Kişisel Verilerin Korunması Kanunu Nedir?

KVKK kişisel verilerin işletmelerden veya özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.
KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır.

KVKK Nedir?

KVKK İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin korunması kanunu temelde verilerin değil kişisel verilerin sahibi olan bireyleri korumayı amaçlamaktadır. Kişisel verilerin işlenmesi ve bir düzen altına alınması ile temel hak ve özgürlükler korunmaktadır. Özellikle başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilme ya da farklı olumsuzluklara maruz kalabilme durumlarının önüne geçmek için kişisel verilerin korunması sağlanmaktadır.

KVKK İdari Tedbirler Kapsamı


KVKK İDARİ TEDBİRLER


  • Kişisel Veri Envanterleri
  • Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Politikalar
  • Kişisel Veri Saklama ve İmha Politikaları
  • Veri İmha Süreçlerinde Kullanılan Veri İmha Tutanakları
  • Veri Toplama Kanalları İçin Aydınlatma ve Rıza Metinleri
  • Kişisel Veri Aktarım Sözleşmeleri
  • KVKK Denetim Prosedürleri
  • Personellere İmzalatılmak Üzere Gizlilik Taahhütnameleri
  • Disiplin Yönetmeliğine Kişisel Verilerin Korunmasına İlişkin Hükümler
  • Kişisel Veri İhlallerine İlişkin Prosedürler
  • Kişisel Veri Başvurularına İlişkin Prosedür ve Kişisel Veri Sahibi Başvuru Formu
  • İnternet sitesinin ve/veya mobil uygulamalarının KVK Uyumu
  • Yapılan İncelemelerde Tespit Edilen İdari Gereklilikler
  • VERBİS Kaydı
KVKK Teknik Tedbirler Kapsamı


KVKK TEKNİK TEDBİRLER


  • Penetrasyon Sızma Testi / Zaafiyet Taraması
  • Yetki Kontrolü / Active Directory
  • Yetki Matrisi / Active Directory
  • Kullanıcı Hesap Yönetimi / Active Directory
  • 5651 Loglama Kaydı / Zaman Damgası
  • Network Ağ Güvenliği / Firewall Güvenlik Duvarı
  • Uygulama Güvenliği / Güçlü Antivirüs Yazılımları
  • Saldırı Tespit ve Önleme Sistemleri / Firewall Güvenlik Duvarı
  • Veri Şifreleme ve Maskeleme / DLP Çözümleri
  • Veri Sızmasının Engellenmesi / DLP Çözümleri
  • Veri Kaybının Engellenmesi / Lokal ve Bulut Yedekleme
  • Güncel Antivirüs Sistemleri / Uçtan Uca Koruma
  • Silme, Yok Etme ve Anonim Hale Getirme / Veri Yok Etme Yazılımları
  • Anahtar Yönetimi / Güvenli Şifre Oluşturma Yazılımları
1

ANALİZ

KVKK'da belirtilen süreçlerinin belirlenmesi, kanun kapsamındaki gerekli çalışmaların başlatılması ve şirket çalışanlarının eğitimlerinin planlanması süreçlerini sağlanmaktadır.

2

İŞLEM VE UYGULAMA

KVKK'da belirtilen gereksinimlerin belirlenmesi, tedbir kapsamındaki gerekli çalışmaların başlatılması ve şirket çalışanlarının eğitimlerinin planlanması süreçlerini sağlanmaktadır.

3

İZLEME

KVKK süreçleri kapsamında gerçekleştirilen tüm hizmetlerin sonunda sizi yalnız bırakmıyor. Sistemsel denetleme, izleme ve önlem alarak işletmelere bilgi akışını sağlamaya devam etmektedir.

1) GAP Analizi ve Durum Tespiti

  • İşletme Faaliyetlerinin ve Süreç/İş akışlarının Analiz Edilmesi ve bu kapsamda alınan İdari ve Teknik Tedbirlerin Tespiti
  • Çalışan, Müşteri, Ziyaretçi ve Tedarikçi Verilerine İlişkin Süreçlerin Analizi (Türleri, İşleme Amaçları, Toplama Kanalları, Hukuksal Nedenler, Aktarımlar)
  • İşletmede bulunan bilgi güvenliği ve verilerin korunmasına ilişkin politika ve prosedürlerin incelenerek, yeterlilik analizi ve iyileştirme noktalarının belirlenmesi
  • Tüm sözleşme tiplerinin (Müşteri sözleşmeleri, tedarikçi sözleşmeleri, personel sözleşmeleri vb.) KVKK kapsamında uyum durumunun incelenmesi ve uygunluğunun sağlanması için iyileştirme yapılacakların belirlenmesi.

2) Proje Süreçlerine İlişkin İş Adımları ve Uygulama Desteği

  • Kişisel veri yönetimine ilişkin kurumsal görevlendirme, iletişim yapısı ve başvuru yönetimine ilişkin organizasyon, görev tanımı ve süreç yönetimi oluşturulacaktır.
  • Bilgi Teknolojileri alanında kullanılan sistem, uygulama ve bilgi güvenliği risklerinin özdeğerlemesi yapılacaktır.
  • Bilgi Güvenliği kapsamında sözleşmeler gözden geçirilecek ve Gizlilik Taahhütnameleri oluşturulacaktır. (Personel, Tedarikçi, Müşteri vs.)
  • Yasal uyumluluk, KVKK ve buna ilişkin ikincil mevzuatın taleplerinin karşılanması ve iş ihtiyaçları doğrultusunda önerilerinde bulunulacaktır
  • Teknik tedbirler kapsamında şirketin yapması gereken çalışmalara ilişkin öneriler paylaşılacak, 27001 Bilgi Güvenliği örnek dokümanları paylaşılacaktır.
  • Hazırlanan Veri Envanterinin VERBİS’e kaydı şirket ile birlikte yapılacaktır. (25 milyon aktif ya da 50 çalışan sayısının altında olan firmalar hariç)
  • Şirket çalışanlarına KVKK Farkındalık Eğitimi verilecektir.
  • İdari tedbirler başlığında sayılan Risk Analizi ve Denetim Raporu hazırlanacaktır. (Tespit edilen hususların iyileştirilmesi amacıyla yol haritası hazırlanacaktır.)
  • Veri amaçları kategorize edilecek ve süreçlerin süreç ve bilgi güvenliği açısından kanun ile olan uyumluluğu (istisnalar, açık rıza gereksinimi, aktarım süreçleri, saklama süreleri vs.) analiz edilerek, nihayetinde veri envanteri oluşturulacaktır.
  • “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” e uygun şekilde Aydınlatma ve Açık Rıza metinleri oluşturulacaktır. (Çalışan, Çalışan Adayı, Ziyaretçi, Müşteri, Tedarikçi vs. için ayrı ayrı)
  • Şirketin mevcut süreç ve faaliyetleri incelenerek, süreç sahipleriyle birlikte kişisel verilerin tespit edilmesine ve veri envanteri oluşturulmasına yönelik olarak analizler yapılacaktır.
  • Kişisel Verilerin Koruma Kurumunun yayınlamış olduğu Kişisel Veri Güvenliği Rehberindeki idari tedbirleri karşılayacak şekilde şirket için Kişisel Verilerin İşlenmesi ve Korunması Politikası, Veri Saklama ve İmha Politikası, Özel Nitelikli Kişisel Verilere İlişkin Önlem Politikaları, Bilgi Güvenliği Politikaları ve prosedürler oluşturulacaktır.

3) Proje Kapsamında Hazırlanan Dökümanlar

  • Şirket Kişisel Veri Envanterinin Hazırlanması
  • Şirket Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Politika Hazırlanması
  • Şirket Kişisel Veri Saklama ve İmha Politikası’nın Hazırlanması
  • Şirket Kişisel Veri İmha Süreçlerinde Kullanılmak Üzere Kişisel Veri İmha Tutanağı Hazırlanması
  • Şirket Kişisel Veri Envanteri Hazırlanırken Tespit Edilen Diğer Kişisel Veri Toplama Kanalları İçin Aydınlatma ve Rıza Metinlerinin Hazırlanması.
  • Kişisel verilerin Şirket dışına aktarımı için kullanılmak üzere Kişisel Veri Aktarım Sözleşmeleri Hazırlanması.
  • Şirket KVKK Denetim Prosedürünün Hazırlanması.
  • Şirket Çalışanlarına İmzalatılmak Üzere Gizlilik Taahhütnamesi Hazırlanması.
  • Şirket Disiplin Yönetmeliğine Kişisel Verilerin Korunmasına İlişkin Hükümlerin Eklenmesi.
  • Şirket Kişisel Veri İhlallerine İlişkin Prosedür Hazırlanması.
  • Şirket Kişisel Veri Başvurularına İlişkin Prosedür ve Kişisel Veri Sahibi Başvuru Formu Hazırlanması.
  • Şirket İnternet Sitesinin ve/veya Mobil Uygulamalarının KVK Uyumunun Yapılması.
  • Şirkette Yapılan İncelemeler Sonucunda Tespit Edilen Tüm Diğer İdari Gerekliklerin Sağlanması.

4) Teknik Tedbirlerin Çözümü

  • Penetrasyon Sızma Testinin Deskport ekibi tarafından TSE ve ISO Standartlarında Yapılması ve Raporlanması.
  • Zaafiyet Raporunda Tespit Edilen Açıkların Kapatılmasına Yönelik Çalışmaların Sağlanması.
  • İç ve Dış Network Ağının Korunmasına Yönelik Firewall Güvenlik Duvarının Devreye Alınması.
  • 5651 Loglama Sisteminin Devreye Alınarak Şirket İçindeki Tüm İnternet Trafiğinin Yasaya Uygun Bir Şekilde Log Kaydının Tutulması.
  • Veri Güvenliğinin Sağlanmasına Yönelik Güncel Antivirüs Sistemlerinin Devreye Alınarak, DLP ve Veri Şifreleme Yazılımlarının Aktifleştirilmesi.
  • IPS / IDS Saldırı Tepit ve Önleme Sistemlerinin Aktifleştirilerek Dışarıdan Gelebilecek Her Türlü Saldırının Önceden Haberinin Alınarak Gerekli Önlemlerin Sağlanması
  • Yetki Kontrollerinin Belirlenip Aktifleştirilmesine Yönelik, Şirket İçerisindeki Donanımların "Active Directory" Yapısına Yeterliliğine İstinaden, Alt Yapı Çalışmalarının Başlatılıp Sistemin Devreye Alınarak Yetki ve Kontrollerin Sağlanması.
  • Veri Kaybı Riskini ve İhtimallerini Ortadan Kaldırmak ve Veriyi Güvenli Sağlıklı Bir Şekilde Yasaya Uygun Yazılım ve Sunucularda Yedeklerinin Alınmasına Yönelik Sistemin Devreye Alınması.
  • Şirket Çalışanlarına Siber Güvenlik Farkındalık Eğitiminin Verilmesi.

ISO 27001
Bilgi Güvenliği Yönetim Sistemi

Hizmetlerimizi Uluslararası ISO 27001 Kalite Standartlarına Uygun Vermekteyiz.

ISO 27701
Kişisel Veri Yönetim Sistemi

Hizmetlerimizi Uluslararası ISO 27701 Kalite Standartlarına Uygun Vermekteyiz.

ISO 9001
Kalite Yönetim Sistemi

Hizmetlerimizi Uluslararası ISO 9001 Kalite Standartlarına Uygun Vermekteyiz.

İLETİŞİME GEÇ

Deskport en zor anlarınızda yanında olacaktır.

KVKK Uyum Süreci Danışmanlığı ile ilgili bizimle iletişime geçebilirsiniz.