KVKK ve GDPR Danışmanlık Hizmetleri
Hizmet Kapsamı
KVKK ve GDPR Danışmanlık Hizmetimizin Kapsamı Nedir?
Kişisel Verilerin Korunması Kanunu (“KVKK”) veya (“Kanun”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile; Kanun ve GDPR kapsamına giren gerçek ve tüzel kişilere getirilen yükümlülüklerin tanımlanması, bu yükümlülüklerin uygun bir şekilde yerine getirilmesi için veri kayıt sistemlerinin, sözleşmelerin, ilgili formların gözden geçirilerek uyumlandırılması, kişisel verilerin toplanmasına, işlenmesine, paylaşılmasına ve silinmesine ilişkin politika, prosedür, yönetmeliklerin incelenip gerekli değişikliklerin yapılması ve/veya ihtiyaç duyulan yerlerde yeniden oluşturulması dahil olmak üzere kişisel verilerin korunmasına ilişkin kapsamlı bir şekilde KVKK ve GDPR hukuki danışmanlık hizmetini Köksal&Partners ile birlikte sunmaktayız.
KVKK ve GDPR Danışmanlığında İş Süreçleri Analizi Nasıl Gerçekleştirilmektedir?
KP Veri Danışmanlığı olarak, kişisel verileri koruma ve Kanun’a uyumluluk kapsamında kurumların iş süreçlerini bütün detaylarıyla incelemekte ve süreçlerin KVKK ve GDPR’a uyumluluğu için ihtiyaç duyulan eksik veya iyileştirme gereken noktaları belirleyerek bu değişikliklerin iş akışlarını aksatmadan hayata geçirilmesi, kurumların KVKK’ya uyumluluğu sağlayarak olası risklerinin azaltılması ve idari para cezalarının önüne geçilmesi konusunda alanında uzman avukatlarımızla birlikte hizmet vermekteyiz.
Danışmanlık işlerini yürüttüğümüz her kurumun, içinde bulunduğu sektör baz alınarak, her iş birimi için kişisel veri işlenmesine ilişkin iş süreç ve akışlarını analiz ederek iyileştirmeler yapılmakta, KVKK ve GDPR ile uyumluluğun sağlanması için gerekli tüm aksiyonlar alınmaktadır. Mevcut iş akışlarında;
ihtiyaç duyulan iyileştirme ve değişikliklerin yapılması,
iş akışlarına uygulanabilir kurallar entegre edilmesi
KVKK’nın getirdiği yeni düzenleme gerektiren alanlarda da (ilgili kişinin başvuruları, itiraz ve şikayet süreçleri gibi) kurum işleyişine göre yeni iş süreç ve akışları,
deneyimli süreç analistleri tarafından oluşturulmaktadır.
KVKK ve GDPR Uyum Sürecinde Veri Yönetimi Nasıl Yapılmalıdır?
Veri Envateri ve Analizi
Uyum süreci kapsamında öncelikle kurumların sahip oldukları kişisel verileri tanımlamaları kritik önem taşımaktadır. Sağlıklı bir kişisel veri envanterinin çıkarılması adına hangi kişisel verilerin işlendiği, hangi yöntemlerle elde edildiği, hangi amaç ve hukuki sebeplerle işlendiği vb. soruların kurumlardaki tüm iş birimleri ve süreçleri kapsayacak şekilde cevaplanması ile mümkündür.
Daha kapsamlı, tüm resmi yansıtan ve birebir, net bir veri envanterinin çıkarılması amaçlanıyorsa –ki tarafımızca envanterin bu şekilde çıkarılması tavsiye edilmektedir– veri analiz ve sınıflandırma yazılımlarından faydalanılması gerekmektedir. KP Veri Danışmanlığı, veri envanteri ve yönetimi konusunda beraber çalıştığı uzman çözüm ortaklarıyla bu tarz çözümleri de hizmetinize sunmaktadır.
Veri Yönetimi ve Güvenli Veri Yaşam Döngüsü
Kişisel verilerin etkin ve sistematik yönetimi ancak güvenli bir veri yaşam döngüsü oluşturulduğu takdirde mümkündür. Kurumların kişisel verilerinden yaşam döngüsü boyunca maksimum verimliliği alması ve bu yaşam döngüsü boyunca KVKK, GDPR ve kurum içi güvenlik politikalarına uyum sağlaması için ihtiyaç duyulan çözüm ve gereksinimleri belirleyerek çözüm ortaklarımız aracılığı ile bu alanlarda ihtiyaç duyacağınız veri sınıflandırma, etiketleme, depolama, arşivleme, yedekleme, imha etme, iş sürekliliği, teknik altyapınız için güvenlik yönetimi, uç nokta, e-posta ve mesajlaşma güvenliği çözümleri konularında da danışmanlık vermekteyiz.
Veri Güvenliği
KVKK ve GDPR kapsamında yetkili kurum/lar tarafından verilen idari para cezalarının veya talimatlandırmaların çoğunluğunu veri güvenliği ihlali oluşturmaktadır. İlgili mevzuatlara uygun olarak kişisel verilerin güvenliğini sağlamak için gerekli tedbirlerin alınması büyük önem arz etmektedir.
Veri güvenliği konusunda uzman çözüm ortaklarıyla işbirliği içerisinde hizmet veren KP Veri Danışmanlığı, veri güvenliğinin üç ana bileşeni olan gizlilik, bütünlük ve erişilebilirlik çerçevesinde gerçekleştirdiği analizler ve birebir incelemeler sonrasında kurumların kişisel verilerinin güvenliğini tehlikeye atabilecek unsurları ve/veya kurumun mevcut yapısındaki zafiyetleri tespit etmektedir. Bu bulgular ışığında, kurum iş süreçleri ile paralel olacak şekilde güvenlik politikaları ve prosedürleri oluşturulmaktadır. KP Veri Danışmanlığı , veri güvenliği ile ilgili olarak kurumların ihtiyaçlarına özel, uçtan uca çözümler önererek danışmanlık hizmeti sağlamaktadır. Veri sızıntısını önleme (DLP) ve şifreleme çözümleri gibi hususlar veri güvenliği için kullanılan etkin çözümler arasında sayılmaktadır.
KVKK kapsamında kurulacak olan veri güvenliği altyapısında amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirlik” kriterlerini yerine getirmek olmalıdır. Kanuna uyum süresince veri güvenliğine ilişkin alınacak teknik tedbirler, bu kriterler ışığında uygulanmalıdır.Veri Güvenliği Danışmanlığı, aynı zamanda veri sızıntısı veya verinin başkalarınca ele geçirilmesi gibi veri ihlali hallerinde müdahale planlarının hazırlanması, ilgili kurum ve kişilere yapılacak olan bildirimler ile ilgili süreçlerin ve veri güvenliğine ilişkin politikaların oluşturulması hususlarını da kapsamaktadır.
Veri İhlali
Veri ihlalleri, kurumunuza ait verilerin izinsiz olarak elde edilmesi, açığa çıkarılması, değiştirilmesi veya yok edilmesi durumu olarak adlandırılmaktadır. Siber saldırılar, hatalı kullanıcı davranışları veya kötü amaçlı yazılımlar gibi çeşitli nedenlerle meydana gelebilmektedir. Veri ihlali sonucunda kişisel verilerinizin, finansal bilgilerinizin, tıbbi kayıtlarınızın, şirketinize ait sırlar veya diğer hassas verilerin kaybı veya zarar görmesi olasıdır. Veri ihlali durumunda, ilgili taraflara bildirim yapmak önemlidir. Veri sorumlusunun veri ihlalini öğrenmesinden itibaren en kısa sürede (72 saat) ilgilisine ve Kişisel Verileri Koruma Kuruluna veri ihlal bildiriminde bulunması gerekmektedir. Veri ihlali bildirimi yapılarak, idari para cezalarının önüne geçilmesi, veri ihlali sebebiyle ilgili kişiler üzerinde oluşabilecek olumsuz sonuçların engellenmesi veya minimum seviyeye indirgenmesinin sağlanması adına tedbirlerin alınması amaçlanmaktadır.
KP Veri Danışmanlığı olarak, veri ihlali ve veri ihlal bildirimine ilişkin hususlarda kurumunuzun özel durumuna uygun adımları belirleyerek alanında uzman avukatlarımızla birlikte sizlere en iyi hizmeti vermekteyiz.
Organizasyon Uyumluluğu ve Farkındalık Eğitimleri
Farkındalık Çalışmaları ve Eğitimler
Kişisel verilerin korunması hususunda KVKK ve GDPR’a uyumun sağlanmasına dair kurum içi farkındalığın oluşturulması ve bu bilincin yönetim ve iş yapış süreçlerine yansıtılabilmesi için gerekli çalışma ve eğitimleri düzenliyor, kurumunuzun ihtiyacı olan danışmanlık hizmetini sunuyoruz.
Farkındalık eğitimi, KP Veri Danışmanlığı’nın kişisel verilerin korunması hususunda danışmanlık hizmetlerinin ana bileşenlerinden olup her çalışma öncesinde ilgili birimlere bu eğitim verilip gerekli bilgilendirme sağlandıktan sonra projeye başlanmaktadır. Ayrıca proje bitiminde, kurum çalışanlarına KVKK uyum sürecine, yeni politika ve işleyişe ilişkin eğitimler de organize edilmektedir.
Ayrıca kurumlara özel olarak, kişisel verileri korunması hakkında farkındalık eğitimleri, toplam 3 saat (yarım gün) olmak üzere ilgili tüm kurum çalışanlarının katılacağı şekilde düzenlenebilmektedir. Kurumun ihtiyaçları ve sektörüne göre kuruma özel eğitim programları hazırlanıp farklı modüllerin eğitimlere eklenmesi mümkündür. Farkındalık eğitimi, KP Veri Danışmanlığı tarafından konusunda uzman avukatlar tarafından verilmektedir.
Organizasyon ve Yönetişim Danışmanlığı
Kişisel verilerin koruması ve ilgili mevzuatlara uyum; başta yönetim kurulu olmak üzere tüm yönetimin sorumluluğu ve sahipliği ile mümkündür. Etkin ve sistematik bir yönetimin sağlanması için ise kurum içerisindeki ilgili tüm birimlerin bu sürece katılmasını zorunlu kılmaktadır.
KP Veri Danışmanlığı olarak, organizasyon yapısını göz önünde bulundurarak KVKK ve GDPR’a uyum için yetkinlikleri değerlendirip gereksinimleri analiz ediyoruz. Kişisel verilerin korunması kapsamında kişisel veri işleme süreçleriyle ilgili yeni oluşabilecek rol ve sorumlulukların belirlenmesi, görev tanımlarının çıkarılması, ilgili sorumluların eğitimi ve kurumsal farkındalığın sağlanması dahil olmak üzere kapsamlı danışmanlık hizmeti sunmaktayız.
Proje Metodolojisi ve Proje Yaklaşımı
Proje Metodolojisi
KVKK’ya uyumluluk kapsamında verdiğimiz danışmanlık hizmet içeriğimiz, kurum ihtiyaç ve yapılanmasına göre farklılaşabilmektedir. Burada esas alınan, KVKK’ya göre sadece bir uyumluluk yapılanması değil, kurumlara kişisel verilerin korunmasına yönelik uzun vadeli sürdürülebilir bir süreç ve yapı oluşturulmasıdır. Kurumların ihtiyaç ve taleplerine göre modüller bazında projelendirme imkanı da sunmakla beraber genel olarak aşağıdaki 3 aşamadan oluşan bir metodoloji takip etmekteyiz.
Mevcut Durum Analizi
Eksiklikleri İyileştirme ve Uyumlaştırma Süreci
KVKK Uyum Raporu ve Yol Haritası
Proje Yaklaşımı
KVKK’ya uyum, teknik, idari ve hukuki aksiyonlar alınmasını zorunlu kılmaktadır. KP Veri Danışmanlığı olarak biz, kurumların KVKK’ya uyumu için gerek KVKK, gerekse de AB’de yürürlükte olan GDPR hakkında hukuki bilgi ve uyum projesi deneyimi olan uzman hukukçu ekibimiz, süreç analistlerimiz ve olası teknik sorun ve ihtiyaçların belirlenmesi için çözüm ortaklarımız ile birlikte çalışma yürüterek KVKK ve GDPR danışmanlığı kapsamında bütünsel bir çözüm sunmaktayız.
Uyumluluk kapsamında birbirinden bağımsız farklı çalışmalar yürütmektense; tek bir danışmanlık çalışması ile şirketlerin tüm kişisel veri envanterini ortaya koyarak KVKK’ya uyum için gerekli teknik, idari ve hukuki tüm aksiyonları belirlemekteyiz. Aynı zamanda kurumların ihtiyaçlarına özel modüler çözümler de sunmaktayız.
KP Veri Danışmanlığı’nın bütünsel yaklaşımı ile paralel olacak şekilde; müşterilerimizin de kişisel verilerin korunması ve KVKK’ya uyum çalışmasına aynı özen ve sahiplik duygusuyla yaklaşmasını arzu etmekteyiz, nitekim Kanun’a uyum ve kişisel verilerin etkin ve sistematik yönetimi ancak şirketlerdeki tüm üst yönetimin sorumluluğu ve sahipliği ile mümkün olmaktadır. Kişisel verilerin korunması ile ilgili uyum çalışmaları sırasında da kurum içerisinde ilgili tüm iş birimlerinin katılımı önemlidir. Kişisel verilerin korunmasına ilişkin alınması gereken önlemlerin, sadece Kanun’a uyumluluk için yapılacak tek seferlik bir uyum çalışması olarak değil, sürdürülebilir bir iş süreci olarak ele alınıp uygulanmasının gerekliliğine inanıyoruz.
Veri Sorumlusu Temsilciliği
Veri Sorumlusu Temsilcisi Kimdir?
Veri sorumlusu temsilcisi, yurt dışında yerleşik veri sorumlusu adına VERBİS’e ilişkin iş ve işlemleri yapmak, ilgili kişilerce yapılacak başvurular veya Kişisel Verileri Koruma Kurumu ile yapılacak tebligat ve yazışmalar konusunda iletişimi kurma görev ve yetkisine sahip kişidir.
30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanmış ve 01.01.2018 tarihinde yürürlüğe girmiş olan Veri Sorumluları Sicili Hakkında Yönetmelik 11. maddesine göre; veri sorumlusu yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atama yükümlülüğü vardır. Atanacak veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmalıdır.
Veri Sorumlusu Temsilciliği Hizmetlerimiz
KP Veri Danışmanlığı olarak yurt dışında yerleşik veri sorumlularının Kanun kapsamındaki yükümlülüklerinin belirlenmesi ve raporlanması, bu yükümlülüklerin yerine getirilmesi için gerekli bilgi ve belgelerin hazırlanması, VERBİS kaydının gerçekleştirilmesi, Kişisel Verileri Koruma Kurumu ile yazışmaların gerçekleştirilmesi ve ilgili kişilerce yapılacak başvuruların yanıtlanmasına ilişkin hizmetleri temsilciliğini üstlendiğimiz yurt dışında yerleşik veri sorumlularının bilgi ve onayı ile şeffaflık ilkesi odağında gerçekleştirmekteyiz.
Veri Sorumlusu Temsilcisi Atama Yükümlülüğünüz Var Mı?
Veri Sorumlusu Temsilciliğini Üstlendiğimiz Bazı Yabancı Firmalar;
