KİŞİSEL VERİLERİN KORUNMASI
Hazırlayanlar:
Adem TÜRKMENOĞLU
Aydın YILDIRIM
Mustafa ÖZEN
Önder KARADEMİR
Özgür GÜNYEL
Serhat ÖZESER
Serkan DURUKAN
İSTANBUL, 2017
İÇİNDEKİLER
GİRİŞ
BİRİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI KANUNU
1. Çalışmanın Amacı
2. Kanun İle İlgili Resmi Gazete Yayını
3. Sağlık Yönetmeliği
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI KANUNU PROJE YÖNETİMİ
1. Sorumlular
2. Bilgi Envanteri
3. Aydınlatma Metni
4. Yönetim Sunumu
5. Şirket İçi Farkındalık Sunumu
6. Proje Ekibinin Tanımlanması
ÜÇÜNCÜ BÖLÜM
PROJE SÜREÇLERİ
1. Proje Kapsamının Belirlenmesi
1.1. Analiz
1.2. Sorumluların Atanması
2. Kişisel Verilerin Tespit ve Envanterinin Oluşturulması Çalışması
3. Soru Listelerinin Hazırlanması
4. Dökümanların Hazırlanması
DÖRDÜNCÜ BÖLÜM
ŞİRKET İÇİ VERİ ENVANTER ÇALIŞMASI
1. Kişisel Veri Envanteri Şablonu
2. Çalışanlar İçin Veri Metni
3. Web Sayfası Aydınlatma Metni
BEŞİNCİ BÖLÜM
ALINMASI GEREKEN ÖNLEMLER
1. Önlemler ve Yöntemlerin Belirlenmesi
2. Denetim Programı
SONUÇ:
LİNK:
GİRİŞ:
Avrupa Birliği’nin 95/46/EC Direktifi’ne uygun şekilde kişisel verilere ait düzenleme 07 Nisan 2016 yılı itibariyle kanunlaşarak yürürlüğe girdi. Kanunun yürürlüğe girmesinin amacı hem özel sektör hemde kamu sektöründe kişisel verilerin işlenmesi ve korunmasının süreçlerinin belirlenmesi ve çıkarılacak yükümlükler ile düzenlemektir.
Kişisel verilerin korunması (protection of personal data) gerçek kişilerin her türlü özel ve kendi adına özgü bilgilerinin hukuki anlamda devlet tarafından korunduğunu ifade etmektedir.
Kişisel verilerin korunması, teknolojinin ilerlemesi ile birlikte her yerden ve farklı aramalar ile verilerin güvenliğinin gerekliliğini hukuki çerçevede sağlanmanın önemini artırmış ve bunun devlet tarafından güvenli bir hale getirilmesi çalışmasıdır.
Kişisel veri dediğimizde isim, soyisim, doğum tarihi gibi kişilerin tanınmasını sağlayan bilgilerle sınırlı değildir. Beraberinde fiziki, sosyal, ekonomik tüm bilgileri T.C. numarası, vergi numarası, pasaport numarası, ehliyet numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, fotoğrafı, videosu, genetik bilgileri, kan grubu ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişiler verilerin korunması kapsamına girmektedir.
Kişisel veriler alanında bireylerin daha ziyade özel kuruluşlara karşı korunmasının esas alındığını gösteriyor. Kamu kuruluşlarına karşı yaptırımlar ve korunma yöntemleri tam olarak belirtilmemesi ileride çıkacak yönetmelikler ile daha da netleşecek ve korunma yöntemleri tanımlanacaktır.
6698 sayılı Kişisel Verilerin Korunması Kanunu da gücünü Anayasamızın Özel Hayatın Gizliliği ve Korunması başlıklı 20. maddesinden almaktadır.
Anayasa’nın “Özel hayatın gizliliği ve korunması” başlıklı 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (12.9.2010 -5982 sayılı Kanun 2 md.) Kanunla sağlık ya da iletişim verilerimiz üçüncü kişilere uygunsuz olarak verildiğinde sorumluları muhatap alabileceğiz.
Kanun kişisel verilerin işlenmesini sınırlamaya yönelik olmadığını her yerde belirtmektedir. Kişisel verilerin işlenirken kanun, korunmasını ve gizliliğinin sağlanmasını beklemektedir. Ayrıca gerektiğinde silinebilir ve anonim edilmesinin sağlanmasını istemektedir.
Artık bilişim teknolojilerindeki gelişmeler sayesinde küçük bir bilgiden farklı bilgiler brleştirilerek istemiş olduğumuz bilgileri bir araya getirilebilmektedir. Kişisel bilgi de aynı şekilde herhangi bir isim ya da soyisim bilgisin birleştirilmesi ya da farklı alanlardaki bilgilerin bir araya getirilmesi sonucunda kişiye ulaşılabilir olmasını sağlamıştır.
Bilişim teknolojileri ile bilgilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkânların farklı analizlere tabi tutularak, yeni veriler üretmesini sağlayacak yetkinliği artmıştır.
Kişisel verilerin önemi hakkında toplumsal bir çalışma gerekmektedir. Sosyal medya kanalları çok önemli bir yol alacaktır. Bu konuda birçok kurum bilgilendirme anlamında çalışmaların içinde olması gerekmektedir. Kişisel veri bugüne kadar hiçbir bireyin öncelikli konusu olmamaktaydı. Fakat bu kanunla daha da öncelikli bir hal alması sağlanarak kişilerin işlenen verilerinin sorgulanmasının gerekliliği ortaya çıkmıştır. Sosyal medya alanlarından birçok bilginin düzensiz paylaşımı ve bu verilerden anlamlı verilere ulaşımasının önüne geçmek gerekmektedir.
Kişisel verilerin farklı ülkelere aktarımının olması durumu bilhassa önemli bir noktadır. Ülkemizde dünya çapında şirketlerin olması ya da dünya çapında firmaların ortaklıklarının olması kişisel verilerin yurt dışına aktarılması zorunluluğunu meydana getirmektedir. Kişisel verilerin yurtdışına çıkarılmasına yönelik de önemli adımlar sonrasında sınırlamalar getirildiğini görmekteyiz. Kişisel verilen yurtdışına çıkarılması için kişinin açık rızası gerekiyor. Bu açık rızaya ek olarak verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya verinin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekecek. Bununla beraber bulut sistemleri ile yurt dışında verinin barındırılması konusu da bu çerçeve içinde değerlendirilecektir.
Kanuna göre Kişisel Verileri Koruma Kurulu kurulacaktır. Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirecek ve kullanacaktır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, kurula herhangi bir zorlamada bulunamayacağı gibi, tavsiye veya telkinde bulunamayacaktır. Bununla beraber kurul dokuz üyeden oluşacak olan bu Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilecektir.
Kurul 2016 Aralık itibariyle kurulmuş ve atamaları yapılmıştır.
BİRİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI KANUNU
1. Çalışmanın Amacı
Bu raporu hazırlamamızda en önemli konu olarak bilgi sistemleri ve hukuk departmanlarına konunun en ince detaylarını açıklamaktır. Farklı sektörlerden bir araya gelmiş Bilişim ve Teknoloji tecrübelerini paylaşan bir ekip olarak bu yola çıktık. Ayrıca hukuk bölümünden kanunun istekleri konusunda yardım alarak kanun çerçevesinde raporu sonuçlandırmak istedik.
Raporun içeriği olarak eline alan Bilişim departman sorumluları ya da hukuk departman sorumluları KVK gerekliliği olan her alanda nasıl bir çalışma yapması gerektiğini hızlıca tasarlayacaktır.
Adım adım planlanarak doğru bir çalışma süreci ile kanun koyucunun istemiş olduğu gereklilikleri yerine getirecektir.
2. Kanun ile ilgili resmi gazete yayını
Kişisel verilerin korunması kanunu çıkarılması ve resmi gazetede yayınlanması bilgilerini aşağıdaki linkten ulaşılabilir.
3. Sağlık Yönetmeliği
KVK kanununun kabulü sonrasında yönetmeliklerin yayınlanması beklenmekteydı.
İlk yönetmelik sağlık sektörüne yönelik olarak yayınlandı.
Bu konu ile ilgili yönetmelik linkine aşağıdan ulaşabilirsiniz.
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI KANUNU PROJE YÖNETİMİ
1. Sorumlular
Kişisel verilerin korunması kanununun getirdiği en büyük sorumlulukların başında veri sorumlusu ve temsilcisinin belirlenmesidir.
Veri sorumlusu ve Veri temsilcisi konusunda açıkta kalan boşlukları aşağıdaki tanıma uygun şekilde düşünülmesi ve seçilmesi uygun olacaktır.
Kişisel Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişiliktir.
Kişisel Veri Temsilcisi:
29677 sayılı ve 24.03.2016 tarihide kabul edilip 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiş olan 6698 numaralı “Kişisel Verilerin Korunması Kanunu” uyarınca Veri Sorumlusunun İlgili kanun maddeleri kapsamındaki görevlerini yerine getiren atanmış gerçek kişidir.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. (Örnek: Call center, e-ticaret, AVM iletişim formları, fatura kesen kasiyer, otel resepsiyon, otel satış ekipleri, iç piyasa satış ekipleri, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordo ve özlük işleri takip eden personel müdürlüğü, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)
1. Kişisel verilerin elde edilmesi sırasında;
a. Veri sorumlusunun kimliğinin duyurulmasını sağlar. (Madde – 10)
b. Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem müşterilere duyurulmasını sağlar. (Madde-4.2.c)
c. İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklar. (Madde – 10.1.c)
d. Veri toplama yöntemi ve hukuki sebebi açıklar. (Madde – 10.1.ç)
2. Kişisel veri sahibinin başvurması halinde aşağıdaki kişi haklarının yerine getirilmesini en geç 30 takvim günü içinde sağlar: (Madde – 13.2)
a. Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi (Madde – 11.1.a)
b. Kişisel veri ile ilgili bilgi talep etme (Madde – 11.1.b)
c. İşlenme amacını açıklama (Madde – 11.1.c)
d. Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri açıklama (Madde – 11.1.ç ve f)
e. Kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.d)
f. Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.e)
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.g)
h. Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma (Madde – 11.1.ğ, Madde 12.1.a)
3. Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (Madde – 15.3)
4. Şikâyet durumunda veya herhangi bir nedenle Kurulun tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar. (Madde – 15.5)
5. Kişisel verilerin envanterini hazırlar. (Madde – 16.3)
6. Kişisel verilerin envanterini periyodik olarak günceller. (Madde-16.4)
7. Kişisel verilerin envanterinin sicile bildirir ve güncel tutulmasını sağlar. (Madde-16.4)
8. Sicil ile yazışmaları yapar ve yazışmaları saklar. (Madde-16)
9. Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (Madde- 4.2.d)
10. Kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler ve uygulatır, denetler. (Madde- 5.1)
11. Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (Madde- 9.2 ve 9.3)
12. Kişisel veri yurtdışına aktarılacak ise açık rıza da alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (Madde- 9.4)
13. Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Call Center, Hosting hizmeti verenler, mailing hizmeti verenler) (Madde – 8)
14. Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (Madde – 6)
15. Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (Madde – 7)
a. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde
b. Süresi dolması halinde
c. Veri sahibinin talebi halinde
16. Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınacak mı alınmayacak mı belirler. Aşağıda açık rıza alınmayacak durumlar belirlenmiştir. Her durumda aşağıdaki kurumlarla hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır. (Madde- 5.2)
a. Fiili imkânsızlıklar durumunda açık rıza alınamaması
b. Kendisinin veya bir başkasının hayatı veya beden bütünlüğü söz konusu olduğunda
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
d. Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
f. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
g. Kişi, kendi verisini alenileştirmiş olması durumunda
h. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
i. Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi durumunda
j. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda
17. Kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir (Örnek: Call center, e-ticaret, AVM iletişim formları, fatura kesen kasiyer, otel resepsiyon, otel satış ekipleri, iç piyasa satış ekipleri, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordo ve özlük işleri takip eden personel müdürlüğü, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)
18. KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumu hem risklerin görüşülmesini sağlar. Toplantı kararlarını ıslak imza ile alarak dosyalar.
19. KVK ile ilgili birimleri periyodik olarak portaldan / mail / duyuru ile bilgilendirir.
20. KVK kapsamında belirli periyotlar da İç Denetim Müdürlüğünce denetimlerin yapılmasını sağlar.
21. Veriyi paylaşan bu veriyi paylaştığı yer ve amacını yazılı ve onaylı olarak yapılmasını sağlatır. Öneri verinin rızası alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk ve veri sorumlusu onayı ile alındıktan sonra paylaşılmasını sağlatır.
2. Bilgi Envanteri
· Ziyaretçi ve Misafir kayıtları | · Mailing |
· Şirkette çalışan taşeron kayıtları | · Biyometrik ve Parmak İzi Girişleri |
· Şirkete gelen dış temsilci kayıtları | · PDKS Bilgileri |
· Güvenlik kamera kayıtları | · Resepsiyon Müşteri Bilgileri |
· Şirket ses kayıt sistemleri | · Revir Sağlık Kayıtları |
· Müşteri verileri | · Sosyal Medya Abonelik Bilgileri |
· Tüm çalışan kayıtları Kişisel veri ve Nitelikli kişisel veri | · Sözleşme Bilgileri |
· Şirkette bulunan taşeron Kişisel veri ve Nitelikli kişisel veri | · Taşeron Bilgileri |
· İş başvuruları Kişisel veri ve Nitelikli kişisel veri | · Tedarikçi Bilgileri |
· e-Ticaret Bilgileri | · Web sitesinden girilen kişisel veriler |
· Abonelik Kayıt Bilgileri | · Otel Müşterisi Sağlık Bilgisi · Banka Gişe Kayıt |
· Araç Takip | |
· Yapılan sözleşmeler ile birlikte gelen imza ya da farklı sirküler vasıtasıyla gelen kişisel ve nitelikli kişisel veriler | |
· Şirkete yükleme ve boşaltma için gelen kamyon/kamyonet/tır şöför kayıtları | |
· Personellere verilen vekâlet sözleşmeleri ile Kişisel ve Nitelikli kişisel verilerin bulunması | |
· Bazı şirketlerin sahiplerinin yanında çalışan özel hizmetlilerine ait kişisel bilgiler |
3. Aydınlatma Metni
Şirketlerin kişisel verilerini tuttukları ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri sorumlusunun kim olduğunun web sitelerinizde bunu bildirdiğiniz bir metin olarak aşağıda örnek olarak hazırlanmıştır.
4. Yönetim Sunumu
Şirket üst düzey yöneticilerine KVK Projesinin kapsamı, amaçları, gerçekleştirme şekilleri ve dikkat edilmesi gereken hususlara dair bilgilendirme toplantısının yapılması. Bunun sonucunda kısa bir sunum ile detay çalışması başlanması önerilir.
Taslak bir sunum alt tarafta belirtilen linkten ulaşılabilir.
5. Şirket İçi Farkındalık Sunumu
Şirket içindeki çalışanların KVK Projesinin kapsamı, amaçları, gerçekleştirme şekilleri ve dikkat edilmesi gereken hususlara dair bilgilendirme toplantısının yapılması. Bunun sonucunda kısa bir sunum ile tüm personel bilgilendirilir. Özellikle bilgisayarlarında digital olarak yada basılı evrak olarak masaüstlerinde çekmecelerinde bulundurulmaması hakkında ayrıntılı detay verecek bir sunum yapılmalıdır.
Tüm personelin kendi kişisel bilgisini koruması gerekliliği ile birlikte şirket içindeki diğer kişisel bilgilerin bulundurulması ve paylaşımı konusunda gerekli hassasiyetin gösterilmesi ve paylaşımların önüne geçilmesi gerekliliği anlatılmalıdır.
Taslak bir sunum alt tarafta belirtilen linkten ulaşılabilir.
6. Proje Ekibinin Tanımlanması
Proje ekiplerinin tanımlanması ve devamlı çalışması gereken bir grup olarak yaratılması gerekmektedir. Bir erp projesinde olduğu gibi bu grubun dinamikliğini kaybetmemesi gerekmektedir.
Bu ekip tüm bölümler ile iletişimde olacaktır. KVK kapsamında belirlenen verilerin bulunup bulunmadığını ve envanterin çıkarılması ve oluşturulmasını sağlayacak bir ekip olacaktır.
Aynı zamanda envanter çalışmasının sürdürülebilir olmasının gerekliliğini sağlayacaktır.
İlgili departman olarak muhasebe, hukuk, insan kaynakları, müşteri ilişkileri, pazarlama, bilgi sistemleri gibi departmanların sorumlusu birer kişiden ve varsa şirket risk yöneticisi ve iç denetçisinden oluşan Proje Ekiplerinin oluşturulması ve Proje Ekiplerinde yer alan kişilerden birinin Proje Sorumlusu olarak belirlenmesi.
ÜÇÜNCÜ BÖLÜM
PROJE SÜREÇLERİ
1. Proje Kapsamının Belirlenmesi
Proje çalışması, Kişisel Verilerin Korunması Hakkında Kanun (KVK)’un öngördüğü prensip ve yükümlülükler çerçevesinde kişisel verilerin işlenmesine ilişkin tanımlanmış bir süreç oluşturulmasını amaçlamaktadır.
Şirketin, herhangi bir kişisel veri ile temas ettiği noktadan verinin yok edilmesi veya anonimleştirilmesine kadar geçen sürecinin incelenmesi ve bu sürece ilişkin mevcut durumunun tespiti ile akabinde, bu sürecin öngörülen yasallık çerçevesinde belirlenmesini ve tanımlanmasını oluşturmaktadır.
1.1. Analiz
Kişisel Veri şirket içinde hangi bölümlerde bulunduğunun belirlenmesi,
Kişisel Veri bölümler tarafından niçin toplanmaktadır. Toplanma biçimi ve ne kadar bir süre için toplanacağı ve ne kadar süre sonra imha edilmesinin gerekliliğinin öğrenimesidir.
Kişisel Veri kim tarafından kullanılmaktadır. Bu veriye kimler nasıl ulaşacaktır.
Kişisel verilerin tutulduğu yerlerin listesi digital bir veri ise hangi programlarda ya da hangi alanlarda bulunduğu, bu veriler yazılı kagıt ya da evrak şeklinde ise hangi alanlarda bulunmaktadır.
Şirket dışına aktarım söz konusu ise talep edilen koruma yöntemleri,
Mevcut veri güvenlik tedbirlerinin neler olduğunun çıkarılması (şifreleme vs.)
Veri işleme/aktarım potansiyeli olan sözleşmesel ilişkiler
Internet sitesi kullanım koşulları,
Süresi dolan veya amacı ortadan kalkan verilerle ilgili yapılan işlemler,
Verilerin işlenmesini kapsayabilecek iç prosedürlerin ve kişisel verilerin işlenmesi unsurunu içeren sözleşmeler vb. belge ve bilgilerin tespiti ve derlenmesi
1.2. Sorumluların Atanması
Uyum sürecinin yönetimi için şirketin büyüklüğü dikkate alınarak KVK Projesi kapsamındaki şirketlerinden her birinin bünyesinde üst düzey yönetim tarafından belirlenecek muhasebe, hukuk, insan kaynakları, müşteri ilişkileri, pazarlama, bilgi sistemleri gibi departmanların sorumlusu birer kişiden ve varsa şirket risk yöneticisi ve iç denetçisinden oluşan Proje Ekiplerinin oluşturulması ve Proje Ekiplerinde yer alan kişilerden birinin Proje Sorumlusu olarak belirlenmesi.
2. Kişisel verilerin tespit ve Envanterinin oluşturulması çalışması
Bilgi envanterinin oluşması için ek olarak hazırladığımız bir excel dosyası aşağıdaki linkten ulaşabileceksiniz. (Veri Giriş tablosu.xlsx)
Excel dosyasını tüm bölümlerin kullanması ve doldurması sonucunda envanter çıkarılması daha hızlı olacaktır.
3. Soru listelerinin hazırlanması
Aaşağıdaki soru listelerinin bölümlerden cevap alınması ile envanter son şeklini alacaktır.
Taslak:
Kişisel Verilerin Korunması için Departmanlar için hazırlanan Soru Listesi
Departman Adı:
Dolduran Yetkili:
1. Personel kişisel verilerini tarafınızdan işleniyor mu?
2. Personel verilerinin toplanmasına ve işlenmesine hangi bölüm karar veriyor?
3. Departman tarafından hangi kişisel veri toplanıyor?
4. Çalışan Verisi (Evet/Hayır)
5. Müşteri Verisi (Evet/Hayır)
6. Üçünçü Kişilerin Verisi (gerçek kişi temsilcilerinin bilgilerini varmıdır? Tüzel kişiler bu konuda ihtiyaç olmayacaktır.) (Evet/Hayır)
7. Kişisel Veriler nasıl, niçin ve ne şekilde, kimden ve hangi yöntemler ile toplanmaktadır?
8. Standart bir işe alım formu kullanıyor musunuz?
9. Verilerin tutulduğu kullandığınız bir uygulama var mı?
10. Kişisel verileri görüntülemek için ekran ya da uygulama var mı?
11. Özel nitelikli kişisel veriyi nasıl bir ortamda tutuyorsunuz?
12. Sağlık raporları tutuluyor mu?
13. İşyeri zorunlu hekimi, asistanı kişisel sağlık kayıtlarını tutuyor mu?
14. Pdks Geçiş bilgileri/sağlık raporu/başvuru formu bilgilerini muhafaza ediyor musunuz? Kimler nasıl erişiyor?
15. İşyerinde kamera kayıtları tutuluyor mu? Ne kadar süre ile bu kayıtlar muhafaza ediliyor? Şirket dışına veriliyor mu?
16. Kişisel verilere şirket/departman içinden veya dışından kimler erişebiliyor?
17. Türkiye’den diğer ülkelere herhangi bir uluslararası veri aktarımı gerçekleşiyor mu?
18. Bunlar hangi ülkeler? İçlerinde AB üyeliği olmayan ülke var mı?
19. Diğer grup şirketleri, bulut sistemleri, ya da farklı veri merkezleri vb. tarafından herhangi bir ortak veri tabanı veya sistemi mevcut mudur?
20. Kişilerden bilgiler ile ilgili veri sahibine Kvk konularına ilişkin olarak yeterli veri koruması bildirimi yapılıyor mu?
21. Verilerin bilgisayar sistemine girişini yapmadan önce müşteriden açık rıza alınıyor mu?
22. Açık rıza alınmayan veya ulaşılamayan müşteri için nasıl bir işlem yapılıyor?
23. Kişisel ya da Özel Nitelikli Veri girişini ekran üzerinden mi yapıyorsunuz? Ekran üzerinden değilse nasıl?
24. Kişisel veri değiştirme ya da silme işlemi yapıyor musunuz?
25. Kişisel veri ya da Özel nitelikli veri olarak görüntüleme raporları var mı?
26. Telefon yolu dışında müşteri verisi alınıyor mu (email, form, fax vs)?
27. İşlenen verilere şirket/departman içinden veya dışından kimler erişebiliyor?
28. Şirket dışından erişime kim izin veriyor? departmanlar arası veri paylaşımı mevcut mu?
29. Şirketin internet sayfasında çerez ve benzeri uygulamalar kullanılıyor mu?
i. Eğer kullanılıyorsa, bu çerezler ve neden kullanıldıkları hakkında gerekli bilgiler veriliyor mu?
30. Kullanılan sistem, şirketin bu çerezlerin kullanımıyla ilgili, açık veya örtülü izin almasına olanak tanıyor mu?
31. İnternet sitesi kullanım koşulları ve gizlilik politikaları var mı?
32. Sistemler şirket içerisinde mi tutuluyor üçüncü taraflarca mı tutuluyor?
33. Şirket tarafından verilen arşivlenmesi, muhafazası, silinmesi, anonimleştirilmesi, imha edilmesine dair koşulları, işlemleri veya prosedürleri belirtiniz. (Örneğin kişisel veri ne kadar süre ile tutuluyor?)
34. Kişisel veriler hangi durumlarda imha ediliyor? Bu işlemlere kim/kimler izin veriyor?
4. Dokümanların Hazırlanması
4.1. Kişisel Verilerin Korunması ve Yönetimi Prosedürü
Kişisel verilerin nasıl korunduğunu, envanter olarak nelerin kabul gördüğünü, aynı zamanda silinmesi ve anonimlenmesi süreçlerinin tanımlanması uygun olacaktır.
4.2. Veri Sorumlusunun Görevler ve Sorumlulukları Prosedürü
Kanun kapsamına uygun detaylı veri sorumlusu tarifi oluşturuldu. Prosedürü kullanmak isteyen şirketler kuracakları yapıya göre revize edebilirler.
4.3. Veri Toplama, Akış ve İşleme Prosedürü - Veri akış diyagramları
Verilerin hangi kaynaklardan toplandığının, veri envanteri çıkarılması esnasında şirketinize uygun olan bir yapı ile hazırlanması, daha sonraki işleme ve toplama işlemlerinin doğru yapılmasını sağlayacaktır.
4.4. Veri Aktarımı ve Paylaşımı Prosedürü
Şirketinizdeki verilerin hangi sebeblere ve izinlere bağlı olarak aktarılacağı ve bu aktarma esnasındaki kimlerin yetkili olacağının tanımlanması uygun olacaktır.
Paylaşım yapılması gerekirse buna bağlı onay ve izinlerin belirtilmesi gerekecektir.
4.5. Veri Saklama ve İmha Prosedürü
Verilerin hangi uygulamlarda hangi tip database yada bulungudu klasör alt yapılarının olduğu belirtilmelidir. Gerektiğinde silinmesi gereken verinin hangi şartlarda ve hangi izinlere bağlı olduğunun tanımlanması uygun olacaktır.
4.6. Erişim Yönetimi Prosedürü
Şirket içindeki kişisel verinin digital bulunması halinde hangi alanların kimler tarafından izinlerinin belirleneceği ve kimlerin bu alanlara yetki tanımlayacak olmasının sağlanması gerekmektedir.
Bu alandaki verilerin erişim kayıtlarının tutulması ayrıca gerekebilmektedir.
Basılı evrak şeklinde olan verilerin olduğu dolap ,çekmece ve/veya oda anahtarlarının kimlerde olduğu erişimin kimlerin yönetiminde olması gerektiği belirtilmelidir.
4.7. Kişisel verilere erişimi olan kullanıcı hesaplarının periyodik olarak gözden geçirilmesi
Kişisel verilere erişim hakkına sahip kullanıcıların (fazla ya da eksik tanımlanma, görev değişikliği, işten çıkarma vb.. ) yetkilerinin düzenli olarak kontrol edilmesi ve bunun kontrol çizelgesinin hazırlanması gerekmektedir.
4.8. Ayrıcalıklı yetkilere sahip olan kullanıcı hesaplarının periyodik olarak gözden geçirilmesi
Kişisel verilere ayrıcalıklı erişim hakkına sahip kullanıcıların (fazla ya da eksik tanımlanma, görev değişikliği, işten çıkarma vb.. ) yetkilerinin düzenli olarak kontrol edilmesi ve bunun kontrol çizelgesinin hazırlanması gerekmektedir.
4.9. Kişisel verilerin bulunduğu sistemler ve altyapılar için, gerekli şifreleme ve veri kaybını önleyici uygulamalar kullanılmalıdır. (Örn: USB'lerin kapanması vb.)
Dlp ve/veya uygun yazılımların şirket içinde kullanılma zorunluğu daha fazla gerekmektedir.
Bu nedenle verinin kontrolunun kaybedilmemesi için gerekli alt yapı çalışmalarının yapılması ve bunların yazılı hale getirilmesi veri güvenliği için önemlidir.
4.10. KVK Kurul ilişkileri Yönetim prosedürü
KVK kapsamında, kanun koyucu ile ilgili yazışmalar ve işlemlerin hangi şartlarda sağlanması gerektiğinin aynı zamanda veri sorumlusu değişimlerinin nasıl yapılması gerektiğinin yazılı olması gerekmektedir.
4.11. Veri Sahibinin Bilgi Talebinde yapılması gerekenler talimatı
KVK kapsamında kişisel verisi bulunan kişi/kişilerin verileri hakkında bilgi istemesi halinde, hangi evraklar ve yöntemler ile bunu istemesi gerektiğinin ne kadar süre içinde geri dönüleceğinin bilgisinin belirlenmiş olması uygun olacaktır.
DÖRDÜNCÜ BÖLÜM
ŞİRKET İÇİ VERİ ENVANTER ÇALIŞMASI
1. Kişisel Veri Envanteri şablonu
Bu envanter şablonuna alt tarafta belirtilen linkten ulaşabilirsiniz.
Excel dokümanı olarak hazırlanan bu şablon ile tüm departmanlar gerekli alanları doldurarak kendi işletmenizin veri envanterini oluşturabilirsiniz.
2. Çalışanlar İçin Veri Metni
Taslak çalışmasında ortaya çıkan kullanıcı veri envanterlerine ait bilginin çalışanlarla bilinirliğinin ve korunması gerektiğinin anlaşılmasını sağlayacak bir taslak çalışmasıdır.
Taslak:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun Çerçevesinde
XXXX XXXX Sanayi ve Ticaret Anonim Şirketi
Personel Kişisel Verilerinin İşlenmesine İlişkin
Personel Onayı
Soyadı: Personel no.:
Adı: Bölümü :
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u (“Kanun”) okudum ve anladım. İşbu Personel Onayı belgesini imzalayarak, aşağıda belirtilen kategorilere ilişkin kişisel verilerimin* işverenim XXXX XXXX Sanayi ve Ticaret Anonim Şirketi (“XXXX XXXX”) tarafından veya XXXX XXXX’nin yetkilendirdiği üçüncü şahıslar tarafından gizlilik politikalarına uygun olarak burada belirtilen amaçlarla işlenmesi ve işlenmek üzere yurt içine veya yurt dışına aktarılması hususunda açık ve kesin olarak onay veriyorum.
XXXX XXXX, işbu Personel Onayı belgesi kapsamında kişisel verilerimi, XXXX XXXX ile aramdaki istihdam ilişkisi, ilgili mevzuat veya iş sözleşmem uyarınca gerektiği şekilde; çalışanlara XXXX XXXX ürünleri ve hizmetleri ile ilgili bilgiler verilmesi amacıyla ve iş ve işin yürütülmesi ile ilgili diğer amaçlara yönelik olarak işleyebilir veya işlenmek üzere yurt içine veya yurt dışına üçüncü kişilere (sigorta şirketleri ve iş sağlığı ve güvenliği hizmetleri veren şirketler de dâhil ancak bunlarla sınırlı olmaksızın) aktarabilir. İşbu Personel Onayı, çalıştığım süre boyunca ve işten ayrıldıktan sonra da kişisel verilerimin işverenim XXXX XXXX tarafından yukarıda belirtilen amaçlar doğrultusunda işlenmesini, grup şirketleri ile veya XXXX içinde ve dışındaki servis sağlayıcılarına aktarılmasını da içermektedir.
Yukarıdaki hususlara ek olarak, Kanun kapsamında şahsımla ilgili olarak aşağıda sayılı haklarımın bulunduğunu bildiğimi beyan ederim:
Kişisel verilerimin işlenip işlenmediğini öğrenme,
Kişisel verilerim işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerimin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerimin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerimin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kanun’da öngörülen şartlar çerçevesinde kişisel verilerimin silinmesini veya yok edilmesini isteme,
(e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerimin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerimin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhime bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerimin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramam hâlinde zararımın giderilmesini talep etme.
Bu haklardan birini kullanmak istediğimde veya Kanun hakkında ya da kişisel verilerimin işlenmesi hususunda herhangi bir sorum olduğu takdirde İnsan Kaynakları Bölümü ile irtibata geçebilirim.
İşbu Personel Onayı kapsamında “kişisel veri” kavramı aşağıdaki bilgileri kapsamaktadır:
· Kişisel bilgi (isim, doğum yeri ve doğum tarihi, v.s.)
· Çalışma/kariyer (pozisyon ünvanları, terfi tarihi, v.s.)
· Daha önceki çalışma bilgileri ve nitelikler
· Performans ve çalışma potansiyeli (performans sonuçları, yetenekler, v.s.)
· Personel ile ilgili geribildirim (eğitim geribildirimleri)
· Disiplin ve sorumluluk ile ilgili bilgiler
· Maaş ve bordro bilgileri (devamlılık, maaş değişikliği, başlangıç maaşı, yan gelirler v.s.)
· İşle ilgili eğitim bilgileri ve gelişme planları (tamamlanan eğitimler, v.s.)
· Yaratıcılık bilgileri
· Dijital fotoğraf
3. Web Sayfası Aydınlatma Metni
Bu metni kendi şirketinize uygun bir şekilde doldurarak kullanabilirsiniz.
Hukuki anlamda kendi avukatlarınıza danışmanız uygun olacaktır.
Benzer taslakları ayrıca daha önceden bu yayınlamaları yapmış örneklerle destekleyebilirsiniz.
Taslak:
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE BİLGİLENDİRME
a. Veri sorumlusunun ve varsa temsilcisinin kimliği;
Bu bilgilendirme, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu sıfatıyla, “ŞİRKET A.Ş.” (Mersis No: 9999999999999) ve temsilcisi sıfatıyla “KİŞİ”’nin, iş ortaklarına, hissedarlarına, müşterilerine, iletişimde bulunduğu gerçek ya da tüzel kişilere aydınlatma yükümlülüğünü yerine getirmek üzere yapılmaktadır.
b. Kişisel verilerin hangi amaçla işleneceği;
Kişisel verileriniz aşağıdaki durum ve koşullarda veri sorumlusu ya da atayacağı tüzel/gerçek kişiler tarafından işlenebilmektedir;
§ Ürün ve hizmetlerimizi iyileştirmek, geliştirmek, çeşitlendirmek ve ticari ilişki içerisinde olduğu tüzel/gerçek kişilere alternatifler sunabilmek amacıyla,
§ Ürün ve hizmet geliştirmek, yeni teknoloji ve uygulamaların değerlendirmeleri ile Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacıyla,
§ Çalışanlarımızın verileri, performans düzeyini ve çalışan memnuniyetini arttırmak, eğitim ve kariyer planlarının belirlenmesi veya iş güvenliğinin sağlanması amacıyla,
§ Bunlarla birlikte gerekli kalite ve standart denetimlerimizi yapabilmek ya da kanun ve yönetmelikler ile belirlenmiş raporlama ve sair yükümlülüklerimizin yerine getirilmesi gibi amaçlar için,
§ Ayrıca, düzenleyici ve denetleyici kurumlarla, yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, KVKK’nda belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş gereklilik ve zorunluluklar kapsamında.
c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
İşlenen kişisel verileriniz yukarıdaki amaçlar ve KVKK’nun belirlediği koşullar içerisinde;
§ Ticari faaliyetlerin yerine getirilebilmesi ve sürekliliğinin sağlanabilmesi amacıyla, şirketimiz iş ortaklıklarına, bayilerine ya da iştiraklerimize,
§ Dış kaynaklı ürün ve hizmetlerin sağlanabilmesi amacıyla sınırlı olarak tedarikçilerimize,
§ İlgili mevzuat hükümlerine göre ticari faaliyetlerimizin denetimi amacıyla ilgili sözleşmeler kapsamında denetim firmalarına,
§ Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması amacıyla sınırlı olarak hissedarlarımıza,
§ İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde taleplari kapsamında sınırlı olarak hukuken yetkili kamu kurum ve kuruluşlarına,
§ KVKK’nda belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş kurum ve kuruluşlarına,
Açık rızanız ya da kanun ile belirlenmiş koşullar çerçevesinde aktarılabilecektir.
ç. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kişisel verileriniz, şirketimiz veya şirketimiz adına veri işleyen gerçek ya da tüzel kişiler tarafından; internet sitesi, muhtelif sözleşmeler, her türlü ilgi bilgi formları, anketler, iş başvuru formları, iş sözleşmeleri, sosyal medya uygulamaları, çağrı merkezleri ve burada sayılanlarla sınırlı olmamak üzere sözlü, yazılı veya elektronik kanallar aracılığı ile açık rızanız ile toplanmaktadır.
Bu bilgiler, ticari ve idari faaliyetlerimizin, iş ve sosyal hayatı düzenleyen yasalar çerçevesinde sunulabilmesi ve bu kapsamda şirketimizin ticari hayatını sürdürebilmesi ve yasalardan doğan mesuliyetlerini eksiksiz ve doğru bir şekilde yerine getirebilmesi gayesi ile edinilir.
d. Veri Sahibinin Hakları,
KVKK kapsamında, kişisel verilerinize ilişkin olarak aşağıdaki haklara sahipsiniz:
§ Kişisel veri işlenip işlenmediğini öğrenme,
§ Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
§ Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
§ Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
§ Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
§ Kişisel verinizin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, verilerin silinmesini veya yok edilmesini isteme,
§ Talebinizce düzeltilen ya da silinen bilgilerinizin, eğer aktarılmış ise kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
§ İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
§ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ve kullanmak istediğiniz hakkınıza yönelik açıklamalarınızla birlikte yazılı talebinizi “ADRES” adresine ıslak imzalı olarak veya kep@hs00.kep.tr kayıtlı elektronik posta adresimize güvenli elektronik imza ile imzalanmış olarak gönderebilirsiniz.
Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.
Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular şuan için ücretsizdir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulca belirlenen tarifedeki ücret alınabilir.
BEŞİNCİ BÖLÜM
ALINMASI GEREKEN ÖNLEMLER
1. Önlemler ve Yöntemlerin Belirlenmesi
Şirketlerimizde kullanılan digital verinin bulunduğu ortamların belli olması ayrıca veri envanterinin çıkarılmış olması bizim yol haritamızı belirleyecektir.
Digital verinin kullanımının yetkilendirilmesi gerekmektedir. Yetki ile birlikte bu yetkinin kontrolü de sağlanmalıdır.
Dlp uygulamaları ile verinin hareketinin neler olduğu ve gereksiz ve/veya izinsiz veri aktarımının önüne geçilmesinin sağlanması uygun olacaktır.
Loglama yazılımları ile klasör ve database yapılarının erişim yetkisi olsa dahi kimlerin eriştiği uygun ya da uygun olmayan yöntemler ile erişildiği kayıt altına alınacaktır.
Boldon James yada Tıtus gibi data sınıflandırma konusunda uzman yazılımlar ile birlikte nasıl bir veri olacağının ve hangi sınıfta olması gerekliliği tanımlanmaktadır. Bu sayede veri sınıflandırmasının düzenli olarak kontrol altında tutulması sağlanabilir.
Microsoft Rms uygulaması kullanımı özellkle Microsoft dokümanlarının paylaşımlarında dikkat çekecek bir gizlilik yöntemidir.
Ayrıca Cyberark veya Kron gibi yazılımlar veri erişim kontrolleri konusunda ciddi referansları olan firmalardır.
Digital olmayan verilerin erişimi ise kesinlikle kilitli ve kontrollü girişe sahip alanlarda olmalıdır.
2. Denetim Programı
Düzenli olarak verilerimiz hakkında güncelleme yapılması uygun olacaktır. Veri sorumlusu ve temsilcisine her zaman farklı bir yöntem ile elde edilen veriler hakkında bilgi verilmesi gerekliliği şirket bünyesinde alınmalıdır.
Kullanıcı farkındalığı programları uygulanarak kullanıcı denetimi sağlanmalıdır.
Yasanın gerekliliği şirket için ve kişiler için önemi hakkında tüm çalışanların sorumlu olduğunu denetim sıklıklarıyla tanımlamak uygun olacaktır.
CIO Kvk grup üyeleri olarak yaptığımız toplantı sonrasında kişisel verilerin korunması kanunu ile ilgili olarak büyük çoğunluğu Bilgi sistemleri bölümünün üzerinde kalacak olan bu kanun ile ilgili bir yol haritası çıkardık.
Bu raporu okuyan her bilgi sistemleri yöneticisi kişisel veri koruma kanunu hakkında yapması gerekenleri adım adım bulacaktır.
Rapor sadece Bilgi sistemleri personeline yol göstermekle kalmayıp hukuk bölümleri içinde bir kaynak oluşturacaktır.
Bizim tahminimiz ISG çevre denetim ekiplerinin şirketlerde yer bulması gibi Kvk kapsamında personeller bulunacak ve bunlar şirketlerdeki Veri güvenliğinden sorumlu olacaktır. Şirketler bu personelleri Veri temsilcisi olarak atayacak ve konuyla ilgili tam denetimi sağlayacaklardır.
Yeni bir sektörün oluşması ile birlikte iş gücü kaynağı eksikliğini kapatmak için bilgi sistemleri sektörü için yeni bir kaynak oluşacağını öngörmekteyiz.
6698 kanun numarası olarak hayatımıza giren Kişisel verilerin korunması tüm Türkiye Cumhuriyet’i vatandaşını ilgilendirmektedir. Kanun koyucu bu konunla beraber vatandaşlarının bilgilerinin korunması gerekliliğini yazılı olarak bildirmektedir.
Kvk kapsam olarak, doğru ve güncel bilginin, hukuka uygun bir şekilde, belirli süreler içinde saklanmasını ve bu değerlerin düzenli olarak tatbiki ile ilkelendirilmiştir.
Kvk ile bilgiyi hangi amaçla, nereden temin edildiği, Aydınlatma yükümlülüklerinin yerine getirilmesi ile beraber anonim edilmesi ya da imha yöntemleri konusunda bir plan ve program yapısının kurulmasını istemektedir.
Şirketlerimizde çıkan her kanun öncelikle Hukuk bölümlerinin ya da Hukuki destek alınan Avukat/Avukatlık bürolarını ilgilendirdiği benimsenmektedir.
Bu süreç ile ilgili yasanın maddeleri ve istediklerini en kısa şekilde açıklanması şirket yönetimlerininde konunun ne kadar ciddi ve kapsamlı yapılması gerektiğini anlaması gerekecektir.
Yönetmeliklerin çıkmamış olması ilerde bu rapordaki bazı çalışmaların ve detayların farklılık gösterebileceğini öngörmekteyiz. Yönetmeliklerin çıkması ve koruma kurulunun tam olarak göreve başlaması ile birlikte yenilenme çalışması yapılarak günün şartlarına uygun bir hale getirilebilir.
Link:
Tüm çalışmaya ait olan dokümanlara bu link ile ulaşabilirsiniz.
إرسال تعليق