Kişisel Verilerin Korunması Kanunu (KVKK) Danışmanlığı
Genel

KVKK Uyum Sürecinde Ne Aşamadasınız?

KVKK Uyum sürecinde ne aşamadasınız

Veri sorumluları, Kişisel Verilerin Korunması Kanunu uyarınca, bir uyum planı hazırlamalı ve bu planı takip ederek kişisel verilerin korunması ile ilgili yükümlülüklerini yerine getirmelidir. Bu yazımızda, maddeler hâlinde bir uyum planı hazırlayacak ve veri sorumlularının uyum sürecinde hangi aşamada olduklarını tespit etmelerine yardımcı olmaya çalışacağız.

1. Mevcut Durumun Tespiti

  • Hâlihazırda toplanan ve işlenmekte olan kişisel verilerin tespiti
  • Toplanan ve işlenmekte olan kişisel verilerin toplanma ve işlenme amaçlarının, bu verilere hâlâ ihtiyaç duyulup duyulmadığının ve bu verilerin ne kadar süre saklanması gerektiğinin tespiti
  • Üçüncü kişilere aktarılan kişisel verilerin ve bunların aktarım amaçlarının tespiti
  • Kişisel verileri toplanan ve işlenen kişilere ilişkin aydınlatma yükümlülüğünün yerine getirilip getirilmediği ve bu kişilerden açık rıza alınıp alınmadığının tespiti
  • Kişisel verilerin korunması ile ilgili mevcut idari ve teknik tedbirlerin belirlenmesi

2. Teknik Tedbirlerin Belirlenmesi ve Uygulanması

  • Uyum sürecini yönetecek kişilerin yetkilerinin belirlenmesi
  • Çalışanların kullanıcı hesap yönetim sistemi kurulması ve kişisel verilere erişim ile kişisel verilerin işlenmesiyle ilgili yetkilerinin belirlenmesi
  • Kişisel verilerin muhafaza edildiği ve işlendiği bilişim sistemlerinin ağ, sistem ve uygulama güvenliğinin sağlanması
  • Kişisel verilerin korunması ile ilgili risk analizlerinin, güvenlik testlerinin ve diğer denetimlerin yapılması
  • Kullanıcılar tarafından güvenli şifrelerin kullanılmasının sağlanması, şifre güvenliği için ek tedbirlerin alınması ve anahtar yönetiminin sağlanması
  • Kişisel verilerin sınıflandırılması ve maskelenmesi
  • Kişisel verilerin kaybolmasını ya da tahrip olmasını önlemek amacı ile gerekli tedbirlerin alınması
  • Muhafaza edilmesine gerek kalmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

3. Mevzuata Uygunluk Denetiminin Yapılması

  • Kişisel verilerin işlenmesi ve muhafazası ile ilgili yükümlülüklere uygunluğun denetimi
  • Kişisel verilerin yurt içinde aktarımı ile ilgili yükümlülüklere uygunluğun denetlenmesi
  • Kişisel verilerin yurt dışına aktarımı ile ilgili yükümlülüklere uygunluğun denetlenmesi
  • Pazarlama ve reklam faaliyetlerinin kişisel verilerin korunması ile ilgili mevzuata uygunluğunun denetimi
  • Özel nitelikli kişisel verilerin işlenip işlenmediğinin tespiti ve özel nitelikli kişisel verilerin mevzuata uygun işlenip işlenmediğinin tespiti

4. Kişisel Veri Envanteri ve Kurumsal Dokümanların Hazırlanması

  • Kişisel Veri Envanterinin hazırlanması
  • Erişim, bilgi güvenliği, çerez, saklama ve imha politikaları ile veri sorumlusunun faaliyetlerine ilişkin gerekli diğer politikaların hazırlanması
  • Kişisel veri ihlal prosedürü, açık rıza prosedürü, yurt dışına aktarım prosedürü ve veri sorumlusunun faaliyetlerine ilişkin gerekli diğer prosedürlerin hazırlanması
  • Üçüncü kişilerle ve çalışanlarla yapılan sözleşmelere kişisel verilerin korunmasına dair hükümler eklenmesi, üçüncü kişilerle gizlilik sözleşmelerinin imzalanması ve kurum içi disiplin yönetmeliklerinin kişisel verilerin korunması ile ilgili yükümlülükler eklenerek güncellenmesi

5. Aydınlatma Metinleri ve Açık Rıza Beyanlarının Hazırlanması

  • Kişisel Verilerin Korunması Kanunu kapsamındaki aydınlatma yükümlülüğünün yerine getirilmesi için, kişisel verilerin işlenme amacı, kişisel verilerin aktarılacağı kişiler ve aktarım amaçları, kişisel verilerin toplanma yöntemi ve hukuki dayanağı ile ilgili kişinin haklarını belirten aydınlatma metinlerinin hazırlanması
  • Kişisel verilerin işlenmesi ve aktarılmasına ilişkin ilgili kişiden alınacak açık rıza beyanlarının hazırlanması

6. Veri Sorumlusuna Başvuru Yönteminin Belirlenmesi ve Başvuru Sisteminin Kurulması

  • İlgili kişi tarafından Kişisel Verilerin Korunması Kanunu kapsamındaki talepleriyle ilgili olarak, veri sorumlusuna yapılan başvuru usulünün (örneğin, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla) belirlenmesi ve başvuru sisteminin buna uygun olarak kurulması

Çalışanların Eğitimi

  • Kişisel verilerin korunması ile ilgili çalışanlara periyodik olarak eğitimler verilmesi ve farkındalık çalışmalarının yapılması
  • Kişisel verilerin korunması hakkında yeni işe girişlerde işbaşı eğitimlerinin verilmesi

8. VERBİS Kaydının Yapılması

  • Veri sorumlusu ve veri sorumlusu temsilcisine ait kimlik ve adres bilgilerine ilişkin bilgi formunun doldurularak VERBİS kaydının yapılması
  • Veri sorumlusu tarafından VERBİS aracılığı ile irtibat kişisinin atanması
  • Veri kategorileri, kişisel veri işleme amaçları, veri aktarım alıcı grupları, veri konusu kişi grupları ve veri güvenlik tedbirlerine dair bildirimin VERBİS aracılığı ile yapılması

Benzer yazılar

Genel

Veri Koruma Yönetim Modellerinde Sürdürülebilirlik

Genel

"Sakla Lazım Olur" Devri Bitiyor

Genel

Meşru Menfaat Nedir?

Genel

KVKK’nın Türkiye’deki Kısa Tarihi