Exabyte Bilişim & Güvenlik Firması ile KVKK Danışmanlığı ve Süreç Yönetimi

KVKK kanunu uygulamakla yükümlü işletmeni veya kurumun kişisel verileri nasıl toplayacağını, koruyacağını, işleyeceğini ve bu verileri nasıl aktaracağını ve imha edeceği ile ilgili süreci yönetir.Bu şartlarda kuruluş hem kendi personeline gerekli eğitimleri sağlamak hem de üçüncü kişilerin yararına bir fonksiyon yürütmektedir. Bu politikaya bir prosedür demek daha doğru bir yaklaşım olacaktır. Uzman ekibimiz KVKK sürecinizi yönetecek ilgili adımları Hukuk Büromuz ile sizleri bilgilendirerek en doğru ve en anlaşılır sonucu almanız için size danışmanlık vermektedir.

Veri Politikası

Basit bir anlatımla Veri politikası kanunu uygulamaklayükümlü işletmenin veya kurumun kişisel verileri nasıl toplayacağını, koruyacağını, işleyeceğini, bu verileri nasıl aktaracağını ve imha edeceğinitariflendirir diyebiliriz. Bu şartlarda kuruluş hem kendi personeline gereklieğitimleri sağlamak hem de üçüncü kişilerin yararına bir fonksiyonyürütmektedir. Bu politikaya bir prosedür demek daha doğru bir yaklaşımolacaktır. Öncelikle konu ile ilgili bir yanlış anlaşılmanın hemen önünegeçelim. KVKK aydınlatma metni ile karıştırılan bu anlayışın aslında KVKKaydınlatma metninde genel ifadelerle yer verilen kavramların çalışma alanında uygulamaya geçirildiği bir kavram olduğunu ifade edelim. Dolayısıyla aydınlatma metninde yapılacaklar anlatılırken diğerinde kurumun bu yönergeleri uygulaması söz konusudur.

Veri Envanteri

Bu süreç bir anlamda veri sorumlusunun MR’ının çekilmesi gibidir. Her birimdeki tüm verilerin değerlendirilmesini gerektirir. Veriler veri tabanlarında tutuluyor olabileceği gibi, kişisel bilgisayarlarda, cep telefonlarında da olabilir. Excel, Word dosyalarında ya da kağıt üzerinde de olabilir. Başka birilerine gönderilmiş ve aslı olmayan dosyaların da tespit edilmesi gerekir.

  • Değerlendirmede kişisel veri olduğu tespit edilen verilerin hangi tür veriler olduğu ilgili
  • Kişinin veri sorumlusu ile ilişkisi (Müşteri, çalışan vb)
  • Hangi amaç için toplandığı
  • Nasıl saklandıkları ve saklanması gereken süre
  • Erişebilen kişiler
  • Silinmesi durumunda olabilecek sorunlar
  • Anonim hale getirilmesinin gerekli olup olmadığı
  • Yurt içinde ve yurt dışında kimlere hangi verilerin aktarıldığı

gibi soruların cevaplarının bulunması gerekir. Bunlar soruların bir kısmı olup cevabı bulunması gereken tüm sorular veri sorumlusuna göre belirlenmelidir.

Risk Analizi

Kişisel verilerin korunması kanunu idari önlemlerden biri de Risk Analiz ve Değerlendirme sürecinin işletilmesi olarak tanımlar. Bu kısımda da ISO27001 baz alarak hamleler yapmak mümkündür.Bu kısımda yapabilecekleriniz aşağıdadır: Risk yönetimi ve değerlendirmesi prosedürü oluşturulmalıdır.Her departmandan ilgili risklerin “Kişisel Veriler” gözetilerek doldurulması sağlanmalıdır.Risk transfer kriterleri belirlenmelidir.Artık risklerin kabul kriterleri belirlenmelidir.Risk işleme standartları belirlenmelidir.Olasılık, şiddet, Risk matrisi ve eylem matrisi tanımlanmalıdır. önderlik etmesi uygun olacaktır.

Veri Paylaşımı

Paylaşım açık rızaya dayanmaktadır. Kurumun bazı durumlarda kişisel bilgileri 3. kişilerle paylaşması gerekebilir. Bu konu veri politikasının bir parçasıdır. Örnek metin aşağıdadır.

Şirkete iletmiş olduğum veya Şirket’in usul ve işlemleri çerçevesinde edindiği kişisel veri, biyometrik veri ve sağlık verisi dahil her türlü nitelikli kişisel veri, kurumsal, ticari ve diğer verinin aydınlatma formu kapsamında veri sorumlusu ve/veya veri işleyen olarak tamamen veya kısmen elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, güncellenmesi, periyodik olarak kontrol edilmesi, yeniden düzenlenmesi, sınıflandırılması, işlendikleri amaç için gerekli olan ya da ilgili kanunda öngörülen süre kadar muhafaza edilmesi, kanuni ya da hizmete bağlı fiili gereklilikler halinde şirketinizin birlikte çalıştığı ya da kanunen yükümlü olduğu kamu kurum ve kuruluşlarıyla ve/veya Türkiye’de veya yurt dışında mukim olan 3. kişi hizmet sağlayıcı, tedarikçi firmalar, sigorta şirketleri ve şirketiniz ile paylaşılması, kanuni ya da hizmete bağlı fiili gereklilikler halinde yurtdışına aktarılması dahil olmak üzere işlenmesine, açık rızam olduğunu beyan ederim.

Eğitim

6698 sayılı Kişisel Verilerin Korunması Kanunu, Başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verilerin işlenmesinde uyulacak usul ve esasları düzenlemek amacıyla 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Bu tarihten itibaren kanuna uyum sürecini başlatan kurum ve kuruluşlarda, sürecin bir parçası olan personellerin hem kişisel verilerin korunması kanunu hem de kurumun uyum sürecinde ve devamında gerçekleştirdiği/gerçekleştireceği tüm uygulama, idari ve teknik önlem, değişen iş süreçleri ve kanunun verdiği sorumlulukların farkında olması gerekmektedir.