• Osman Bolat

KVKK uyum danismanligi ve kisisel veriler

6698 sayılı Kişisel Verilerin Korunması Kanunu iş hayatımızda çok şeyi değiştirdi. KVKK uyumu sürecinde şirketimiz önemli saha tecrübelerine sahip oldu. İlk eğitimiz 2014 yılında bir kamu kurumuna verdik, kanun henüz yayımlanmamıştı. Bildiğiniz üzere Kişisel Verilerin Korunması Kanunu 2016 yılında Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bilgi güvenliği, kişisel veri güvenliği öncü olduğumuz alanlardan biridir.


Veri Analizi ve KVKK Uyum Danışmanlık


Kişisel Verilerin Korunması Kanunu, KVKK uyum danışmanlığımız sırasında yaptığımız tüm çalışmalar birlikte çalıştığımız hukukçulara tarafından analiz edilerek sisteme alınmaktadır. KVKK iş süreçleri sadece kanun okunarak anlaşılabilecek bir yapıda değildir. Klavuzlar, rehber dokümanları Kişisel Verileri Koruma Kurumu kararları, hukuki içtihatlar ortak olarak değerlendirilmelidir. KVKK uyumu ile ilgili bir yönetim sistemi kurarken hem ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, COBIT frameworkü, ITIL, PCI-DSS gibi standartlar ile Bilişim Yönetim Sistemleri konusunda göz önünde bulundurulmaktadır. Kurumlar KVKK uyum çalışmaları yürütürken veri analizi yapmayı unutmamalıdırlar.


KVKK Uyumu ve KVKK Organizasyonu


Kurumunuzda çalışmaya başladığımızda kurum içinde kurduğumuz bir ekiple bu süreci yönetiyoruz. Burada amacımız işi bilen, konuya hakim ve sistemi yürütecek ekibin yetiştirilmesidir. Amacımız dışa bağımlılığı olabildiğince engellemektir. O nedenle dürüstçe ekibinizin yetişmesi için büyük çaba sarf ederiz Varsa kurum avukatınızı bu süreçlere dahil eder bilişim kukuku ve kişisel veri güvenliği konularında elde etmiş olduğumuz deneyimi paylaşırız. Kurduğumuz organizasyon KVKK uyumunun sürdürülebilirliğini sağlamaya yöneliktir.


VMİ olarak kişisel verilerinizi tasnif eder, kişisel veri işleme envanterinizi hazırlarız. Bu envanter üzerinden kişisel verilerinizle ilgili bir risk analizi gerçekleştirir bu riskleri takip edebilmeniz için aksiyon planlarınızı hazırlamanıza yardımcı oluruz. KVKK uyum danışmanlığı hizmetlerimiz sırasında Kişisel Verilerin Korunması Politikası, Kişisel veri Güvenliği Prosedürü, Kişisel Veri Saklama ve İmha Prosedürü, Kişisel Veri İmha Planı gibi Politikası gibi politika, prosedür, talimat ve formlarınızı hazırlamanıza yardımcı oluruz. Dış paydaşlara, müşterilere duyurmak durumunda olduğunuz politika, kuralların görünürlüğünü sağlamak için tasarımını yapar yayımlanması için gerekli işlemleri yaparız.


Gizlilik ve KVKK Uyum Danışmanlığı


Kişisel verilerin korunmasına dair üçüncü taraflarla yapacağınız gizlilik protokolleri, açık rıza metinleri, ilgili kişi başvuru formları ve çalışanlarınızla yapacağınız muvafakat nameleri, açık rıza beyanlarının hukuka uygun şekilde hazırlanmasını sağlarız. Biz KVKK ile ilgili uyum danışmanlığı hizmeti verirken aynı zamanda GDPR’a tabi olduğumuzu bilir sistemimizi her iki mevzuata uygun bir şekilde tasarlarız. Kişisel veri güvenliği kurum içinde sadece kurum avukatınızla çözebilmeniz oldukça zordur. Kanun dışında teknik kılavuzlara, rehber dokümanlara, bilgi güvenliği standartlarına hakim olmak gerekir. Örneğin Erişim yetki matrisini hazırlamadan sistemi kurmuş sayılmazsınız! Yine promosyon ve etkinliklerde ne yapacağınızı tanımlamadan kendinizi risklerden korumuş sayılmazsınız.


Akıllı Uygulamalar KVKK Uyumu Çalışmaları


Bugün konuştuğumuz büyük veri, small data, IoT teknolojileri, yapay zeka kavramları doğrudan kişisel veri güvenliğini etkilemektedir. Örneğin siz uzaktan bir yazılımı çalıştırarak kişinin aracının frenlerini boşa alabilirsiniz! Siz yine uzaktan bağlanarak IoT teknolojisine sahip bir buzdolabını, fırını yüksek ısıda çalıştırarak evde yangın çıkarabilirsiniz. Bilgi çağında kişisel veri güvenliği önlemleri büyük bir zorunluluk olarak karşımızdadır. KVKK uyum süreci içinde tüm süreçleri açık, yalın ve yasaya uygun bir şekilde tasarlamanız gerekmektedir. Biz bu süreçleri sizler için sizlerle birlikte tasarlar doğru bir şekilde çalışması için kurulan organizasyonu teknik eğitimlerle daha bilgili hale getiririz.


GDPR ve KVKK Uyum Danışmanlık Hizmetleri


Kişisel verilerin korunması ile ilgili mevzuat sürekli gelişiyor. Bu regülasyonları takibi kurumlar için çok değerlidir. KVKK ve GDPR uyum danışmanlığı kurumlar için bir külfet değil şirketinizin, kurumunuzun, vakfınızın, odanızın, üniversitenizin, işletmenizin sürdürülebilirliğini ve iş sürekliliğini sağlamak için gerekli bir sistemdir. Sistem kurmadan kişisel veri güvenliğini kağıtlar üzerinden sağlamanız mümkün değildir. Unutmayınız ki kişisel veri sadece elektronik ortamda değildir. Kişisel verilerin bir kısmı veri tabanlarında bulunur, bir kısmı çeşitli uygulamalar üzerindedir. Yapısal veri envanteri kontrol edilerek bu envanter üzerindeki riskler sürekli kontrol altında tutulmalıdır. Biz bu konuda sadece size danışmanlık hizmeti veririz. İsterseniz DLP teknolojileri, ATP önleyiciler, Sandbox teknolojileri konularında bilgi veririz. Size bir ürün ya da teknoloji pazarlamayız.


Dijital ortamdaki kişisel veriler ile fiziki ortamlardaki verilerinizi nasıl kontrol edeceğinizi bu süreçleri nasıl yöneteceğinizi size yalın bir dille anlatır, sistemi kontrol edebilmeniz için gerekli organizasyonu oluştururuz. Bu organizasyon tasarlanan sürece uygun olarak hazırladığımız kılavuz dokümanlarla kişisel veri güvenliği yönetim sisteminizi kontrol eder. Kurum dışında üçüncü taraflardaki kişisel verileriniz için gerekli çalışmaları, takibi denetimi nasıl yapacağınızı KVKK uyum danışmanlığı sırasında sizler için tasarlarız. Veri işleme envanterleriniz üzerindeki güvenlik sıkılaştırmalarını sağlarız. Kişisel veri güvenliği kontrolleri sizin için çok büyük bir iş gücü kaybı oluşturmaz bu nedenle kurmuş olduğumuz sistemi amaca uygun olarak işletmeniz gerekir. VMİ danışmanlık kağıt üstünde bir sistem kurmaz.


Yapısal Olmayan Veriler ve KVKK Uyumu


Kişisel verilerinizi tamamı yapısal alanlarda olacak diye bir şart yok. Bazı kişisel verileriniz yapısal olmayan alanlarda olabilir. Örneğin bir Excel dokümanı, bir Word dokümanı veya bir sunum programı üzerinde de olabilir. Tüm bunları kontrol edip çalışanlarınızın gelişigüzel veri toplamlarına mani olacak yapıları kurmanız gerekmektedir. Örneğin çalışanlarınızın bir telefon rehberini ve buradaki kişisel cep telefonlarını onların açık rızalarını almadan kurum üzerindeki portal, ortak alan gibi yerlerde tutamazsınız! Bu konularda yaşana vakaları size anlatarak tehlikeleri konusunda çalışanlarınızı bilinçlendiririz.


Kişisel verilerin taşınması, kişisel verilerin başka platformlara aktarılması hassas süreçlerdir. Bu süreçlerden bizi haberdar ederseniz size ücretsiz olarak kılavuzluk eder, görüşlerimizi, önerilerimizi sunarız. Kişisel verilerin yurt dışına aktarımı sorunlu konuların başında gelmektedir. Kişisel veriler için güvenli ülke, kişisel veriler için güvenli olmayan ülke kavramı gibi muğlak alanlarda neler yapılması gerektiğini sizlerle birlikte çalışırız. Veri transferinde kullanacağınız, kanallar, yöntemler, güvenlik önlemleri çoğu zaman tarif edilmiştir bu konularda dikkatli olmanızı sağlarız.


Kişisel verileri amaca uygun ve sadece iş amacıyla hukukun üstünlüğü, anayasa ve kişisel verilerin işlenmesinde dünyaca kabul görmüş genel ilkeler üzerinden almalısınız. Kişisel veriler üzerinde kontrol kurup, onları güvende tutmalı gerektiği hallerde anonimleştirmeli veya zamanı geldiğinde silmeli, imha etmelisiniz. Bu ilkeler nelerdir? Hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; Belirli, açık ve meşru amaçlar için işlenme; İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. İşte bu ilkleler doğrultusunda size KVKK uyum danışmanlık hizmeti sunarız.


Teknoloji KVKK Uyum Danışmanlık


Kurumlarda kişisel verilerin giriş ve çıkış noktalarının iyi belirlenmesi gerekir. Kişisel verilerin giriş ve çıkışının olduğu noktaların güvenliği önemlidir. Gerekli hallerde bu durumlar için gerekli hallerde kural yazılabilir, kontrol amaçlı teknoloji ve yazılım tavsiyeleri yapılabilir. VMİ Danışmanlık olarak bu alanlarla ilgili kontrole önem veriyoruz. KVKK uyum danışmanlığı yaptığımız kurumlarda bu alanların kontrolü için teknoloji ve yazılım kontrolleri gerçekleştiriyoruz.


Kişisel verilerin, aktarımı konusu oldukça sıkıntılıdır. Kişisel veri aktarımına özel önem vermek gerekir. Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir. Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanunun 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.


KVKK Uyum Danışmanlığı ve İmha Politikaları


Kişisel verileri kanunda belirlenen süreler içinde imha etmek, silmek veya anonim hale getirmek gerekiyor. Kanunun 7’nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Silme eylemini yerine getirebilmek için şu süreçler takip edilmelidir. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması. Silme imha politikalarınızın geliştirilmesi için size en uygun yöntemleri önerebilmemiz için KVKK uyum danışmanlığı hizmetlerimizden faydalanabilirsiniz.

6698 sayılı Kişisel Verilerin Korunması Kanunu çalışmaları ve Avrupa Birliği Genel Veri Koruma Kanunu GDPR temel çalışma alanlarımızdır. Kişisel verilerinizin en iyi şekilde işlenmesi, korunması, silinmesi için kurumlara uygun metot, sistem, yöntem geliştiriyoruz. VMİ Danışmanlık, KVKK ile ilgili teknoloji ve yazılım kullanan ender danışmanlık firmalarından biridir. Bu teknolojiler ile sisteminize sızmış kişisel veri toplayan siber zararlıları tespit ediyor ve size sunumunu yaparak raporluyoruz.

9 görüntüleme