözleşme süresini
doğrulamak için orijinal sözleşmenin bir kopyasını elde etmek mümkün olmamıştır ancak
işin geçerli bir sözleşme olmadan yürütülmüş olması riski bulunmaktadır.

2.12.6 Tedarikçi performansı üzerinde gerçekleştirilecek denetimlere ilişkin bir plan talep
edilmiştir. Bu denetimler

10 Rapor No. AC1707

 bir sözleşmenin şartlarına uyulmasını sağlamak için faydalıdır. Plan sunulmamıştır ve
herhangi bir rapor sunulmadığından, örneklenen 12 yüklenicinin hiçbirinde sözleşmeye
uygunluk denetimlerinin yapılmadığı anlaşılmaktadır.

Tavsiye
Geçerli, imzalanmış bir sözleşme olmadan üçüncü bir tarafla çalışma yürütülmemelidir.

Hizmetlere, uygun Veri Koruma maddelerinin sözleşmeye dahil edildiğinden emin

olmak için yeni bir tedarikçiyle çalışırken CPS bünyesindeki Hukuk Ekibinin tavsiyesini
almaları tavsiye edilmelidir.

Konsey, Veri Koruma Yasasına uygunluk konusunda güvence sağlamak amacıyla

sözleşmeye uygunluk denetimleri gerçekleştirmek için sözleşmeden doğan haklarını
kullanmalıdır.

Hizmet Yanıtı / Eylem

Kabul edildi

Uygulama Tarihi Sorumlu Görevli Notlandırma

Mart 2017 Takım Lideri, Hukuk Denetlenen alan içinde
Ekibi, Ticari ve Satın önemli
Alma Hizmetleri

Tavsiye
Sözleşmeler ve tedarikçi değerlendirmeleri merkezi olarak saklanmalı, kolayca
erişilebilir olmalı ve son kullanma tarihlerinin izlenmesi, sözleşme kapsamındaki
hakların kullanılması (denetim yapma hakkı gibi) ve sözleşme yükümlülüklerinin
yerine getirilmesinin sağlanması dahil olmak üzere etkili sözleşme yönetiminin
sağlanması için düzenli olarak gözden geçirilmelidir.

Hizmet Yanıtı / Eylem

Kabul edildi
Uygulama Tarihi Sorumlu Görevli Notlandırma
Nisan 2017 Ticaret ve Satın Alma Denetlenen alan içinde
Başkanı önemli

2.13 Veri Paylaşımı

2.13.1 Veri Paylaşımı, verilerin bir (veya daha fazla) kuruluş(lar)dan üçüncü taraf bir kuruluşa
ifşa edilmesi veya bir kuruluşun farklı bölümleri arasında paylaşılması anlamına gelir.
Veri paylaşımı, çeşitli amaçlar için veri paylaşmaya yönelik tek seferlik kararların yanı
sıra, aynı veri setlerinin aynı kuruluşlar arasında belirlenmiş bir amaç için paylaşıldığı
sistematik, rutin veri paylaşımını da kapsar. Veri paylaşımı öncelikle veri denetleyicileri
arasında veri paylaşımını ifade eder (bir veri denetleyicisi ile veri işleyen arasında değil -
belirli Veri Koruma şartlarını içeren yazılı bir sözleşme gerektirir ve
2.12 yukarıda).

2.13.2 Örnek bir ACC Mutabakat Zaptı ve ilgili Bilgi Paylaşım Protokolünün test edilmesi,
İSS'nin 1998 tarihli Veri Koruma Yasası ilkelerine uygun olduğunu doğrulamıştır.

2.13.3 Ancak yapılan görüşmelerde, İSP'lerin her zaman uygulama öncesinde Hukuk birimine
gönderilmeyebileceği belirtilmiştir.

2.13.4 Kurumsal Veri Koruma Prosedürü - Rutin Veri Paylaşımı Prosedürü uyarınca, kişisel
verilerin harici bir kurumla herhangi bir rutin paylaşımı yapılacaksa

11 Rapor No. AC1707

 Hukuk ve Demokratik Hizmetler mümkün olan en kısa sürede bilgilendirilmeli ve dış
taraflarla yasal olarak bağlayıcı bir Bilgi Paylaşım Protokolü imzalanmalıdır. Bir ISP
imzalanmadan önce Hukuk ve Demokratik Hizmetler Başkanından tavsiye alınmalıdır.

2.13.5 ICO, 2013 Raporunda, Veri Koruma Yasası 1998 s29 ve s35 muafiyetlerinin devreye
girdiği durumları içermesi gereken merkezi bir veri paylaşımı kaydı oluşturulmasını ve
uygulanmasını tavsiye etmiştir. Bölüm 29 suçun önlenmesi/tespiti, bir suçlunun
yakalanması/kovuşturulması ve bir vergi veya harcın değerlendirilmesi/tahsili amacıyla
kişisel verilerin ifşasına izin vermektedir (veri sahibinin/ sahiplerinin bilgilendirilmesinin
bir soruşturmaya halel getirebileceği durumlarda). Bölüm 35, bilgiyi gerektiren bir yasa
veya mahkeme emri olduğunda veya yasal işlemlerle bağlantılı olarak gerekli olduğunda
kişisel verilerin ifşa edilmesine izin verir.

2.13.6 Konsey'in Haziran 2014'te ICO'ya yaptığı güncellemede (tavsiyelerin her birine karşı
kaydedilen ilerlemenin raporlanması) artık merkezi bir kayıt tutulduğunun belirtilmesine
rağmen, veri paylaşımı örneklerinin merkezi bir kaydının uygulandığını doğrulamak
mümkün olmamıştır. Hukuk Hizmetleri, her bir Hizmetin kendi veri paylaşım günlüğünü
tutması nedeniyle merkezi bir günlük tutmadıklarını teyit etmiştir. Hizmetler üçüncü taraf
veri paylaşımı hakkında bilgi tutmaktadır ve bu istatistikler harmanlanarak Denetim, Risk
ve İnceleme Komitesine üç ayda bir sunulan raporun bir parçası olarak sunulmaktadır.

Tavsiye
Hizmetlere, Bilgi Paylaşımı Protokolleri imzalanmadan önce Hukuk ve Demokratik
Hizmetler'den tavsiye alınması gerektiği hatırlatılmalıdır.

ICO'nun 2013 Denetim Raporundaki tavsiyesine göre, üzerinde mutabık kalınan tüm
Bilgi Paylaşım Protokollerini içeren merkezi bir veri paylaşım günlüğünün uygulamaya
konulması düşünülmelidir.

Hizmet Yanıtı / Eylem

Kabul edilmiştir. Tüm Hizmetlerin aynı veri tabanını kullanma olasılığını araştırmak için
çalışmalar yapılmalıdır, böylece Hizmetler tarafından Konu Erişim ve Üçüncü Taraf
Talep uyumluluğuna ilişkin kaydedilen istatistiklere raporlama amacıyla merkezi olarak
erişilebilir.
Uygulama Tarihi Sorumlu Görevli Notlandırma
Mart 2017 Geçici Hukuk Müdürü - Denetlenen alan içinde
Hukuk Hizmetleri önemli

2.14 Gizli Atık

2.14.1 Aberdeenshire Konseyi ile Konseyin gizli atıklarını yönetmesi için harici bir şirketle ortak
bir sözleşme yapılmıştır. Şirket gizli atıkları güvenli bir şekilde toplar ve güvenli
araçlarında parçaladıktan sonra Konsey personelinden İmha Sertifikası üzerinde bir
imza alır ve parçalanmış malzemeyi balyalandığı ve daha sonra geri dönüştürüldüğü
depolarına taşır. Sözleşme Veri Koruma konusuna yeterince değinmektedir ancak
sadece yüklenicinin Aberdeenshire Belediyesi'nin Veri Koruma Politikalarına uyması
gerektiğini belirtmekte ve Aberdeen Kent Konseyi'nin politikalarından bahsetmemektedir.

2.14.2 Yükleniciye yönelik herhangi bir denetim gerçekleştirilmemiştir ve performans yönetimi /

sözleşme uyum toplantılarında tutanaklar resmi olarak kaydedilmemektedir. Bölüm
2.12'de tavsiye edildiği gibi tatmin edici performansın devamını sağlamak için düzenli
performans yönetimi/denetimleri faydalı olacaktır.

12 Rapor No. AC1707

2.15 Konu Erişim Talepleri

2.15.1 'Konu Erişim Hakkı', 1998 tarihli Veri Koruma Yasası kapsamında bireylerin, veri
denetleyicilerinin kendileriyle ilgili bilgileri işleyip işlemediğini ve bu bilgilerin hangi
amaçlarla işlendiğini tespit etme hakkıdır. Mevzuat uyarınca, bu tür bilgi taleplerine 40
gün içinde yanıt verilmesi gerekmektedir.

2.15.2 Son 6 ayda Topluluklar, Konut ve Altyapı'ya 8 Konu Erişim Talebi yapılmıştır. Veri
Koruma Yasası 1998 uyarınca, veri denetleyicileri bir Konu Erişim Talebine yanıt verme
karşılığında bir ücret talep edebilir. Bu taleplerin 7'si için ücret talep edilmemiştir. Ücret
alınmadığı durumlarda, ücret alınmama nedeni kaydedilmemiştir.

2.15.3 Konu erişim talepleri için ücret alınmasına ilişkin karışıklık olabilir. 2015 prosedürü, tüm
Hizmetlerin ücretlerin alınmasına ilişkin kendi rehberliklerine sahip olduğunu
belirtmektedir. 2012 prosedürü (Zone'dan da erişilebilir), uygun olması halinde ücret
alınmamasının her zaman göz önünde bulundurulması gerektiğini belirtmektedir.
Yukarıdaki Bölüm 2.4, Bölge'de saklanan prosedürlerin versiyon kontrolünün gözden
geçirilmesini tavsiye etmektedir.

2.15.4 Son 12 ayda, Konsey tarafından alınan toplam 84 konu erişim talebinden 63'üne yasal
olarak öngörülen 40 gün içinde yanıt verilmiştir. Geç yanıtlar büyük ölçüde, üçüncü taraf
verilerini kaldırmak ve uygun redaksiyonları yapmak için çok sayıda hacimli kaydı
incelemekle ilgili yoğun personel zamanı ve kaynağından kaynaklanmaktadır.

2.15.5 2013 ICO denetimi, uygun ayrıntı düzeyinde yazılmış özel bir Konu Erişim Talebi eğitim
kursunun tasarlanmasını ve uygun Konsey personeline verilmesini tavsiye etmiştir.
Konsey, 2013 ICO denetiminden önce muafiyet başvurularının ve üçüncü taraf
taleplerinin incelikleri de dahil olmak üzere bu tür bir eğitim ihtiyacını tespit etmişti. ICO,
eğitimin Ocak 2014'e kadar uygulanmasını tavsiye etmiştir. Yukarıda 2.5.8'de belirtildiği
üzere, konu erişim eğitimi üzerine özel bir modül geliştirilmiş ve Mart 2015'te Sosyal
Hizmet bünyesindeki Şikayet, Haklar ve Sorgular Ekibine verilmiştir ve Eylül 2015'te
onaylanan ilgili Konsey prosedürü, konu erişim taleplerinin ele alınmasıyla ilgili olarak
ICO'nun güncel kılavuzunu yansıtmaktadır.

2.15.6 Konu Erişim Taleplerine ilişkin merkezi bir kayıt bulunmadığı görülmektedir. Tüm konu
erişim talepleri, verileri tutan ve işleyen ilgili Hizmet olan münferit Hizmetler tarafından
kaydedilmektedir. Hukuk Hizmetlerindeki Yönetişim Ekibi, Hizmetlerden gelen verileri
harmanlamakta ve veri türlerini, diğer çeyreklere kıyasla talep sayısını, eğilimleri ve yanıt
sürelerini analiz etmektedir. 2013 Denetim Raporu'nda ICO, tüm konu erişim taleplerinin
merkezi olarak kaydedilmesini sağlayacak kontrollerin uygulanmasını da tavsiye etmiştir.
Konsey bu tavsiyeyi kabul etmiştir ancak merkezi kayıtların bir kopyasının talep
edilmesinin ardından, her Hizmetin kendi kayıtlarını tuttuğu ve merkezi bir kayıt
bulunmadığı bildirilmiştir. Bunun yerine, her Hizmetten konu erişim uyumluluğuna ilişkin
temel veri kümeleri Hukuk Hizmetleri bünyesindeki Yönetişim Ekibi tarafından
harmanlanmakta, analiz edilmekte ve raporlanmaktadır.

Tavsiye
Konu Erişim Talepleri için ücret talep edilmesine ilişkin açık bir rehberlik sunulmalıdır.

ICO tavsiyesi uyarınca, Konsey, Konu Erişim Taleplerinin merkezi bir kaydını tutmayı
düşünmelidir.

Hizmet Yanıtı / Eylem

Kabul edilmiştir. Konu Erişim Ücretinin tahsil edilmesinin Konsey genelinde tutarlı
olmadığı ve Yönetişim Kurulunun ücretin şu şekilde olması gerekip gerekmediğini
değerlendireceği belirtilmiştir

13 Rapor No. AC1707

 tüm talepler için ücret alınmaması veya ücret alınacaksa, personel için ne zaman ücret
alınacağı konusunda rehberlik geliştirilmesi
ücret uygulanacaktır.
Uygulama Tarihi Sorumlu Görevli Notlandırma
Mart 2017 Geçici Hukuk Müdürü - Denetlenen alan içinde
Hukuk Hizmetleri önemli

2.16 Risk Yönetimi

2.16.1 Veri Koruma, Kurumsal Yönetişim Risk Kaydına genel bir risk olarak dahil edilmiş ve
hafifletici eylemler üzerinde çalışmalar başlatılmıştır - örneğin, Bilgi Yönetişimi Kurulu
oluşturulmuştur.

2.16.2 Bilgi Yönetişimi Risk Kaydı, Bilgi Yönetişimi Kurulu'nun eylemlerinden biri olarak
sonuçlandırılmaktadır.

2.16.3 'Veri Koruma Raporlaması (Nisan 2015 - Mart 2016)' konulu bir rapor 27 Haziran 2016
tarihinde Denetim, Risk ve İnceleme Komitesine sunulmuştur. Raporun Risk Yönetimi
bölümünde mevzuata uyumun ve uyumun izlenmesinin önemi belirtilmekte ancak
uygulamada bu uyumun izlenmesinin sonuçlarına ilişkin herhangi bir ayrıntı
verilmemektedir.

DENETÇİLER: D Hughes
M Beattie
A Johnston
A Mitchell

14 Rapor No. AC1707

Ek 1 - Tavsiyelerin Derecelendirilmesi

SINIF TANIM

Kurumsal Düzeyde Binbaşı Uygun bir iç kontrolün bulunmaması ya da buna uyulmaması,

örneğin Konsey için maddi bir mali kayba ya da itibar kaybına
yol açabilir.

Hizmet Seviyesinde Binbaşı Örneğin denetlenen Hizmet/alan için maddi bir mali kayba yol
açabilecek uygun bir iç kontrolün bulunmaması veya buna
uyulmaması.

Mali Yönetmelikler sürekli olarak ihlal edilmiştir.

Denetlenen alan içinde önemli Bu konunun ele alınması iç kontrolleri geliştirecektir.

Bir kontrol unsuru eksik veya sadece kısmi niteliktedir.

Belirlenen zayıflığın varlığı bir sistemin yeterliliği ve etkinliği

üzerinde bir etkiye sahiptir.

Mali Yönetmelikler ihlal edilmiştir.

Denetlenen alan içinde önemli İç kontrol unsuru tatmin edici olmakla birlikte, bir kontrol
zayıflığı tespit edilmiştir; zayıflığın varlığı, tek başına veya
diğer bulgularla birlikte ele alındığında, genel iç kontrol
sistemine zarar vermemektedir.

15 Rapor No. AC1707