KVKK uyum sürecinde yapılacak işlemler

 

Kişisel Verileri Koruma Kanunu (KVKK) uyarınca avukatlar tarafından uyum sürecinde yapılacak işler ve işlemler

 

 

 

Uygulamada avukat meslektaşların karşılaştıkları en büyük sorun, mevzuatı bildikleri halde, hatta gerekli form ve sözleşmeleri hazırladıkları halde, firma ile karşı karşıya geldiklerinde nereden başlayacaklarını bilmemeleridir.

 

Aşağıdaki yol haritası, avukatların ve KVKK uyum sürecini yürüten uygulayıcıların süreci nasıl yürüteceklerini anlatan kısa bir makaledir.

 

KVKK Uyum Süreci aşağıdaki adımlar izlenerek yürütülür.

 

 

 

1-   Proje Ekibinin Kurulması

 

 

 

KVKK Uyum süreci çalışmalarını düzenleyecek, uygulayacak ve yönetebilecek bir takım oluşturulmalıdır.

 

Kurum içerisinde bu çalışmaları yürütecek KVKK takımının ve KVKK yöneticisinin veri güvenliği konusunda eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları gerekebilecektir. Böylece KVKK sürecini yürütürken avukat meslektaşların en yakın yardımcısı olacağını unutmamaları gerekir. KVKK proje ekibinin mutlaka çalışmalara başlamadan önce KVKK eğitimine tabii tutulması şarttır. Bu eğitim, proje sonunda tüm çalışanlara verilecek farkındalık eğitiminden farklı olarak daha yönetici kademesi için olması gerekmektedir.

 

 

 

2-   Kurum içinde stratejinin belirlenmesi

 

 

 

Üst yönetim, süreci yürütecek avukatlarla bu sürecin organizasyonunu hazırlamalı ve üst yönetimin KVKK ekibini tüm çalışanların huzurunda tam yetkili kılması sürecin başarılı olması için olmazsa olmazlardandır. Çalışanlardan bilgi toplama  konusunda zorlanan bir KVKK ekibi başarılı olamayacaktır. O yüzden üst yönetimin tam desteği şarttır.

 

 

 

3-   Kapsamın Belirlenmesi

 

 

 

KVKK’nin kurum içinde tüm departmanları ilgilendirdiği mutlaka belirtilmelidir. Bunun için departmanlar ile bire bir görüşme ve toplantılar yapılmalı ve bu departmanlardan kişisel veri barındıran ortamların ne olduğu hususunda bilgi toplanmalıdır. Bu bilgilerin toplanması, risk ve boşluk analizleri ile mümkün olacağı için, uygulayıcıların bu hususta önceden hazırlamış oldukları soru formlarını ve testleri, gerekli ortamlarda hazır etmesi gerekmektedir.

 

 

 

4-   Proje ve İletişim Planının Hazırlanması

 

 

 

KVKK hazırlıkları tamamlanıp, proje ekibi, soru formlarının hazırlanacağı departmanlar ve sorulara cevap verecek sorumlular belirlendikten sonra, hangi departmanlardan ne kadar süre içinde ve hangi süre ile projenin yürütüleceği bir plan hazırlanmalıdır.

 

Plana uygun olarak departmanlardan başlanarak çalışma başlatılır. Her bir departman çalışmasından önce gerekli ise toplantılar düzenlenir. Toplantılar öncesinde varsa arşiv verilerinin hazır edilmesi talep edilir. Yapılan kayıt ve tutanaklar varsa bunların tamamı, ya da örnekleri istenir. Gerekli görülür ise bir departman çalışması bittikten sonra, süreç daha önce çalışması bitirilmiş önceki departmanlara geri dönüşlerin yapılması ile de pekiştirilir. Dönem dönem farklı departmanların biraraya getirilmesi gerekir ise toplantılar yapılır. Özellikle bir veriyi ortak kullanan departmanların hangisinin bu veriyi kullanmasının doğru olduğu ve kayıt ortamı belirlenir. Gereksiz mükerrerliklerden sistem içinde kurtulmaya çalışılır.

 

 

 

5-   Veri güvenliği Politikası

 

Uyum sürecine başlanması ile birlikte aynı zamanda ve eş zamanlı olarak ilgili departmanlarca imza edilmesi gereken form ve sözleşmeler, açık rıza formları ve bildirimler sunularak, ilgili yerlerine klase edilir. Ayrılması gerekenler ayrılır ve gerekli ise kilitli kasalara, kilitli dolaplara, özlük dosyalarına, iş güvenliği dosyalarına, iş sağlığı dosyalarına konulmak üzere kaldırılır. Digital ortamda kayıtlara geçen her veri ve belge için yetki matrisi belirlenir ve bu verilere kimlerin ulaşabileceği açıkça belirtilerek bilişim uzmanı yardımıyla ve veya server sorumlusu yardımıyla bu verilerin yetki matrisindeki erişimlere açılmasını, diğerlerine kapatılması hususu sağlanır. Gerekli ise konunun uzmanı kişilerin görüşleri de alınır.

 

Yetkilendirme ile ilgili olarak çalışanlar ve ilgililere gerekli bilgilendirmeler yazılı olarak ve digital ortamlarda yapılır.

 

Kişisel verilerin güvenliği konusu, kişisel verileri işlenen tüm hissedarları, çalışanları, çalışan adaylarını, şirket ile ilişkili üçüncü kişileri ve devleti ilgilendirmektedir. O yüzden tüm şirket çalışanlarının bu husustaki görev ve tanımları ve sorumlulukları belirlenmeli ve açıkça tanımlanmalıdır. Yani görev ve sorumluluklar tanımı hazırlanmalı ve ilgili kişilere deklare edilmelidir.

 

 

 

6-   Verilerin Belirlenmesi ve Veri envanteri hazırlanması

 

 

 

Verilerin belirlenmesi neticesinden bu verilerin hangi departman tarafından hangi amaçlarla ve hangi sürelerle şirket kayıtlarında yer alacağı, hangi sürede imha edileceği, verilerin hangi teknik ve idari tedbirler kapsamında güvenliğinin sağlanacağı, verileri işlenen  kişilerin hakları ve bu hakların nasıl kullanacakları, kanuna aykırı olarak verileri kullanıldığından bu kişilerin ne tür talep ve tazminatlarının olabileceği belirlenir.

 

Veri envanterine girmesi gereken yukarıdaki bilgiler sınıflandırılarak ve veri envanterine işlenerek VERBİS için hazır edilir.

 

 

 

7-   Risklerin Belirlenmesi, Risk Yönetimi

 

 

 

Veri envanterinin hazırlanmasına müteakip, bu verilerin güvenliğinin sağlanması aşamasına geçilir.  Yapılan uyum sürecinin temel amacı aslında bu noktadan sonra başlamaktadır.

 

Bu verilerin güvenliğinin sağlanması için gerekli olarak fiziki ve elektronik şartlar ve ortamlar belirlenir ve buna göre işletme sahiplerinin bu verilerin güvenliği için gerekli yatırımları yapması talep edilir. Eş zamanlı olarak ve doğru yatırımların yapılması amacıyla verilerin güvenliğini tehdit eden durumlar, mevcut durumun zayıf noktaları ve bunlara karşılık gelen riskler belirlenir. Bu risklerin analiz edilmesinden sonra hangi önlemlerin alınması gerektiği hususunda kararlar verilir.

 

 

 

Tabii ki asıl önemli olan bu kararlar alınıp verilerin fiziki ve elektronik güvenliği için gerekli yatırımlar yapıldıktan sonra alınan önlemlerin sürekliliğinin sağlanması için yapılması gereken risk denetimlerinin ne şekilde ve sürelerle olacağı, bu denetimlerden sorumlu kişilerin kimler olacağı, yetkileri belirlenmelidir. Elbette ki yüksek güvenlikli tutulması gereken kişisel veriler için birtakım ilave maliyetlerin olabileceği, firmayı korumak için ise bunun gerekli olduğu unutulmamalıdır.

 

Kontrol, gözetim ve denetim faaliyetlerinin nasıl yapılacağı risk yönetimi ile igilidir.  Elbette güvenliği sağlamak için farklı metodlar olabilir. Bu metodların hangisinin kullanılacağı firmanın takdirine bırakılmalıdır. Bunun nihayetinde farklı fayda ve maliyetleri olacaktır. Ancak PUKO döngüsü ile en uygun güvenlik metodunun nasıl ve ne olacağı firma tarafından zaman içinde uygun bir şekilde belirlenebilecektir. Avukatların ve uygulayıcıların bu metodlar konusunda bilgilenmesi de uygun metodun bulunmasında faydalı olacaktır. Teknolojik destek ve bu konudaki uzman görüşlerinin de doğru metodun bulunmasında elbette katkısı olacaktır. Eğer farklı metodlar mevcut ise ve en doğru metodun ne olduğu kestirilemiyor ise risk izleme yapılmalıdır.

 

  

 

8-   Değişim Yönetimi

 

KVKK uyum süreci, başlayıp biten bir süreç değildir. Başlar, ancak bitmez, devam eder. Bu sebeple, kişisel verilerin işlenmesi ile ilgili işletmede yapılan değişikliklerin, dönem dönem nasıl işletildiği kontrol edilmelidir. Kontroller rutin olmalı, kontroller için ise prosedürler ve dökümanlar hazırlanmalıdır. Denetçilerin ve sorumluların rolleri ve sorumlulukları bu dökümanlarda belli edilmelidir. Elbette bu konudaki en yetkilinin kim olduğu da belirlenmeli ve yetki ve sorumluluğu izah edilmeli ve forma sokulmalıdır.

 

 

 

9-   Olay Yönetimi

 

 

 

Veri ihlallerine hemen yanıt verebilmek için olay yönetimine yönelik planlar, prosedür ve diğer dokümanlar hazırlanmalıdır. Rol ve Sorumluluklar ile ilgili hazırlanan dokümanda kurumdaki olay yöneticisinin kim olduğu belirtilmelidir. Örneğin, kişisel verilerin saklandığı bir bilgisayarın çökmesi neticesinde üçüncü kişilere tamir için gönderilmesinde verilerin geri getirilmesi için işletme dışında bir çalışma yapılması gerekecek ise bilgi işlem firması ile gizlilik ve güvenlik sözleşmeleri hazırlanmalıdır. Bu sürecin takibinin her iki taraf için de sorumlusunun kim olduğu belirlenmelidir. Ya da, yurt dışına gönderilmesi gereken kişisel bilgiler mevcut olduğunda ne tür bir prosedür izlenmesi gerektiği olaylar olmadan düşünülerek olay yönetimi uygulanmalıdır.

 

 

 

10-Doküman ve Kayıt Yönetimi

 

 

 

Sürecin tamamlanması sonrasında belirlenen tüm politikaların, şirketin tüm diğer kural ve prosedürleri ile etkileşimleri gözden geçirilir ve bunun şirket içi işleyişe nasıl yansıyacağı belirlenir.

 

 

 

Örneğin; artık şirkete kapıdan  girerek bekleme salonunda işe başvuracak adayların özgeçmişini toplama, ya da talep etme işleminin güvenlik elemanı tarafından artık yapılamayacağı gözönüne alındığında varsa güvenlik elemanının görev tanımlarından bu eylemin artık çıkartılması gerekir. Ya da İK personeli dışında bu hizmet yapılamayacak ise diğer kişilerin görev tanımlarından çıkartılması gerekir.

 

 

 

11-KVKK Politikaları Kitapçığının Hazırlanması

 

 

 

Dökümanların tamamlanmasının ardından şirket KVKK Politikaları kitapçığı hazırlanır. Tüm politika ve prosedürler bu kitapçıkta özetlenerek anlatılır. Şirket sorumlularına farkındalık sebebiyle dağıtılır.

 

 

 

12-Eğitim ve Farkındalık Çalışmaları

 

 

 

Bir KVKK uyum süreci yapılırken ve yapıldıktan sonra bununla ilgili tüm çalışanlar, bilgilendirme ve farkındalık eğitimi verilir. Politika, prosedür ve ilgili diğer dokümanları duyurur. Kapsam dâhilindeki departman ve verileri listeleyip kişilere bu verileri nasıl  toplayıp nasıl saklayacakları, ilgililerin nasıl imha edecekleri, kimlerin ne şartlarla bu verileri için başvuruda bulunduğu zaman cevap verecekleri, ne kadar sürede cevap verecekleri gibi hususlarda eğitimler verilir. 

 

Kişisel verilerin güvenliği hususunun önemi ve sahip çıkılması gereken çok dikkatle korunması gereken, ağır cezai müeyyidelere tutulan, kanun kapsamında korunan bir zorunluluk olduğu, işletmede veri güvenliğinin bir yaşam tarzı olması gerektiği hususu eğitimlerde anlatılır ve bunun kurum kültürüne yerleşmesi ve benimsenmesi için çalışmalar yapılır.

 

 

 

13-İç denetim

 

 

 

İşletme, dönem dönem KVKK iç denetimlerini, daha önceden belirlenen kontrol prosesleri dahilinde belirlenen standartlara uygun olarak tutulup tutulmadığını, varsa imha edilmesi gerekenlerin imha edilip edilmediğini, imha edileceklerin ise imha politikası kapsamında imhalarının yapılmasını gerçekleştirir. Bu hususta varsa bilgi verilecek kişiler ilgili kişilere bu bilgileri iletir.

 

 

 

14-Yönetimi Gözen Geçirme (YGG)

 

 

 

Uygulayıcı avukat ve yönetim tarafından KVKK denetimleri ve gözden geçirmelerinin sonuçları, ilgili taraflardan edinilen geribildirimler alınarak sistem gözden geçirilmelidir.

 

Avukat ve Yönetim, kuruluşun KVKK uygulama prosedürünü belirlenen ve planlanan aralıklarla (en az yılda bir kez), uygulamasını ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, veri güvenliği politikası ve veri güvenliği amaçları dâhil KVKK’nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Ayrıca mevzuat değişikliklerinin de uygulamada yarattığı değişiklikler derhal ilgili birimlerce uygulanmalıdır.

 

Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır.

 

 

 

15-Düzenleyici Önleyici Faaliyetler (DÖF)

 

 

 

YGG yapan avukat ve yönetim, tekrar ortaya çıkmalarını önlemek için, KVKK kapsamında ortaya çıkan uygunsuzlukları gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen düzeltici, önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. Önleyici faaliyetler için dokümante edilmiş prosedürler bulunmalıdır.

 

 

 

 

 

 

 

Cengiz SERTTAŞ

 

Avukat-Patent Ve Marka Vekili

 

Adli Muhasebe Bilim Uzmanı

 

 

 


Kendi Şirketinde Sigortalı Çalışanların Emeklilik Başvurusu Reddedilebilir... Konkordato Süreci, Geçici Mühlet Ve Geçici Mühlet İçinde Kesin Mühletin Verilmesi Ticari Sır nedir? Müşteri Sırrı Nedir? Gizliliğin ihlali ve Ceza Kanunumuzdaki Yeri Konkordato Ön Projesinde Asgari Neler Bulunmalıdır? Konkordato Talebine Eklenecek Belgeler Ve Makul Güvence Raporu Konkordato Nedir? Konkordato Hakkında Temel Bilgiler Tescilsiz İşletme Adının Marka Olarak Üçüncü Kişilerce Kullanılması Ve Tescilli Markanın Sicilden Silinmesi "Eyvah, Emekliliğim iptal edildi" ..... SGK Gün Ve Emeklilik İptallerinde Anayasaya Aykırılık Sorunu, Emeklilik Maaşlarının Geri İstenmesinde Zamanaşımı Ve Sebepsiz Zenginleşme Garanti Markalarına Tecavüz Taklit Veya Sahte Mal Kavramı Ve Doktrindeki Durum Limited Şirket Ortaklığından Ayrılan Ortağın Vergi ve Kamu Borçlarından Sorumluluğu UNUTULMA HAKKI - İnternetteki Kötü Geçmişin Silinmesi KVKK uyum sürecinde yapılacak işlemler Kişisel Verileri Koruma Kanunu (KVKK) kapsamında kamera kaydı alan şirketlerin yapması gerekenler KVKK Kapsamında Çalışan Adayının Aydınlatılması Süreci Markanın Alan Adı Olarak Haksız Kullanımı Kişisel verilerin korunması kanunu hakkında sıkça sorulan sorulara cevaplar “Sahte sigortalı” diye mağdur edilen emekçiler ve çözüm yolları İşsizlere destek öngören torba yasadaki adaletsizlik Corona günlerinde işten çıkarma ve izin-öncelikle işçiler için bir yazı İşverenler için corona günleri Bankamatik işçiler ve özellikle belediyelerdeki durum
 
Avukat Arabulucu Cengiz SERTTAŞ
Arena Yazılım

Yol Tarifi