KVKK İdari Tedbirler

İDARİ TEDBİRLER

  • Kişisel Veri İşleme Envanteri Hazırlanması

  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında)

  • Gizlilik Taahhütnameleri

  • Kurum İçi Periyodik ve/veya Rastgele Denetimler

  • Risk Analizleri

  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Bu tedbirler kapsamında,


  • Mevcut risk ve tehditlerin belirlenmesi,

  • Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması,

  • Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,

  • Kişisel verilerin mümkün olduğunca azaltılması,

  • Veri işleyenler ile ilişkilerin yönetimi gerçekleştirilmelidir.



Veri İşleyen ile ilişkilerin Yönetimi


Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir.

Veri sorumlusu, kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptırır. Denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir.



Kişisel Veri Güvenliği Politika ve Prosedürlerin Belirlenmesi


Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.

Veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olur.



Kişisel Verilerin Mümkün Olduğunca Azaltılması

İlgili alanların (departmanlardaki kişisel verilerin) doğruluğunun ve güncelliğinin düzenli periyotlarda gözden geçirilmesi, güncelliğini yitirmiş ve tutulma gerekliliği ortadan kalkmış verilerin silinmesi gerekmektedir.

Arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmektedir. İhtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yönetmeliğine uygun ve aynı zamanda güvenli bir şekilde imha edilmesi gerekmektedir.



Aydınlatma Metni ve Açık Rızaların Oluşturulması

Veri sorumlusu ile yapılan toplantılar sonucu çıkarılan veri envanteri kaynak alınarak firmanın vermiş olduğu bilgilere göre şirketin kaydettiği, sınıflandırdığı, aktarımda bulunduğu kişisel veriler ile ilgili aydınlatma metni ve açık rıza metinleri yazılmalıdır.


Konuyla ilgili sorunlarınıza çözüm bulmak ve daha detaylı bilgi almak için kvkk@optimumsiber.com adresinden bizlere ulaşabilirsiniz.