KVKK UYUM SÜRECİ

6698 Sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) uyum süreci  kapsamında izlenmesi gereken yöntemler, alınması gereken önlemler ve aksiyon planlaması yapılarak Kişisel Verilerin Güvenliği noktasında etkin ve etkili bir kurum kültürü yaratılması amaçlanmaktadır.

  • Kurumsal Uyumluluk Değerlendirmesi
  • Veri Analiz Değerlendirme
  • Mevcut Güvenlik Kontrollerinin Analizi
  • Kişisel Veri Yönetimi
  • Güvenlik İyileştirmeleri

KVKK Uyum Süreci

KVKK Proje Danışmanlık Yaklaşımı

Faz 1

Kişisel Verilerin Korunması Kanunu’na Uyum Temel Altyapı Oluşturma Süreçleri  (8 Ay)

Faz 2

KVKK Uyum Süreci Kapsamında işveren tarafından karşılanabilecek önemli durumlara karşı rehberlik ve yol gösterme hizmeti   (12 Ay)

 

Mevcut Durum Analizi

Danışmanlığımız, öncelikle mevcut durum değerlendirilmesi ile başlayacaktır. Mevcut Durum analizi safhasında, sizleri daha yakından tanıma amacıyla;

  • Birim yöneticileri ve fonksiyon liderleri ile görüşmelerin yapılması;
  • Şirket yerleşimlerinin ziyaret edilmesi: Genel merkez, üretim tesisi, depo(lar) vb.
  • Analizler için veri gereksinimlerinin belirlenmesi hedeflenmektedir.
Temel Kişisel Verilerin Korunması Mevcut Durum Analiz Alanı:
  • Farkındalığı şirket içinde yaygınlaştırma
  • Veri envanter değerlendirmesi
  • Birimler bazında veri kullanım alanı
  • Veri toplama usulleri
 Kişisel Verilerin Korunması Analiz Alanları :
  • Veri sorumlusu atanması
  • Kişisel veri envanteri
  • Farkındalık eğitimi
  • Aydınlatma metni ve politikaların hazırlanması
  • Veri sorumluları siciline kayıtların yapılması
  • Kişisel verilerin açık rıza ile toplanmasının sağlanması için gerekli dokümantasyonun hazırlanması
  • Verilerin düzenlenmesi (mevzuata uygun)
  • Sistem ve fiziksel güvenlik önlemlerinin firma tarafından oluşturulması (genel bilgilendirme)
Aktiviteler
  • Proje detay planının hazırlanması
  • Proje ekiplerinin belirlenmesi ve oluşturulması
  • Veri taleplerinde bulunulması ve gerekli veri analizlerinin gerçekleştirilmesi
  • Mevcut veri, doküman ve işleyiş analizlerinin yapılması
  • Veri sorumlusunun belirlenmesi
  • Verbise kaydın yapılması (firma-veri sorumlusunca)
  • Bölüm bazlı analiz toplantılarının gerçekleştirilmesi (ihtiyaca göre)
  • Birebir / toplu görüşmeler ile gerçekleştirilen aktivitelere ilişkin bilgi temin edilmesi
  • Gerekli noktalarda yerinde gözlemler uygulanması
  • Bilgilendirmelerin yapılması ve gerekli imzaların alınması
  • Çalışanlara bilgilendirmelerin yapılması ve rızalarının alınması
  • Web sitesinde gerekli düzenleme ve eklemelerin yapılması
Çıktılar
  • Politika
  • Aydınlatma Metni
  • Diğer dokümantasyonlar
  • Eğitimler ile farkındalık yaratılması
Araçlar
  • Albert Solino Analiz Metodolojisi
  • Örnekler Veritabanı

 

KVKK Uyum Hiyerarşisi

  • Hukuk
  • Mevzuat
  • Sözleşmeler
  • Politikalar
  • Süreç
  • İş Süreçleri
  • Prosedürler
  • Veri tabanı
  • Kayıtlar(log)
  • Yazılımlar
Kişisel Veri Envanteri
  • Yapısal
  • Veri Tabanları/Tablolar vb.
  • Özel Uygulamalar
  • Seçimli Alanlar : İnsan Kaynakları yazılı, doğum günü alanı vb.
  • Yapısal Olmayan
  • Ofis dosyaları (Word, excel, PDF vb.)
  • E-postalar
  • Mesajlaşma uygulamaları (Whatsapp vb.)
  • Taranmış dokümanlar
  • Multimedya dosyaları (Fotoğraf, video vb.)
  • Ses Kayıtları (Çağrı merkezi vb.)
  • Yapısal uygulamalardaki serbest alanlar (Açıklama vb.)
  • Veri Sınıflandırma
  • Halka açık
  • Şirket içi
  • Gizli/ Çok Gizli
  • Kişisel Olmayan/ Kişisel
  • Özel Nitelikli

Süreç ve BT Uyumu

Hukuk ve Süreç Kararı
  • Beyan Yükümlülüğü
  • Açık Rıza alınması
  • Kişisel verileri toplamama, işlememe
  • Eskiyen Veri
  • Veri paylaşımı (3. Kişilere Aktarma)
  • Verinin, işleyenlere aktarılma kuralları
  • Veri güvenliği, koruma
  • Kişisel veri sorgulama
BT Uygulama Yaklaşımı
  • Beyan verisinin toplanması, kayıtlarının saklanması (Örn: Web sitesi, giriş uyarı sayfası, çerez kullanımı vb.)
  • Açık rızaların toplanıp, saklanması (Örn: Kullanım sözleşmesi, gizlilik sözleşmesi vb.)
  • İlgili alanların kaldırılması, kullanıcı uyarıları
  • Veri yaratma, güncelleme tarihleri
  • Güvenli aktarım (kripto), erişim kontrol listeleri vb. ile politikaların uygulanması
  • Güvenlik, kriptolama, bulut hizmet sağlayıcı ilişkileri
  • Teknik güvenlik yaklaşımları, erişim kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma
  • Kayıtlar (log)

Yönetim Sistem Normlarının Oluşturulması

Analiz
  • Kişisel veri envanterinin incelenmesi
  • Kişisel veri ile ilgili süreçlerin incelenmesi
  • Organizasyon yapısının incelenmesi
  • Sözleşme envanterinin incelenmesi
Süreçlerin Uygun Hale Getirilmesi
  • Kişisel verilerin sınıflandırılması
  • Veri İmha Süreçlerinin Uyumlandırılması
  • Veri işleme süreçlerinin uyumlandırılması
  • Sözleşmelerin güncellenmesi
Organizasyonun Uyumu
  • Veri sorumlusunun ve temsilcisinin seçilmesi
  • Veri sorumluları siciline kayıt işlemleri
  • Veri sorumluluğu görev tanımlarının oluşturulması
  • Veri Sorumlusu Eğitimi
  • Açık Rıza – Rıza Alırken Dikkat Edilecek Hususlar
  • VERBİS (Veri Sorumluları Sicili) Kayıt Süreci
Çıktılar
  • Kişisel Veriler Politikası
  • Genel Aydınlatma Metni
  • Çalışanlara İlişkin Genel Aydınlatma Metni
  • Veri Saklama ve imha politikası
  • Sorumluluklara ilişkin sözleşmeler
  • Veri Envanteri

 

KVKK Uyum Süreci Kapsamında İşveren Tarafından Karşılaşılabilecek Önemli Durumlara Karşı Rehberlik ve Yol Gösterme Hizmeti

Aktiviteler
  • İşverenden gelebilecek makul sayıdaki telefonla soru sorma durumlarında soruları cevaplandırma
  • Değişen yönetmelikler hakkında bilgilendirme
  • Kurul Kararları ve bu kararların İşveren özelinde yaratabileceği etkilere dair bilgilendirme
  • Geçen zaman içinde karşılaşılan güncel olaylara karşı görüş oluşturma /strateji geliştirme
  • Kişisel Veri konusunda yaşanılan iyi uygulama örneklerini İşverene aktarma
  • Bölüm bazlı analiz toplantılarının gerçekleştirilmesi (ihtiyaca göre)
  • Değişen mevzuatlara göre ek uyum politikalarının belirlenmesi
  • Kişisel Veriye dair açık olabilecek noktalarda gerekli yerinde gözlemlerin yapılması ve çözüm önerileri sunulması
  • Yeni eklenen çalışanlara bilgilendirmelerin yapılması
  • Web sitesinde ve dijital ortamda yeni eklenen alanlara ilişkin KVKK Uyum Metinlerinin güncellenmesi
Çıktılar
  • Rehberlik Mailleri
  • Aylık toplantı tutanakları
  • Görüş ve Çözüm Önerileri Mailleri
  • Eğitimler ile farkındalık yaratılması
Araçlar
  • Albert Solino Mevzuata Uyum Metodolojisi
  • Örnekler Veritabanı
  • KVKK Rehberi
  • KVKK Kurul Kararları
  • KVKK Sicil Kayıtları
  • Ayda 1 Düzenli Toplantı