KVKK

KVKK Nedir?

Yurtdışında GDPR (General Data Protection Regulation) olarak geçen Kişisel Verilerin Korunması Kanunu (KVKK)  7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleyen kanundur.

Bu Kanun  Beni ve Firmamı ilgilendiriyor mu?

Çalışan / müşteri bilgilerini işleyen tüm kurumlar Kanun’u uygulamakla yükümlü tutuluyor. İsim-soyisim, TC Kimlik Numarası, IP adresi, telefon numarası, resim, özgeçmiş bilgileri, e-posta adresi gibi verilerin yanı sıra hobiler, tercih ve beğeniler, fiziksel özellikler, alışkanlıklar gibi veriler de kişisel veri olarak kabul edilmektedir. Bu verileri bulunduran her kurumun ciddi sorumlulukları vardır.

KVKK Neden Bu Kadar Önemli?

Sadece kişisel verilerin kaydedilmesi ile 1 yıldan 3 yıla hapis cezası ile birlikte  5.000 TL’den 1 Milyon TL’ye varan ciddi para cezaları bulunmaktadır. Kanun şu an yürürlükte ve uygunsuzluklarda cezalar kesilmektedir.

Ne yapmalıyız?

  • İçeride : Hukuk biriminizle görüşüp sorumluluklarınızı ve risklerinizi belirlemelisiniz.
  • CRM/ERP Programlarınızda: Çalışan ve müşterilerinizin veri işleme ile ilgili açık rızasının alınması ve bunun tutulması ile kişilerin veri silme/anonimleştirme işlemlerini kolayca yapabilecek düzenlemeler yapılmalı.
  • Profesyonel Olarak:  KVKK danışmanlarımızdan alacağınız KVKK danışmanlığı ile aşağıda detayları görebileceğiniz tüm hizmetleri alabilir ve kurumunuzu KVKK’ya hazır hale getirebilirsiniz. Bu hizmetle KVKK Kapsamında, Keşfet, Yönet, Koru, Raporla metoduyla çalışarak öncelikle verilerin keşfedilmesini sağlar, sonra keşfedilen veri üzerinde yönetme süreçlerini tamamlar, yönetilebilen verilerin korunması için gerekli tedbirleri alır ve son olarak bu işlemlerin raporlanmasını sağlayabilirsiniz.

Ne Zaman

7 Nisan 2016 tarihinden itibaren kanun uygulanmaktadır. Bu sebeple en kısa zamanda KVKK sorumluluklarınızı öğrenmenizi öneriyoruz.

  1. Organizasyon Yapısının İncelenmesi
    • Kuruluşunuz ziyaret edilerek ilgili kişilerle yapılan görüşmeler sonucunda mevcut durum tespiti yapılır. Burada amaç KVKK süreçlerine dokunan çalışanları saptamaktır. Bu çalışmanın sonucunda, yasaya uygun sistemin kuruluş aşamalarını içeren bir İş Programı hazırlanır. Mevcut durum tespiti ve iş programı bir rapor halinde üst yönetime teslim edilir. Bilgi sisteminin kuruluş süreci, teslim edilen iş programından takip edilir ve olası değişiklikler güncelleştirilir.
    • KVKK Koordinasyon Kurulu ve Veri Sorumlusu Grubu olarak tanımlanan ve kuruluşunuzda Bilgi Güvenliği Yönetim Sistemini (BGYS) kurmaya ilişkin çalışmaları takip ve koordine edecek yönetim kademesi içinden seçilmiş kişiler, üst yönetim tarafından belirlenir.
    • KVK ile danışmanınızın görüşmelerini koordine etmek amacı ile KVKK Kooridinasyonu içinden bir kişi KVKK üyeleri tarafından seçilir.
  2. Bilgi Yönetim Sistemine İlişkin Temel Eğitimlerin Verilmesi

 KVKK’ nin hazırlanması sırasında doğru anlaşılıp uygulanabilmesi ve kurulduktan sonra sürekli geliştirilebilmesi için kuruluşunuzdaki çalışanlara aşağıdaki temel eğitimler verilir:

  • BGYS Bilinçlendirme; Amacı üst ve orta kademe yöneticiler de dâhil olmak üzere idari kadro çalışanlarına bilgi güvenliği kavramlarının aktarılması ve BGYS’nin örnekler ile anlatılarak bilgi güvenliği bilincinin yükseltilmesidir. Bu eğitim BGYS’nin kurulmaya başlanmasından önce verilir.
  • KVKK Dokümantasyonu Hazırlama ; KVKK Süreç ve yasasına uygun dokümantasyon yapısının ve bu yapıdaki dokümanların sahip olması gereken özelliklerin uygulamalı örnekler ile açıklanmasını amaçlamaktadır. Bu seminer, bilgi güvenliği sistem dokümanları olan BGYS politikası, Uygulanabilirlik Beyannamesi (UB), Prosedürler, Talimatlar, Kontrol Planları ve İş Akış Şemalarını oluşturmak için BGKG üyelerine verilir. Bir günlük seminerdir.
  1. Hukuki Danışmanlığın Verilmesi

Kişisel Verilerin Korunması Kanunu ile; Kanun kapsamına giren gerçek ve tüzel kişilere getirilen yükümlülüklerin tanımlanması, bu yükümlülüklerin uygun bir şekilde yerine getirilmesi için veri kayıt sistemlerinin, sözleşmelerin, ilgili formların gözden geçirilmesi ve uyumlandırılması, kişisel verilerin toplanmasına, işlenmesine, paylaşılmasına ve silinmesine ilişkin politika, prosedür, yönetmeliklerin incelenip gerekli değişikliklerin yapılması ve/veya ihtiyaç duyulan yerlerde yeniden oluşturulması dahil olmak üzere kişisel verilerin korunmasına ilişkin kapsamlı bir hukuki danışmanlık hizmetini sağlarız.

  1. İş Süreçleri Analizi / Danışmanlığı

Danışmanlarımız, kişisel verileri koruma ve kanuna uyumluluk kapsamında kurumların iş süreçlerini bütün detaylarıyla incelemekte ve süreçlerin ilgili kişisel verileri koruma mevzuatına  uyumluluğu için ihtiyaç duyulan eksik veya iyileştirme gereken noktaları belirleyerek bu değişikliklerin iş akışlarını aksatmadan hayata geçirilmesi konusunda destek sağlarız.

Kurumun içinde bulunduğu sektöre göre her iş birimi için kişisel veri işlenmesine ilişkin iş süreç ve akışlarını analiz ederek iyileştirmeler uygulanır. Kişisel verileri koruma mevzuatı ile uyumlu hale getirilir. Mevcut iş akışlarında ihtiyaç duyulan iyileştirme ve değişikliklerin yapılması, iş akışlarına uygulanabilir kurallar entegre edilmesinin yanı sıra kişisel verileri koruma mevzuatının getirdiği yeni düzenleme gerektiren alanlarda da (ilgili kişinin başvuru, itiraz ve şikayet süreçleri gibi..) kurum işleyişine göre yeni iş süreç ve akışları oluşturulur.

  1. Veri Yönetimi
  • Veri Envanteri ve Analizi – Keşif

Kişisel veri envanterinin çıkarılması aşağıdaki soruların kurumlardaki tüm iş birimleri ve süreçleri   kapsayacak şekilde cevaplanması sağlanır.

-Hangi Kişisel veriler?-Hangi kaynaklardan elde edilerek?

-Hangi yöntemlerle elde edilerek? – Hangi hukuki dayanaklarla?

-Hangi amaçlarla?

-Kimlerle paylaşılarak?

-Hangi süreçlerle?

-Hangi departmanlar tarafından? – Hangi teknolojilerle?

-Kimlere aktarılarak?

-Ne Süreyle? İşlenmektedir.

Bu çalışma için genelikle tüm iş birimlerinden ilgili yöneticilerle toplantı ve çalıştaylar düzenlenerek kişisel veriler ve süreçler ile ilgili bilgi alınır, kişisel veri toplanır.

Daha kapsamlı, tüm resmi yansıtan ve birebir, net bir veri envanteri çıkarılması amaçlanıyorsa – ki tarafımızdan tavsiye edilmektedir – veri analiz ve sınıflandırma yazılımlarından faydalanılmaktadır. Veri envanteri ve yönetimi konusunda bu tarz çözümleri de sunmaktayız.

  • Veri Yönetimi ve Güvenli Veri Yaşam Döngüsü

Kişisel verilerin etkin ve sistematik yönetimi ancak güvenli bir veri yaşam döngüsü oluşturulduğu takdirde mümkündür.  Kurumların kişisel verilerinden yaşam döngüsü boyunca maksimum verimliliği alması ve bu yaşam döngüsü boyunca kişisel veri koruma kanunu ve kurum içi güvenlik politikalarına uyum sağlaması için ihtiyaç duyulan çözüm ve gereksinimleri belirleyerek bu alanlarda ihtiyaç duyacağınız veri sınıflandırma, etiketleme, depolama, arşivleme, yedekleme, koruma, imha etme, iş sürekliliği, teknik altyapınız için güvenlik yönetimi, uç nokta, e-posta ve mesajlaşma güvenliği çözümleri konularında da da çalışma yapmaktayız.

Yaşam döngüsü çalışması aşağıdaki politikaya göre hazırlanır.

-Verinin oluşturulması

-Verinin Kaydedilmesi

-Verinin Kullanılması

-Verinin Paylaşılması

-Verinin Arşivlenmesi

-Verinin İmha Edilmesi

  1. Veri Güvenliği

Veri güvenliği 3 temel bileşenden oluşmaktadır ki bunlar Gizlilik, Bütünlük ve Erişilebilirlik olarak sınıflandırılmaktadır:

Gizlilik: Verinin Yetkisiz Erişime Karşı korunması anlamına gelir. Bilgiye sadece erişim yetkisi olan kişi ve/veya kurumlar erişebilir.

Bütünlük: Verinin yetkisi olmayan şahıslar tarafından değiştirilmesinin önüne geçilmesi durumudur.

Verilerin bütünlüğünün bozulması, yani değiştirilmesi, önemli bir güvenlik açığı olarak görülmektedir.

Erişilebilirlik: Yetkili kişilerin ihtiyaç duyması halinde veriye kolayca ulaşabilir ve verinin kullanılabilir durumda olmasını ifade eder.

Kişisel veri işleyen gerçek kişi ve kurumların, sahip oldukları verilerin gizliliğini ve bütünlüğünü sağlayarak, erişim haklarını da kontrol altına almaları sağlanır böylece iş süreçlerini sağlıklı yürütebilmesi ve iş sürekliliğini güvenli bir şekilde devam ettirmesi sağlanır. Veri güvenliğini tehdit eden başlıca etkenlerin başında olan dış dünyayla bağlantıların ise (gerek sistem gerekse de kullanıcı düzeyinde olabilir) güvenli bir şekilde sağlanması ve kontrol altında tutulması, veri güvenliği açısından önem taşımaktadır ve buna göre önlem alınması için öneri sunulur.

Danışmanlarımız , gerçekleştirdiği analizler ve birebir incelemeler sonrasında kurumların kişisel verilerinin güvenliğini tehlikeye atabilecek unsurları ve/veya kurumun mevcut yapısındaki zafiyetleri tespit etmektedir. Bu bulgular ışığında kurum iş süreçleri ile paralel olacak şekilde güvenlik politikaları ve prosedürlerini oluşturmaktadır. KVKK Danışmanlığı kapsamında veri güvenliği ile ilgili olarak kurumların ihtiyaçlarına özel, uçtan uca çözümler önererek danışmanlık hizmeti sağlamaktayız. Veri sızıntısı önleme (DLP), şifreleme çözümleri veri güvenliği için kullanılan etkin çözümler arasında sayılmaktadır.

Kişisel verileri Koruma kanunu kapsamında kurulacak olan veri güvenliği altyapısında amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirlik” kriterlerini yerine getirmek olmalıdır. Kanuna uyum süresince veri güvenliğine ilişkin alınacak teknik tedbirler, bu kriterler ışığında uygulanması sağlanır.

Veri Güvenliği Danışmanlığı, aynı zamanda veri sızıntısı veya verinin başkalarınca ele geçirilmesi halinde müdahale planlarının hazırlanması, ilgili kurum ve kişilere yapılacak olan bildirimler ile ilgili süreçlerin oluşturulması ve veri güvenliğine ilişkin politikalarının oluşturulmasını da kapsar.

  1. Organizasyon Uyumu ve Farkındalık Eğitimleri
  • Farkındalık Çalışmaları ve Eğitimler

Danışmanlık Kapsamında Kişisel verilerin korunması ve Kanuna uyuma dair kurum içi farkındalığın oluşturulması ve bu bilincin yönetim ve iş yapış süreçlerine yansıtılabilmesi için gerekli çalışma ve eğitimleri düzenliyor, kurumunuzun ihtiyacı olan danışmanlık hizmetini sunuyoruz.

Farkındalık eğitimi, kişisel verileri koruma danışmanlık hizmetlerinin ana bileşenlerinden olup her çalışma öncesinde ilgili birimlere bu eğitim verilip gerekli bilgilendirme sağlandıktan sonra projeye başlanmaktadır. Ayrıca proje bitiminde, kurum çalışanlarına kişisel verileri koruma Kanununa uyum sürecine ilişkin yeni politika ve isleyişe ilişkin eğitimler de organize edilmektedir.

Ayrıca kurumlara özel olarak, Kişisel Verileri koruma hakkında farkındalık eğitimleri, toplam 3 saat (yarım gün) olmak üzere ilgili tüm kurum çalışanlarının katılacağı şekilde düzenlenebilmektedir. Kurumun ihtiyaçları ve sektörüne göre kuruma özel eğitim programları hazırlanıp farklı modüllerin eğitimlere eklenmesi de mümkündür. Farkındalık eğitimi, konusunda uzman avukatlar ve/veya danışmanlar tarafından verilmektedir.

  • Organizasyon ve Yönetişim Danışmanlığı

Kişisel Verileri Koruma ve Kanuna uyum başta yönetim kurulu olmak üzere tüm yönetimin sorumluluğu ve sahipliği ile mümkündür. Etkin ve sistematik bir yönetim ise kurum içerisindeki ilgili tüm birimlerin bu sürece katılmasını zorunlu kılmaktadır.

Danışmanlarımız, organizasyon yapısını göz önünde bulundurarak uyum için yetkinlikleri değerlendirip gereksinimleri analiz eder.  Kişisel verilerin korunması kapsamında kişisel veri işleme süreçleriyle ilgili yeni oluşabilecek rol ve sorumlulukların belirlenmesi, görev tanımlarının çıkarılması, ilgili sorumluların eğitimi ve kurumsal farkındalığın sağlanması dahil olmak üzere kapsamlı danışmanlık hizmeti sunmaktayız.

Bir Sorum Var!