Bİ ARTI
DANIŞMANLIK
1. Kişisel Verilerin Korunması neden gereklidir?
Kişisel Verilerin Korunması ihtiyacı, Anayasamızda;
IV. Özel hayatın gizliliği ve korunması
A. Özel hayatın gizliliği
MADDE 20- Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Mülga cümle: 3/10/2001-4709/5 md.)
Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
maddesi ile güvence altına alınmış olup;
4.7.2016 tarihinde Resmi Gazetede yayınlanan 6698 sayılı kanun ile hayatımıza girmiştir. Dünyada gelişen teknoloji, artan veri ve veri transferi ile birlikte, veri hırsızlığı ve verinin kötü amaçla kullanımı da artmış olup, verilerin korunması ihtiyacı ortaya çıkmıştır.
2. Kanunda yer alan diğer bazı tanımlar
-
KVKK: Kişisel Verilerin Korunması Kanunu
-
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
-
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
-
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
-
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
-
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
-
Kurul: Kişisel Verileri Koruma Kurulunu,
-
Kurum: Kişisel Verileri Koruma Kurumunu,
-
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
-
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
-
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
-
TCK: Türk Ceza Kanunu
3. Kimler Kişisel Verilerin Korunası Kanunu’na tabidir?
6698 Sayılı Kanun
Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
İstisnalar dışındaki bütün gerçek ve tüzel kişiler kanuna tabidir. İstisnalar aşağıdaki gibidir;
6698 Sayılı Kanun
İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
4. Kişisel veri nedir?
Kişisel veriye aşağıdaki örnekler verilebilir.
Ad, Soyad, Kimlik no, Paasport no, Telefon no, Özgeçmiş, Meslek bilgisi, Medeni durum, Adres, E-posta
5. Nitelikli kişisel veri nedir?
Nitelikli kişisel veriye aşağıdaki örnekler verilebilir.
Irk, etnik köken, siyasi düşünce, dernek/sendika/vakıf üyeliği, din, mezhep, inançlar, kılık kıyafet, sağlık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler
6. Kanun önünde kişisel ve nitelikli kişisel veri arasındaki fark nedir?
Kanun, nitelikli kişisel veriye daha fazla önem vermiş olup, veri ihlali durumunda, KVKK ve TCK’da cezai müeyyideler, nitelikli kişisel veriler için daha yüksektir. Kanunda ayrıca, nitelikli kişisel veri işleyen tüm işyerlerine VERBİS’e kayıt zorunluluğu getirilmiştir.
7. VERBİS (VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ) nedir?
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu tarafından Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumlularının bu sisteme kayıt olması gerekmektedir. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir
8. VERBİS kaydını kimler yaptırmalıdır?
Özel nitelikli kişisel veri işleyen tüm işyerleri (istisnalar hariç) ve bilanço aktif büyüklüğü 25 Milyon TL üzeri veya 50’den fazla çalışanı olan işyerleri için VERBİS’e kayıt ve bildirim yapma zorunluluğu vardır.
9. VERBİS’e ne kaydediliyor?
VERBİS’ kayıt yapmak için öncelikle Kişisel veri envanterinin çıkarılması gerekir. Kişisel veri envanteri aşağıdaki verileri içermelidir.
-
Kişisel ve özel nitelikli kişisel veri kategorileri (Kimlik, İletişim, Sağlık gibi)
-
Kişisel ve özel nitelikli veri başlıkları (Ad, Soyad, TC Kimlik no, Kan grubu, Sağlık verileri gibi)
-
Kişisel verinin işlendiği bölüm (İnsan Kaynakları gibi)
-
İşleme amacı (Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi gibi)
-
Verinin tutulduğu format (fiziksel/dijital)
-
Verinin bulunduğu yer (Arşiv, Sabit disk, Bulut gibi)
-
Veri konusu kişi grubu (Çalışan, Müşteri, Tedarikçi gibi)
-
Veri işlemenin hukuki sebebi (Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması gibi)
-
İlgili mevzuat (4857 sayılı iş kanunu, 6331 sayılı İş Sağlığı ve Güvenliği kanunu gibi)
-
Saklama süresi (Yasal veya idari olarak belirlenmiş süre)
-
Alıcı grupları (Gerçek veya özel hukuk tüzel kişileri, Yetkili kamu kurum ve kuruluşlarıi Müşteriler, Tedarikçiler gibi)
-
Yabancı ülkelere aktarılan veriler (Varsa)
-
Bilgi güvenliği idari tedbirler
-
Bilgi güvenliği teknik tedbirler
10. VERBİS kaydı nasıl yapılır?
-
Web tarayıcınızdan verbis.kvkk.gov.tr adresine gidin.
-
“Veri sorumlusu yönetici girişi” linkini tıklayın.
-
Gelen sayfada, daha önce kayıt yapmadıysanız, “Kayıt olun” linkini tıklayın.
-
“Yurt içinde yerleşik tüzel/gerçek kişi” linkini tıklayın ve kayıt formunu oluşturup, oluşturulan kayıt formunu kaydedin.
-
Kişisel Verileri Koruma Kurumundan başvurunuzun alındığına dair e-posta gelecek.
-
Başvuru formunuzu, KEP adresiniz varsa KEP adresi üzerinden kvkk.verbis@hs01.kep.tr adresine, yoksa posta ile KVKK kurumuna gönderin. (Konu kısmına başvuru numarası yazılacak)
-
Kurumdan, kullanıcı adı ve şifre e-postası gelir. Bu kullanıcı ve şifreyle; verbis.kvkk.gov.tr adresindeki Veri Sorumlusu Yönetici Girişine giriş yapın ve İrtibat Kişisini tanımlayın. (İrtibat kişisi, kurumla, Veri Sorumlusu arasındaki iletişimi sağlayan gerçek kişidir.)
-
Verbis.kvkk.gov.tr adresinden “Sicile kayıt” linkini tıklayın ve “E-devlet ile giriş” butonunu tıklayın.
-
Tanımlanan irtibat kişisinin e-devlet hesabıyla, www.turkiye.gov.tr adresinden E-devlet’e giriş yapın.
-
Sayfadaki taahhütnameyi kabul edip profili tamamlayın.
-
Bildirim linkini tıklayıp, “Yeni bildirim oluştur” butonunu tıklayarak Veri Envanterinizi Verbis’e kaydedin
11. İrtibat kişisi kimdir?
İrtibat kişişi Veri sorumlusu tarafından atanmış ve Kişisel Verilerin Korunması Kurumu ile Veri sorumlusu arasındaki iletişimi sağlayacak gerçek kişidir.
12. Kişisel veriler hangi durumlarda işlenebilir?
Kişisel veriler, istisnalar dışında, ilgili kişinin açık rızası olmaksızın işlenemez. İstisnalar şunlardır;
-
Kanunda ön görülmüş olma
-
Fiili imkansızlık
-
Sözleşmenin kurulması /ifasıyla ilgili gerekli olma
-
Veri sorumlusu için zorunlu olma
-
Veri sahibinin alenileştirmiş olması
-
Hakkın tesisi, kullanılması veya korunması için zorunluluk
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
13. Aydınlatma yükümlülüğü nedir?
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür. Bunun için Ver Sorumlusu aydınlatma metinleri hazırlamalı ve bunları erişilebilir yerlerde yayınlamalıdır.
Aydınlatma metinlerinden bazıları aşağıdadır.
-
Genel aydınlatma metni
-
Çalışan aydınlatma metni
-
Çalışan adayı aydınlatma metni
-
Ziyaretçi aydınlatma metni
-
Kameralı bölge aydınlatma metni
-
Veri imha aydınlatma metni
14. Veri sahibinin hakları nelerdir?
-
Kişisel verisinin işlenip işlenmediğini öğrenme,
-
İşlenmişse buna ilişkin bilgi talep etme,
-
İşlenme amacını ve bu amaca uygun olarak kullanılıp kullanılmadığını öğrenme,
-
Eksik/yanlış işlenmesi durumunda düzeltilmesini isteme,
-
Verilerin yok edilmesini veya silinmesini isteme,
-
Veriler aktarılmışsa, üçüncü kişilere bildirilmesini isteme,
-
İşlenen verilerin analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
-
Hukuka aykırı işlenmesi halinde zarar görürse zararın giderilmesini talep etme.
15. Veri güvenliği tedbirleri nelerdir?
Veri güvenliği tedbirleri idari ve teknik olmak üzere ikiye ayrılır.
İdari tedbirler;er
-
Kişisel Veri İşleme Envanteri Hazırlanması
-
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
-
Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
-
Gizlilik Taahhütnameleri
-
Kurum İçi Periyodik ve/veya Rastgele Denetimler
-
Risk Analizleri
-
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
-
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
-
vb.)
-
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
-
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Teknik tedbirler;
-
Yetki Matrisi
-
Yetki Kontrol
-
Erişim Logları
-
Kullanıcı Hesap Yönetimi
-
Ağ Güvenliği
-
Uygulama Güvenliği
-
Şifreleme
-
Sızma Testi
-
Saldırı Tespit ve Önleme Sistemleri
-
Log Kayıtları
-
Veri Maskeleme
-
Veri Kaybı Önleme Yazılımları
-
Yedekleme
-
Güvenlik Duvarları
-
Güncel Anti-Virüs Sistemleri
-
Silme, Yok Etme veya Anonim Hale Getirme
-
Anahtar Yönetimi
16. Veri ihlali durumunda ne tür cezalar söz konusudur?
5237 TÜRK CEZA KANUNUNDAKİ BAZI CEZALAR
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli haller
Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNDAKİ BAZI CEZALAR
BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler
Suçlar
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
17. VERBİS kaydı yapmak kanunun gerektirdiği yükümlülüğü karşılar mı?
VERBİS kaydı yapmak kanuni yükümlülüğü karşılamaz. VERBİS kaydı sonrasında, gerçeğe uygun şekilde veri envanteri girilmeli ve diğer VEBİS soruları cevaplanmalıdır.
Ayrıca kanun, Veri sorumlusuna, kişisel verilerin korunması yükümlülüğünü vermekte olup, Veri Sorumlusunun, veriyi korumak için her türlü idari ve teknik tedbiri alması gerekir. Bu yükümlülük VERBİS kayıt zorunluluğu olmayan işyerleri için de geçerlidir.
18. VERBİS kaydını ve bildirimini kendimiz yapabilir miyiz?
VERBİS Kaydı Veri sorumlusu tarafından kolayca yapılabilir. 10. Maddede kaydın nasıl yapılacağı anlatılmıştır. Fakat kayıt sonrası “Bildirim” yapmak için öncelikle 9. Maddede anlatılan VERBİS’e kaydedilen bilgilerin hazırlanması gerekir. Bu bilgilerin hazırlanması için, Bilgi Güvenliği ve KVK mevzuatı ile ilgili uzmanlık gereklidir. İşyeri bünyesinde Bilgi Güvenliği ve KVK mevzuatı ile ilgili uzmanlık varsa, bu uzmanlık kullanılarak gerekli veriler hazırlanabilir. İşyerinde Bilgi Güvenliği ile ilgili uzmanlık yoksa, bu konuda dışarıdan yardım alınmasını öneririz.
19. VERBİS’e gizli verilerin girişini mi yapacağız?
Bu konuda genel bir yanlış anlama mevcut olup, VERBİS’e gizli verilerin aktarılacağı kanısı mevcuttur. VERBİS’e gizli verilerin girişi yapılmayacak, sadece veri kategori adları girilecektir. Ayrıca VERBİS’e girilecek diğer bilgiler 9. maddede verilmiştir.
20. Kişisel Verilerin Korunması ile ilgil daha fazla kaynağı nereden bulabilirim?
https://www.kvkk.gov.tr/Icerik/2030/Rehberler adresinde Kişisel Verilerin Korunması ile ilgili çok sayıda doküman bulunabilir.
21. Sitenizde satılan KVKK Paketi Kişisel Verilerin Korunması ile ilgili tüm ihtiyacımı karşılar mı?
Kişisel Verilerin Korunması ile ilgili süreç aşağıda verilmiştir. Paket sürecin büyük bir kısmını kapsamakta olup, uzmanlık gerektiren alanlarda ilave danışmanlık gerekmektedir.
-
Veri Sorumlusu olarak, KVKK (Kişisel Verilerin Korunması Kanunu) ile ilgili politika, prosedür, aydınlatma metni, sözleşme ve diğer ilgili dokümantasyona sahip olun. (Bu paketle birlikte sağlanmaktadır.)
-
İşyerinize ait Kişisel Veri Envanterini çıkarın. (Paket içindeki Veri_Envanteri_Tablosu.xlsx tablosunu doldurun)
-
KVKK İrtibat kişisi belirleyin ve VERBİS kayıt başvurunuzu yapın.
-
İşyerinizde bilgi güvenliği konusunda var olan veya eksik olan Teknik ve İdari tedbirleri tespit edin/ettirin.
-
VERBİS başvurunuz sonunda gelen kullanıcı adı ve şifresi ile Verbis Kaydınızı yapın. (Paket içindeki Verbis_kayıt_süreci.pdf dosyasındaki yönerge izlenmelidir.)
-
Kişisel Veri envanterinizi ve ve işyerinizde Bilgi Güvenliği konusunda alınan Teknik ve İdari tedbirleri VERBİS’e girin.
-
Bilgi Güvenliği ile ilgili teknik ve idari önlemler konusunda eksikleriniz varsa bunları hazırlanacak bir plan çerçevesinde giderin.
-
Çalışanlarınıza KVKK farkındalık eğitimleri aldırın.
-
Aydınlatma metinlerini, web siteniz ve/veya başka ortamlarda yayınlayın. (Paket içinde örnekler mevcuttur.)
-
Çalışanlarınız ile KVKK ve Bilgi Güvenliği sözleşmeleri yapın. (Paket içinde örnek mevcuttur.)
-
Tedarikçilerinizle KVKK ve Bilgi Güvenliği sözleşmeleri yapın. (Paket içinde örnek mevcuttur.)
-
Yasal düzenlemeleri takip ederek bilgi güvenliği konusunda önlemlerinizi güncel tutun.
-
Belirli aralıklarla Bilgi Güvenliği Risk Değerlendirmesi yaparak/yaptırarak risklerinizi tespit edin ve giderin.
-
Bir veri ihlali yaşanması durumunda, yayınladığınız politika ve prosedürlere uygun olarak işlemlerinizi yerine getirin. (Paket içinde prosedür mevcuttur.)
Uyarı notu:
Bu paketle sağlanan dokümanlar, dikkatlice okunmalı, işyeri adı, ünvanı, adresi, tarih vb. bilgiler girilmeli ve işyerine uygun olmayan kısımlar varsa güncellenmeli ve prosedürler uygulamaya alınmalıdır.
Bu paket KVKK konusunda işyerlerine başlangıç bilgilerini sağlamakta olup, daha detaylı bilgi ve danışmanlık ihtiyacı olursa, Bi Artı Danışmanlık firmasından (www.biartidanismanlik.com) danışmanlık hizmeti alınabilir.