KVKK İdari Tedbirler
İDARİ TEDBİRLER
Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında)
Gizlilik Taahhütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Bu tedbirler kapsamında,
Mevcut risk ve tehditlerin belirlenmesi,
Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması,
Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,
Kişisel verilerin mümkün olduğunca azaltılması,
Veri işleyenler ile ilişkilerin yönetimi gerçekleştirilmelidir.
Veri İşleyen ile ilişkilerin Yönetimi
Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir.
Veri sorumlusu, kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptırır. Denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir.
Kişisel Veri Güvenliği Politika ve Prosedürlerin Belirlenmesi
Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.
Veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olur.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
İlgili alanların (departmanlardaki kişisel verilerin) doğruluğunun ve güncelliğinin düzenli periyotlarda gözden geçirilmesi, güncelliğini yitirmiş ve tutulma gerekliliği ortadan kalkmış verilerin silinmesi gerekmektedir.
Arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmektedir. İhtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yönetmeliğine uygun ve aynı zamanda güvenli bir şekilde imha edilmesi gerekmektedir.
Aydınlatma Metni ve Açık Rızaların Oluşturulması
Veri sorumlusu ile yapılan toplantılar sonucu çıkarılan veri envanteri kaynak alınarak firmanın vermiş olduğu bilgilere göre şirketin kaydettiği, sınıflandırdığı, aktarımda bulunduğu kişisel veriler ile ilgili aydınlatma metni ve açık rıza metinleri yazılmalıdır.
Konuyla ilgili sorunlarınıza çözüm bulmak ve daha detaylı bilgi almak için kvkk@optimumsiber.com adresinden bizlere ulaşabilirsiniz.