Veri sorumluları, KVKK gereğince bir uyum planı hazırlamalı ve bu planı izleyerek kişisel verilerin korunması ile ilgili yükümlülüklerini gerçekleştirmelidir. Bu içeriğimizde, madde madde bir uyum planı düzenleyecek ve veri sorumlularının uyum sürecinde hangi etapta olduklarını saptamalarını sağlayacağız.
1. Hâlihazırdaki Durumun Saptanması
- Hâlihazırda toplanan ve işlenmekte olan kişisel verilerin saptanması
- Toplanan ve işlenmekte olan kişisel verilerin toplanma ve işlenme maksatlarının, bu verilere henüz lazım olup olmadığının ve bu verilerin ne kadar süre zarfında muhafaza edilmesi gerektiğinin saptanması
- Üçüncü kişilere iletilen kişisel verilerin ve bunların iletim maksatlarının saptanması
- Kişisel verileri toplanan ve işlenen kişilerle ilgili aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediğini ve bu kişilerden açık rıza alınıp alınmadığının saptanması
- Kişisel verilerin korunması ile alakalı hâlihazırdaki idari ve teknik önlemlerin saptanması
2. Teknik Önlemlerin Belirlenmesi ve Uygulamaya Geçirilmesi
- Uyum sürecine öncülük edecek kişilerin yetkilerinin belirlenmesi
- Kişisel verilere erişim ile kişisel verilerin işlenmesi ve çalışanların kullanıcı hesap yönetim sistemi kurulması ile alakalı yetkilerinin belirlenmesi
- Kişisel verilerin korunduğu ve işlendiği bilişim sistemlerinin uygulama, sistem ve ağ güvenliğinin sağlanması
- Kişisel verilerin korunması ile alakalı risk tespitlerinin, güvenlik testlerinin ve diğer kontrollerin yapılması
- Kullanıcılar aracılığıyla güvenli şifrelerin kullanılmasının sağlanması, şifre güvenliği için ilâve önlemlerin alınması ve anahtar idaresinin sağlanması
- Kişisel verilerin bölümlendirilmesi ve kamufle edilmesi
- Kişisel verilerin kaybolmasını ya da zarar görmesinin önüne geçmek maksadıyla gerekli önlemlerin alınması
- Saklanmasına gerek kalmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
3. Yönetmeliğe Uygunluk Kontrolünün Yapılması
- Kişisel verilerin işlenmesi ve saklanması ile alakalı yükümlülüklere uygunluğun kontrolü
- Kişisel verilerin yurt içinde iletimi ile alakalı yükümlülüklere uygunluğun kontrolü
- Kişisel verilerin yurt dışına iletimi ile alakalı yükümlülüklere uygunluğun kontrolü
- Pazarlama ve reklam etkinliklerinin kişisel verilerin korunması ile alakalı yönetmeliğe uygunluğunun kontrolü
- Özel nitelikli kişisel verilerin işlenip işlenmediğinin saptanması ve özel nitelikli kişisel verilerin yönetmeliğe uygun işlenip işlenmediğinin saptanması
4. Kurumsal Dokümanların Düzenlenmesi ve Kişisel Veri Envanteri Hazırlanması
- Kişisel Veri Envanterinin düzenlenmesi
- Erişim, bilgi güvenliği, çerez, saklama ve imha politikaları ile veri sorumlusunun faaliyetlerine dair gereken diğer politikaların düzenlenmesi
- Kişisel veri ihlal işlemi, açık rıza prosedürü, yurt dışına iletim yönteminin ve veri sorumlusunun faaliyetleri ile alakalı gereken diğer yöntemlerin düzenlenmesi
- Üçüncü kişilerle ve çalışanlarla yapılan sözleşmelere kişisel verilerin korunmasına ilişkin hükümler eklenmesi, üçüncü kişilerle gizlilik sözleşmelerinin imzalanması ve kurum içi disiplin mevzuatlarının kişisel verilerin korunması ile alakalı yükümlülükler eklenerek yenilenmesi
5. Aydınlatma Metinleri ve Açık Rıza Beyanlarının Düzenlenmesi
- KVKK çerçevesinde aydınlatma yükümlülüğünün gerçekleştirilmesi amacıyla, kişisel verilerin işlenme maksadı, kişisel verilerin iletileceği kişiler ve iletim maksatları, kişisel verilerin toplanma yöntemi ve hukuki dayanağı ile alakalı kişinin haklarını saptayan aydınlatma metinlerinin düzenlenmesi
- Kişisel verilerin işlenmesi ve iletilmesine dair ilgili kişiden sağlanacak açık rıza beyanlarının düzenlenmesi
6. Veri Sorumlusuna Başvuru Usulünün Saptanması ve Başvuru Sisteminin Kurulması
- İlgili kişi aracılığıyla KVKK çerçevesindeki istekleriyle alakalı olarak, veri sorumlusuna yapılan başvuru yönteminin saptanması ve başvuru sisteminin buna uygun olarak kurulması
7. Çalışanların Eğitimi
- Kişisel verilerin korunması ile alakalı çalışanlara düzenli aralılarla eğitimler verilmesi ve farkındalık çalışmalarının gerçekleştirilmesi
- Yeni işe girişlerde kişisel verilerin korunması konusunda işbaşı eğitimlerinin verilmesi
8. VERBİS Kayıt İşlemi
- Veri sorumlusu ve veri sorumlusu temsilcisine ait kimlik ve adres bilgileri ile ilgili bilgi formunun doldurularak VERBİS kayıt işleminin yapılması
- Veri sorumlusu tarafından VERBİS aracılığı ile irtibat kişisinin atanması
- Veri grupları, kişisel veri işleme amaçları, veri iletim alıcı grupları, veri konusu kişi grupları ve veri güvenlik önlemlerine ilişkin bildirimin VERBİS tarafından yapılması
Yazar: Zehra Betül Taşkın
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/4199/Kamuoyuna-Duyuru
Benzer: https://www.nesilteknoloji.com/kvkkya-uyum-tedbirleri/
