KVKK Danışmanlığı

Sayın Yetkili,

KVKK’YA UYUMLAŞTIRMA DANIŞMANLIK TEKLİFİ

Kişisel Verilerin Korunması Kanunu (KVKK) gereği, 50 işçi veya mali bilanço aktif değeri 25 milyon TL olan işletmeler (şirket/gerçek kişi), 30/06/2020 tarihine kadar veri sorumluları siciline kayıtlarını yaptırmak zorunda idi.

Başkent Üniversitesi Eğitim ve Danışmanlık Hizmetleri Merkezi olarak, şirketlerin KVKK’ya uyumlaştırma süreçlerine danışmanlık hizmeti sunmaktayız.

Şirket ortaklarının, çalışanların, müşteri ve tedarikçilerin bilişim sistemleri, özellikle bilgisayar programlarında tutulan kişisel verilerin (kimlik bilgileri, telefon, adres, kamera kayıtları, giriş-çıkış saatleri, konum bilgisi, fatura değerleri vd. her türlü bilgi)  korunmasını amaçlayan KVKK, ticari gelişme, kişi güvenliğinin sağlanması için işletme uygulamalarında zorunlu haline gelmiştir.

Bilindiği gibi, bu yasal yükümlülüklerini yerine getirmeyenler hakkında 20.000-1.000.000 TL arasında idari para cezası, ayrıca verileri hukuka aykırı işleyenler ise 1 yıldan 3 yıla kadar hapis cezaları ile karşı karşıya kalabilecektir.

Bu kapsamda ekte yer alan tarafınıza sunulacak olan hizmetleri görebilirsiniz. Aynı zamanda hizmet sözleşmesi de ekte bulunmaktadır. Aşağıda belirtilen kişi ve telefonlardan daha detaylı bilgi almanız mümkündür. Sağlıklı günler dileriz.

ÇALIŞMA PLANIMIZ

6 ay sürecek çalışmamızla, hukuk, süreç, organizasyon, veri yönetimi ve güvenliği alanlarında aşağıda sıraladığımız kanuna uyumlulaştırma çalışma planı adımlarını izleyeceğiz.

ÇALIŞMA PROGRAMIMIZ

Uygulayacağımız Çalışma Programı;

1. Aydınlatma yazısı yayınlanması,
2. Veri sorumlusu veya varsa temsilcisinin görev tanımı,
3. Şirket KVKK Ekibi,
4. Birim müdürleri bilgilendirmesi ve envanter hazırlığının önemi,
5. Veri temsilcisi atanması (Yönetmeliklerin çıkmasına mütakip),
6. Veri sorumlusu / temsilcisi kimlik bilgilerinin yayınlanması (kurul ve yönetmelik bekleniyor),
7. Kişisel Veri Envanteri Hazırlanması ve kurula bildirilmesi,
8. Kişisel Veri Prosedürü: güvenliğin sağlanması, nasıl silinir/yok edilir, taleplere nasıl cevap verilir, kurum yazışma takibi, paylaşma yöntemi, izinler,
9. Sözleşmelerde gizlilik metninin yeniden hazırlanması,
10. Açık rıza yöntemlerinin belirlenmesi,
11. Eski veriler için açık rıza alınması / anonimleştirilmesi / yok edilmesi,
12. Gerekiyor ise Aydınlatma yazısının revize edilerek yayınlanması (veri sorumlusunun veya temsilcisi kimliği, işleme amacı, süre, kimlere neden aktarılabileceği, veri toplamanın yöntem ve hukuki sebebi, veri sahibinin hakları),
13. Şirket çalışanlarına genel bilgilendirme duyurusunun hazırlanması ve yapılması,
14. Çalışan İş Sözleşmesinde KVK kanunu gereği açık rıza alınması yazısı hazırlanması ve imzalatılması, pano, portal gibi alanlardan güncel halinin sürekli duyurulması,
15. Güvenlik, Resepsiyon, Call Center gibi özel durumlu çalışanlardan imza / taahhüt alınması
16. Bilgi Güvenliği Taahhüdünün revizyonu,
17. Geri bildirim mailleri ve müşteri şikâyet formlarının açık rızaya göre revizyonu
18. Maillerin altına otomatik yazı eklenmesi,
19. Şirket site, sosyal medya yayınlarında gerekli ekleme ve değişikliklerim yapılması,
20. Şirket bilgisayar program ve uygulamalarda güvenlik önlemlerinin alınması,
21. Denetim kurallarının yazılması ve denetlenmesi,

Sırasına bağlı gerçekleştirilecektir.

EKİBİMİZ

KVKK konusunda süreç, dokümantasyon, bilişim, hukuk ve denetim alanlarında çalışan ekibimiz KVKK uzmanı, avukat, denetim elemanından oluşmaktadır.

KVKK DANIŞMANLIĞI

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, basta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri isleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşımaktadır.

KVKK gerçek kişilere ait olan kişisel verilerin işlenmesini konu almaktadır, dolayısıyla bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen tüm gerçek (şahıs) ve tüzel (şirket) kişiler bu Kanun kapsamındadır.

Şirketlerin KVKK uyumu için tanınan süre 30/06/2019 tarihinde dolmaktadır. Kişisel veri işleyen tüm kişi ve kurumların KVKK uyumu ile ilgili çalışmalarını en kısa sürede tamamlamaları gerekmektedir. Bu yasal düzenlemelere uymamanın bedeli ise çok ağır olabilmektedir. Yükümlülüklerini yerine getirmeyen kurumlar, 1,000,000 TL’ye varan para cezaları, hukuka aykırı veri işleyenler ise 1 yıldan 3 yıla kadar hapis cezaları ile karşı karşıya kalabilmekteler.

GDPR (EU General Data Protection Regulation) ise Avrupa Birliğinde uygulanan aynı amaçlı yönetmeliktir. Dört yıllık hazırlık ve tartışma sonrasında GDPR, 14 Nisan 2016 tarihinde AB Parlamentosu tarafından nihayet onaylandı. 25 Mayıs 2018’de yürürlüğe girdi.

Başkent Üniversitesi Eğitim ve Danışmanlık Hizmetleri Merkezi olarak, kişisel veri yönetimi ve kişisel verilerin korunması kanunu uyumluluğu kapsamında hukuk, süreç, organizasyon, veri yönetimi ve güvenliği alanlarını kapsayacak şekilde bütünsel bir yaklaşım ile kurumunuz ihtiyaçlarına özel uçtan uca danışmanlık hizmeti sunuyoruz.

Hukuki danışmanlık

KVKK danışmanlığı kapsamında yükümlülüklerin tanımlanması, bu yükümlülüklere uygun veri kayıt sistemlerinin, sözleşmelerin, ilgili formların gözden geçirilmesi ve uyumlandırılması, kişisel verilerin toplanmasına, işlenmesine, paylaşılmasına ve silinmesine ilişkin politika, prosedür, yönetmeliklerin incelenip gerekli değişikliklerin yapılması ve/veya ihtiyaç duyulan yerlerde yeniden oluşturulması dahil olmak üzere kişisel verilerin korunmasına ilişkin kapsamlı bir hukuki danışmanlık hizmetini vermekteyiz.

Süreç danışmanlığı

Veri Danışmanlığı, kişisel verileri koruma ve kanuna uyumluluk kapsamında kurumların iş süreçlerini bütün detaylarıyla incelemekte ve süreçlerin ilgili kişisel verileri koruma mevzuatına uyumluluğu için ihtiyaç duyulan eksik veya iyileştirme gereken noktaları belirleyerek bu değişikliklerin iş akışlarını aksatmadan hayata geçirilmesi konusunda hizmet vermektedir.

Şirketin içinde bulunduğu sektör baz alınarak her iş birimi için kişisel veri işlenmesine ilişkin iş süreç ve akışlarını analiz ederek iyileştirmeler uygulamakta ve kişisel verileri koruma mevzuatı ile uyumlu hale getirmektedir. Mevcut iş akışlarında ihtiyaç duyulan iyileştirme ve değişikliklerin yapılması, iş akışlarına uygulanabilir kurallar entegre edilmesinin yanı sıra kişisel verileri koruma mevzuatının getirdiği yeni düzenleme gerektiren alanlarda da (ilgili kişinin başvuru, itiraz ve şikayet süreçleri gibi..) kurum işleyişine göre yeni iş süreç ve akışları deneyimli süreç analistleri tarafından oluşturulmaktadır.

Uyum süreci kapsamında öncelikle kurumların sahip oldukları kişisel verileri tanımlamaları kritik önem taşımaktadır. Kişisel veri envanterinin çıkarılması aşağıdaki soruların kurumlardaki tüm iş birimleri ve süreçleri kapsayacak şekilde cevaplanması ile mümkündür.

• Hangi Kişisel veriler?
• Hangi kaynaklardan elde edilerek?
• Hangi yöntemlerle elde edilerek?
• Hangi hukuki dayanaklarla?
• Hangi amaçlarla?
• Kimlerle paylaşılarak?
• Hangi süreçlerle?
• Hangi departmanlar tarafından?
• Hangi teknolojilerle?
• Kimlere aktarılarak?
• Ne Süreyle?

İşlenmektedir.

Bu çalışma için genellikle tüm iş birimlerinden ilgili yöneticilerle toplantı ve çalıştaylar düzenlenerek kişisel veriler ve süreçler ile ilgili bilgi alınır, kişisel veri toplanır.

Daha kapsamlı, büyük resmi yansıtan ve birebir, net bir veri envanteri çıkarılması amaçlanıyorsa–ki tarafımızdan tavsiye edilmektedir–veri analiz ve sınıflandırma yazılımlarından faydalanılmaktadır. Kişisel verileri koruma kanunu süreç danışmanlığı, veri envanteri ve yönetimi konusunda beraber çalıştığı uzman çözüm ortaklarıyla bu tarz çözümleri de sunmaktadır.

Veri güvenliği

Kişisel verilerin etkin ve sistematik yönetimi ancak güvenli bir veri yaşam döngüsü oluşturulduğu takdirde mümkündür. Şirketlerin kişisel verilerinden yaşam döngüsü boyunca maksimum verimliliği alması ve bu yaşam döngüsü boyunca kişisel veri koruma kanunu ve kurum içi güvenlik politikalarına uyum sağlaması için ihtiyaç duyulan çözüm ve gereksinimleri belirleyerek çözüm ortaklarımız aracılığı ile bu alanlarda ihtiyaç duyacağınız veri sınıflandırma, etiketleme, depolama, arşivleme, yedekleme, imha etme, iş sürekliliği, teknik altyapınız için güvenlik yönetimi, uç nokta, e-posta ve mesajlaşma güvenliği çözümleri konularında da danışmanlık veriyoruz.

Kişisel veri işleyen gerçek kişi ve kurumlar, sahip oldukları verilerin gizliliğini ve bütünlüğünü sağlayarak, erişim haklarını da kontrol altına aldıkları sürece iş süreçlerini sağlıklı yürütebilir ve iş sürekliliğini güvenli bir şekilde sağlayabilirler. Veri güvenliğini tehdit eden başlıca etkenlerin başında olan dış dünyayla bağlantıların ise (gerek sistem gerekse de kullanıcı düzeyinde olabilir) güvenli bir şekilde sağlanması ve kontrol altında tutulması, veri güvenliği açısından önem taşımaktadır.

Veri güvenliği konusunda uzman çözüm ortaklarıyla işbirliği içerisinde hizmet veren BEDAM gerçekleştirdiği analizler ve birebir incelemeler sonrasında kurumların kişisel verilerinin güvenliğini tehlikeye atabilecek unsurları ve/veya kurumun mevcut yapısındaki zafiyetleri tespit etmektedir. Bu bulgular ışığında kurum iş süreçleri ile paralel olacak şekilde güvenlik politikaları ve prosedürlerini oluşturmaktadır. BEDAM veri güvenliği ile ilgili olarak şirketlerin ihtiyaçlarına özel, uçtan uca çözümler önererek danışmanlık hizmeti sağlamaktadır. Veri sızıntısı önleme (DLP), şifreleme çözümleri veri güvenliği için kullanılan etkin çözümler arasında sayılmaktadır.

Kişisel verileri Koruma kanunu kapsamında kurulacak olan veri güvenliği altyapısında amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirlik”  kriterlerini yerine getirmek olmalıdır. Kanuna uyum süresince veri güvenliğine ilişkin alınacak teknik tedbirler, bu kriterler ışığında uygulanmalıdır.

Veri Güvenliği Danışmanlığı, aynı zamanda veri sızıntısı veya verinin başkalarınca ele geçirilmesi halinde müdahale planlarının hazırlanması, ilgili kurum ve kişilere yapılacak olan bildirimler ile ilgili süreçlerin oluşturulması ve veri güvenliğine ilişkin politikalarının oluşturulmasını da kapsamaktadır.

Farkındalık eğitimi

Kişisel verilerin korunması ve Kanuna uyuma dair kurum içi farkındalığın oluşturulması ve bu bilincin yönetim ve iş yapış süreçlerine yansıtılabilmesi için gerekli çalışma ve eğitimleri düzenliyor, kurumunuzun ihtiyacı olan danışmanlık hizmetini sunuyoruz.

BEDAM’ın kişisel verileri koruma danışmanlık hizmetlerinin ana bileşenlerinden olup her çalışma öncesinde ilgili birimlere bu eğitim verilip gerekli bilgilendirme sağlandıktan sonra çalışmaya başlanmaktadır. Ayrıca proje bitiminde, kurum çalışanlarına kişisel verileri koruma Kanununa uyum sürecine ilişkin yeni politika ve isleyişe ilişkin eğitimler de organize edilmektedir.

Farkındalık eğitimleri tüm şirket çalışanlarının katılacağı şekilde düzenlenebilmektedir. Şirketin ihtiyaçları ve sektörüne göre kuruma özel eğitim programları hazırlanıp farklı modüllerin eğitimlere eklenmesi mümkündür. Farkındalık eğitimi uzmanlarımız tarafından verilmektedir.

KVKK uyum başta yönetim kurulu olmak üzere tüm yönetimin sorumluluğu ve sahipliği ile mümkündür. Etkin ve sistematik bir yönetim ise kurum içerisindeki ilgili tüm birimlerin bu sürece katılmasını zorunlu kılmaktadır.

BEDAM olarak, şirket organizasyon yapısını göz önünde bulundurarak uyum için yetkinlikleri değerlendirip gereksinimleri analiz ediyoruz.  Kişisel verilerin korunması kapsamında kişisel veri işleme süreçleriyle ilgili yeni oluşabilecek rol ve sorumlulukların belirlenmesi, görev tanımlarının çıkarılması, ilgili sorumluların eğitimi ve farkındalığın sağlanması dahil olmak üzere kapsamlı danışmanlık hizmeti sunmaktayız.

Başkent Üniversitesi
Eğitim ve Danışmanlık Hizmetleri Merkezi

İrtibat kurulacak kişi;
Ömer Faruk İşler
0533 306 19 04
bedam@baskent.edu.tr