KVKK UYUM DANIŞMANLIĞI HİZMETİ VE KİŞİSEL VERİ GÜVENLİĞİ YÖNETİM SİSTEMİ
6698 sayılı Kişisel Verilerin Korunması Kanunu iş hayatımızda çok şeyi değiştirdi. KVKK uyumu sürecinde şirketimiz önemli saha tecrübelerine sahip oldu. İlk eğitimiz 2014 yılında bir kamu kurumuna verdik, kanun henüz yayımlanmamıştı. Bildiğiniz üzere Kişisel Verilerin Korunması Kanunu 2016 yılında Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bilgi güvenliği, kişisel veri güvenliği öncü olduğumuz alanlardan biridir.
Kişisel Verilerin Korunması Kanunu, KVKK uyum danışmanlığımız sırasında yaptığımız tüm çalışmalar birlikte çalıştığımız hukukçulara tarafından analiz edilerek sisteme alınmaktadır. KVKK iş süreçleri sadece kanun okunarak anlaşılabilecek bir yapıda değildir. Kılavuzlar, rehber dokümanları Kişisel Verileri Koruma Kurumu kararları, hukuki içtihatlar ortak olarak değerlendirilmelidir. KVKK uyumu ile ilgili bir yönetim sistemi kurarken hem ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, COBIT frameworkü, ITIL, PCI-DSS gibi standartlar ile Bilişim Yönetim Sistemleri konusunda göz önünde bulundurulmaktadır.
Kurumunuzda çalışmaya başladığımızda kurum içinde kurduğumuz bir ekiple bu süreci yönetiyoruz. Burada amacımız işi bilen, konuya hâkim ve sistemi yürütecek ekibin yetiştirilmesidir. Amacımız dışa bağımlılığı olabildiğince engellemektir. O nedenle dürüstçe ekibinizin yetişmesi için büyük çaba sarf ederiz varsa kurum avukatınızı bu süreçlere dahil eder Bilişim Hukuku ve Kişisel Veri Güvenliği konularında elde etmiş olduğumuz deneyimi paylaşırız.
KVKK UYUMU VE KİŞİSEL VERİ TASNİFİ
Kişisel verileri tasnif eder, kişisel veri işleme envanterinizi hazırlarız. Bu envanter üzerinden Kişisel verilerinizle ilgili bir risk analizi gerçekleştirir bu riskleri takip edebilmeniz için aksiyon planlarınızı yapmanıza yardımcı oluruz. KVKK uyum danışmanlığı hizmetlerimiz sırasında Kişisel Verilerin Korunması Politikası, Kişisel veri güvenliği prosedürü, Kişisel Veri Saklama ve İmha Prosedürü, Kişisel Veri İmha Planı gibi politika prosedür, talimat ve formları hazırlarız. Dış paydaşlara, müşterilere duyurmak durumunda olduğunuz politika, kuralların görünürlüğünü sağlamak için tasarımını yapar yayımlanması için gerekli işlemleri yaparız.
GİZLİLİK PROTOKOLLERİ VE KVKK UYUM DANIŞMANLIĞI
Kişisel verilerin korunmasına dair üçüncü taraflarla yapacağınız gizlilik protokolleri, açık rıza metinleri, ilgili kişi başvuru formları ve çalışanlarınızla yapacağınız muvafakat nameleri, açık rıza beyanlarının hukuka uygun şekilde hazırlanmasını sağlarız. Biz KVKK ile ilgili uyum danışmanlığı hizmeti verirken aynı zamanda GDPR’a tabi olduğumuzu bilir sistemimizi her iki mevzuata uygun bir şekilde tasarlarız. Kişisel veri güvenliği kurum içinde sadece kurum avukatınızla çözebilmeniz oldukça zordur. Kanun dışında teknik kılavuzlara, rehber dokümanlara, bilgi güvenliği standartlarına hâkim olmak gerekir. Örneğin Erişim yetki matrisini hazırlamadan sistemi kurmuş sayılmazsınız! Yine promosyon ve etkinliklerde ne yapacağınızı tanımlamadan kendinizi risklerden korumuş sayılmazsınız. Bugün konuştuğumuz büyük veri, small data, IoT teknolojileri, yapay zekâ kavramları doğrudan kişisel veri güvenliğini etkilemektedir. Örneğin siz uzaktan bir yazılımı çalıştırarak kişinin aracının frenlerini boşa alabilirsiniz! Siz yine uzaktan bağlanarak IoT teknolojisine sahip bir buzdolabını, fırını yüksek ısıda çalıştırarak evde yangın çıkarabilirsiniz. Bilgi çağında kişisel veri güvenliği önlemleri büyük bir zorunluluk olarak karşımızdadır. KVKK uyum süreci içinde tüm süreçleri açık, yalın ve yasaya uygun bir şekilde tasarlamanız gerekmektedir. Biz bu süreçleri sizler için sizlerle birlikte tasarlar doğru bir şekilde çalışması için kurulan organizasyonu teknik eğitimlerle daha bilgili hale getiririz.
KVKK VE GDPR UYUM SÜREÇLERİ DANIŞMANLIĞI
Kişisel verilerin korunması ile ilgili mevzuat sürekli gelişiyor. Bu regülasyonları takibi kurumlar için çok değerlidir. KVKK ve GDPR uyum danışmanlığı kurumlar için bir külfet değil şirketinizin, kurumunuzun, vakfınızın, odanızın, üniversitenizin, işletmenizin sürdürülebilirliğini ve iş sürekliliğini sağlamak için gerekli bir sistemdir. Sistem kurmadan kişisel veri güvenliğini kağıtlar üzerinden sağlamanız mümkün değildir. Unutmayınız ki kişisel veri sadece elektronik ortamda değildir. Kişisel verilerin bir kısmı veri tabanlarında bulunur, bir kısmı çeşitli uygulamalar üzerindedir. Yapısal veri envanteri kontrol edilerek bu envanter üzerindeki riskler sürekli kontrol altında tutulmalıdır. Biz bu konuda sadece size danışmanlık hizmeti veririz. İsterseniz DLP teknolojileri, ATP önleyiciler, Sandbox teknolojileri konularında bilgi veririz. Size bir ürün ya da teknoloji pazarlamayız.
KİŞİSEL VERİ GÜVENLİĞİ KONTROLLERİ VE KVKK DANIŞMANLIĞI
Dijital ortamdaki kişisel veriler ile fiziki ortamlardaki verilerinizi nasıl kontrol edeceğinizi bu süreçleri nasıl yöneteceğinizi size yalın bir dille anlatır, sistemi kontrol edebilmeniz için gerekli organizasyonu oluştururuz. Bu organizasyon tasarlanan sürece uygun olarak hazırladığımız kılavuz dokümanlarla kişisel veri güvenliği yönetim sisteminizi kontrol eder. Kurum dışında üçüncü taraflardaki kişisel verileriniz için gerekli çalışmaları, takibi denetimi nasıl yapacağınızı KVKK uyum danışmanlığı sırasında sizler için tasarlarız. Veri işleme envanterleriniz üzerindeki güvenlik sıkılaştırmalarını sağlarız. Kişisel veri güvenliği kontrolleri sizin için çok büyük bir iş gücü kaybı oluşturmaz bu nedenle kurmuş olduğumuz sistemi amaca uygun olarak işletmeniz gerekir. VMİ danışmanlık kağıt üstünde bir sistem kurmaz. Kişisel verilerinizi tamamı yapısal alanlarda olmayabilir. Örneğin bir Excel dokümanı, bir Word dokümanı veya bir sunum programı üzerinde de olabilir. Tüm bunları kontrol edip çalışanlarınızın gelişigüzel veri toplamlarına mani olacak yapıları kurmanız gerekmektedir. Örneğin çalışanlarınızın bir telefon rehberini ve buradaki kişisel cep telefonlarını onların açık rızalarını almadan kurum üzerindeki portal, ortak alan gibi yerlerde tutamazsınız! Bu konularda yaşana vakaları size anlatarak tehlikeleri konusunda çalışanlarınızı bilinçlendiririz.
GDPR UYUM SÜREÇLERİ DANIŞMANLIĞI VE VERİ TAŞIMA
Kişisel verilerin taşınması, kişisel verilerin başka platformlara aktarılması hassas süreçlerdir. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür. Bu süreçlerden bizi haberdar ederseniz size ücretsiz olarak kılavuzluk eder, görüşlerimizi, önerilerimizi sunarız. Kişisel verilerin yurt dışına aktarımı sorunlu konuların başında gelmektedir. Kişisel veriler için güvenli ülke, kişisel veriler için güvenli olmayan ülke kavramı gibi muğlak alanlarda neler yapılması gerektiğini sizlerle birlikte çalışırız. Veri transferinde kullanacağınız, kanallar, yöntemler, güvenlik önlemleri çoğu zaman tarif edilmiştir bu konularda dikkatli olmanızı sağlarız.
KVKK DANIŞMANLIK HİZMETLERİ VE TEMEL İLKELER
Kişisel verileri amaca uygun ve sadece iş amacıyla hukukun üstünlüğü, anayasa ve kişisel verilerin işlenmesinde dünyaca kabul görmüş genel ilkeler üzerinden almalısınız. Kişisel veriler üzerinde kontrol kurup, onları güvende tutmalı gerektiği hallerde anonimleştirmeli veya zamanı geldiğinde silmeli, imha etmelisiniz. Bu ilkeler nelerdir? Hukuka ve dürüstlük kurallarına uygun olma; Doğru ve gerektiğinde güncel olma; Belirli, açık ve meşru amaçlar için işlenme;
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. İşte bu ilkleler doğrultusunda size KVKK uyum danışmanlık hizmeti sunarız.
KVKK UYUM SÜRECİ DANIŞMANLIĞI VE ÜCRETLENDİRME
Kişisel veri güvenliği alanında çok önemli saha tecrübelerine sahibiz. Kamu kurumları, belediyeler, kamu iştirakleri, sanayi kurumları, yazılım firmaları, yayıncılık, üniversiteler, finans alanlarında tecrübelerimiz var. Kişisel verilerin korunması ile ilgili terzi usulü size en uygun sistemi kuruyor. Kişisel veri güvenliğiniz ile ilgili güvenlik sıkılaştırması işlemleri gerçekleştiriyoruz. Yaptığımız bu çalışmalar KVKK uyumu üçüncü göz denetimleri olarak kabul edilmelidir. Sistemi kendiniz kurduysanız mutlaka üçüncü bir gözün denetlemesinde fayda bulunmaktadır. KVKK uyum danışmanlığı projelerimiz kazandığımız tecrübe ve birikimi kurumunuza aktarıyoruz. VMI Danışmanlık olarak KVKK danışmanlığı ücretleri en çok sorular sorular arasında. Ücretlendirmeyi nasıl yapıyoruz. Adam gün saat hesabı yaparak Kişisel Verilerin Korunması Kanunu kapsamında adli ve idari cezalar bulunmaktadır. Kabahatler kısmında Aydınlatma yükümlülüğünün yerine getirilmemesi; Kişisel verilerin güvenliği önlemlerinin alınmaması; Veri sorumluları Sicil (VERBİS) kaydı yapılmaması; KVK Kurumu kararlarının yerine getirilmemesi yer alırken suçlar kısmında; Kişisel verileri hukuka aykırı kaydetmek; Hassas kişisel verileri hukuka aykırı kaydetmek; Kişisel verileri ele geçirmek, yaymak; Süresi geçtiği halde kişisel verileri elde tutmak; 1 ila 5 yıl hapis cezası olan suçlardır. Eğer kişisel verileri elde etmekle yükümlü kişiler örneğin İnsan Kaynakları Bölümü kişisel verileri ifşa ederse cezalar ikiye katlanacak yani İK müdürü 10 yıl hapis cezası ile yargılanacaktır.
KVKK DANIŞMANLIĞI VE VERİ SORUMLUSU KAYIT YÜKÜMLÜLÜĞÜ
Kişisel Verilerin Korunması Kanunu 2016 yılında yayımlandı. Kurumlar için VERBİS kayıt yükümlülüğü de çoktan başladı. Veri Sorumluları Siciline kayıt olmak için başvuru, yapılması gerekiyor bunun için: Veri sorumlusu adres bilgileri; Kişisel verilerin hangi amaçla işleneceği; Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar; Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları; Yabancı ülkelere aktarımı öngörülen kişisel veriler; Kişisel veri güvenliğine ilişkin alınan tedbirler; Kişisel verilerin işlendikleri amaç için gerekli olan azami süre VERBİS kaydı yapılırken gerekli olacak açıklamalardır. Yani buradan şunu anlamamız gerekiyor. VERBİS kaydı yapabilmek için kurumunuzda KVKK süreçleri bitirilmiş olmalıdır. Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir. Kişisel verilerin işlenmesine ilişkin ilkelere göre tüm kişisel veri işleme faaliyetleri bu ilkeleri ruhuna uygun bir şekilde işlenmelidir. VMİ danışmanlık olarak KVKK süreçlerinizi kanuna uygun hale getirerek KVKK Yönetim Sisteminizi kuruyoruz.