KİŞİSEL VERİLERİ KORUMA KANUNU UYUMLULUK HİZMETİ

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu özel hayatın gizliliğini, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi hedeflemiştir.

6698 sayılı kanun kapsamında kurumunuzun yükümlükleri özetle aşağıda belirtilmiştir;

  • Kişisel verilerin Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmesini sağlamak.
  • İlgili kişinin haklarını korumak; Kişisel Verileri hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak.
  • Kişisel Veri Envanterini oluşturmak.
  • Kişisel verilerin yurtdışına aktarılması, silinmesi, yok edilmesi veya anonim hale getirilmesini yönetmek.
  • Mevcut sözleşmeleri (Çalışan, Katılımcı, Müşteri Taşeron vb.) kanunla uyumlu hale getirmek.
  • Veri Sahibini aydınlatma ve açık rıza alma yükümlülüklerini yerine getirmek.
  • Veri sahiplerinin başvurularını değerlendirmek ve sonuçlandırmak.
  • Organizasyon yapısını oluşturmak.
  • Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemlerini yapmak.
  • Kişisel Veri Güvenliğine sağlanmasına yönelik olarak İdari tedbirlerin alınmasını sağlamak, Politika ve Prosedürleri oluşturmak.
  • Kişisel Veri Güvenliğine sağlanmasına yönelik olarak teknik tedbirlerin alınmasını sağlamak.

Danışmanlık hizmetinin amacı:

  • Kurumsal iş süreçlerinin 6698 sayılı Kişisel Verileri Koruma Kanununa uyumlu hale getirilmesi.
  • Kanuni yükümlülüklerin yerine getirilmesi, kişisel veri işleme ihlallerinin önlenmesi ve kanuni yaptırımların önüne geçilmesi.

KVKK Danışmanlığı Kapsamında Yer Alan İş Paketleri:

Kurumsal iş süreçlerinin 6698 sayılı kanun ile uyumlu hale getirmek aşağıda belirtilen iş paketleri çerçevesinde proje hayata geçirilecektir.

  • Mevcut durum analizinin yapılması
  • Veri işleme süreçlerinin KVKK ile uyumlu hale getirilmesi
  • Organizasyon yapısının oluşturulması
  • Veri güvenliği için idari tedbirlerin sağlanması
  • Veri güvenliği için teknik tedbirlerin sağlanması
  • Eğitimlerin verilmesi
  • VERBİS kayıt işleminin yapılması

KVKK DANIŞMANLIĞI KAPSAMINDA YER ALAN İŞ PAKETLERİ:

1.MEVCUT DURUM ANALİZİ

Fark Analizi yapılacak olup KVKK’ya ne kadar uyum sağlandığı ortaya çıkartılacaktır.

  • Kişisel verilerin uygulamalar ve süreçler bazında incelenmesi
  • Organizasyon yapısının incelenmesi (İrtibat/ bilgilendirme kişileri, komite, veri işleyen vb.)
  • Verbis açısından inceleme
  • İlgili kişi uygulamalarının (Aydınlatma, Açık rıza, başvuru alma, cevaplandırma vb.) incelenmesi
  • Kurumsal Politika ve Prosedürlerin incelenmesi
  • İdari Tedbirler açısından inceleme yapılması (Politikalar, Prosedürler vb.)
  • Teknik Tedbirler açısından inceleme yapılması (Uygulama/ Network güvenliliği, loglama, şifreleme vb.)

2.VERİ İŞLEME SÜREÇLERİN KVKK İLE UYUMLU HALE GETİRİLMESİ

Birim yetkilileri ile mevcut iş süreçleri incelenerek veri işleme, sözleşmeler ve ilgili kişi faaliyetleri hakkında çalışma yapılacaktır.

  • Kişisel Veri Envanterinin oluşturulması
  • Süreç veya Faaliyet bazında kişisel verilerin tespit edilmesi
  • Veri ve ait olduğu kategorilerin belirlenmesi
  • Veri konusu kişi grubunun tespit edilmesi
  • Aktarılan alıcı grupların tespit edilmesi
  • Kişisel veri işleme amaçları ve hukuki sebeplerinin belirlenmesi
  • Kişisel verilerin muhafaza edilmesi sürelerinin belirlenmesi
  • Yabancı ülkelere aktarımı durumu
  • Veri güvenliğine ilişkin alınan tedbirleri
  • Kişisel verilerin mümkün olduğunca azaltılması
  • Sözleşmelerin güncellenmesi ve kanuna uygun hükümler ilave edilmesi. Bu kapsamda müdürlüğünüzün mevcut avukatları ile birlikte çalışılacaktır.
    • Çalışan sözleşmeleri
    • İş sözleşmeleri
    • Disiplin yönetmeliği
    • Gizlilik sözleşmeleri (Çalışan, Müşteri, Taşeron, Katılımcı vb.)
  • İlgili kişi uygulamalarının oluşturulması; Aydınlatma, Açık rıza, başvuru alma, şikayet, itiraz süreçlerinin oluşturulması/ uyumlu hale getirilmesi, kolaylaştırılması

3.ORGANİZASYON YAPISININ OLUŞTURULMASI

  • İrtibat ve bilgilendirme kişilerinin seçilmesi
  • Komitenin (KVKK uyum ekibi) oluşturulması
  • İlgili görev tanımlarının oluşturulması
  • Veri işleyen grubun belirlenmesi
  • Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemleri (Veri sorumlusu, veri kategorileri, amacı, kişi grubu, yurtdışına aktarım, veri güvenliği, saklama süresi vb.)

4.VERİ GÜVENLİĞİ İÇİN İDARİ TEDBİRLERİN SAĞLANMASI

  • Aşağıda belirtilen İdari tedbirler kapsamında çalışılacaktır.
  • Kurumsal Politikaların (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) hazırlanması
  • Sözleşmelerin (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında) kanunla uyumlu hale getirilmesi
  • Gizlilik Taahhütname şablonunu oluşturulması
  • Disiplin Yönetmeliği’nin oluşturulması/güncellenmesi
  • Kurumsal İletişim (Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri vb.) oluşturulması.
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) bildirim yapılması

5.VERİ GÜVENLİĞİ İÇİN TEKNİK TEDBİRLERİN İNCELENMESİ

  • Kurumun mevcut teknik tedbirleri (Siber Güvenlik, veri güvenliği vb.) analiz edilecek ve raporlanacaktır. Aşağıdaki ürünlerin tedariği hizmet kapsamı dışındadır;
  • Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi ,Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Log Kayıtları, Veri Maskeleme, Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları, Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme, Anahtar Yönetimi

6.EĞİTİMLER:

  • Eğitim ve Farkındalık Faaliyetlerin (Bilgi Güvenliği ve KVKK) yapılması
  • Bilgi güvenliği eğitiminin yapılması

7.VERİ SORUMLULARI SİCİLİ’NE (VERBİS) KAYIT

  • Veri Sorumlusu Tüzel/Gerçek Kişi ve irtibat kişisinin kaydının yapılması.
  • Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemleri (Veri sorumlusu, veri kategorileri, amacı, kişi grubu, yurtdışına aktarım, veri güvenliği, saklama süresi vb.)