Şirketin İhtiyaçlarına ve Muhtemel Veri İşleme Süreçlerine Göre Proje Stratejisi Belirleme

  • İnternet üzerinden satış
  • Nihai tüketiciye satış
  • Şirketler grubu bünyesinde olma
  • Ana faaliyet alanı özel nitelikli veri olma
  • Şirket bünyesinde birden fazla faaliyet
  • Yurt dışından distribütörlük almış olma
  • Şube olması ve şubenin kişisel veri işleme süreçlerinin değişmesi
  • İç yazılım program niteliği
  • VERBİS kaydı gerekliliği ve kalan süre
  • Reklam ve pazarlama

Komite Belirleme Toplantısı

Tanım: Proje süresince devamlı, sürekli Komite olduktan sonra belli aralıklarla toplanacak bir birim.
  • Komite dönüşüm projesinin yürütücülerinden oluşur.
  • Komite dönüşüm sürecinden sonra iç denetim, imha, kişisel veri işleme envanteri ve politika/prosedürleri güncelleme, eğitim programlanması, farkındalık çalışmalarına ve alınması gereken yeni tedbirlere de karar verecek ekip olarak süreklilik kazanması hedeflenmektedir.
  • Komite üst düzey yönetici, bilgi teknolojileri uzmanı, insan kaynakları, idari işler, satış, pazarlama gibi departmanlardan seçilecek ve Şirket yönetimince alınacak karar ile görevlendirilecek kişilerden oluşur.
Not: İrtibat kişisinin, VERBİS'e kayıt sürecinde Komite üyelerinden belirlenecek bir kişi olması önerilmektedir.

Komitede Yer Alanlar ve Projeye Yardım Edeceklerin Bilgilendirilmesi

Yarım gün şeklinde planlanmaktadır. Bilgilendirme İçeriği
  • Kişisel veri, özel nitelikli kişisel veri
  • Veri sorumlusu yükümlülükleri
  • İlgili kişi hakları
  • Kişisel veri işleme envanteri aşamaları
  • Departman toplantılarında istenecek bilgiler, kişisel veri işleme, faaliyet, süreç, alt süreç hakkında bilgilendirme
  • Politika ve prosedür belirleme
  • Hedef ve yapılması gerekenlerin anlatılması
Not: Departman toplantılarının verimli geçmesi için gereklidir. Proje yürütücüleri ile proje danışmanlarının kaynaşması da hedeflerden biridir.

Envanter Toplantıları

Toplantıların departmanlarla tek tek yapılması hedeflenmektedir ancak satış-pazarlama, finans-muhasebe gibi bazı departmanlarla birlikte toplantılar yapılabilir. Toplantının Amaç ve Gündemi
  • Toplantılarda faaliyet ve süreç bazında kişisel veri işlemelerinin belirlenmesi
  • Kişisel veri işleme amaçlarının belirlenmesi
  • Verisi işlenen kişi gruplarının belirlenmesi
  • Aktarılan kişi-kişi gruplarının ve yerlerin belirlenmesi
  • Tespit edilen kişisel verilerin niteliklerinin belirlenmesi
  • İşlenen kişisel verilerin hukuki sebeplerinin belirlenmesi
  • Kişisel verilerin saklama sürelerinin belirlenmesi

Politika ve Prosedürlerin Belirlenmesi

POLİTİKA
Veri sorumlusunun kişisel veri işleme faaliyetlerine ilişkin bütün süreçlerde uyulacak prosedür ve ilkeleri gösteren kılavuz.
PROSEDÜR
Veri sorumlusunun kişisel veri işleme faaliyetlerine ilişkin gerçekleştirdiği her aşamayı gösteren yöntemler bütünü.
  • Aydınlatma Yükümlülüğü Politika ve Prosedürü
  • Özel Nitelikli Kişisel Veri İşleme ve Koruma Politika ve Prosedürü
  • Açık Rıza Politika ve Prosedürü
  • Veri Güvenliği Politika ve Prosedürü
  • Kişisel Veri İşleme Envanteri Politika ve Prosedürü
  • Kişisel Veri Aktarım Politika ve Prosedürü
  • Kişisel Veri Saklama ile İmha Politika ve Prosedürü
  • Çerez Politika ve Prosedürü
  • Elektronik Ticaret Süreci Politika ve Prosedürü
  • Kişisel Veri İç Denetim Politika ve Prosedürü
  • Başvuru Kabul ve Cevap Politika ve Prosedürü
  • Veri İhlal Bildirim – Müdahale Politika ve Prosedürü
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Politika ve Prosedürü
  • Kişisel Verileri Koruma Komitesi Politika ve Prosedürü

Teknik Tedbir Çalışmaları

  • Sızma testi yapılması
  • Sızma testi sonucunda Şirketin alması gereken teknik tedbirlerin raporlanması
  • Yetki matrisi oluşturulması
  • Yetki kontrol düzenlemeleri
Tedarik edilmesi gereken teknik tedbirleri (Ağ Güvenliği, Uygulama Güvenliği, SIEM Programları, DLP Yazılımları, Yedekleme, Güncel Anti-Virüs Sistemleri, Anahtar Yönetimi), gerekmesi durumunda partner şirketlerimiz tarafından uygun teklifler verilebileceği gibi, hizmet verilen Şirket başka kaynaklardan da temin edebilecektir.

Uyum Toplantıları

  • Dönüşüm sürecinden önce işlenen verilerin hukuka uygun hale getirilmesi, imhası ya da maskelenmesi faaliyeti hakkında proje danışmanları yönlendirme yapacaktır.
  • İş süreçlerinden çıkarılması gereken işlemlere ilişkin liste teslim edilecek ve sebepleri açıklanacaktır.
  • Eğitim alacak çalışanlar belirlenecek, tedarikçilere çalışanlarını eğitmeleri için verilecek süre belirlenecek ya da tedarikçi çalışanın da eğitimlere dahil edilmesine karar verilecektir.
  • Farkındalık için yapılacak çalışmalarda yönlendirme yapılacaktır.
  • Şirketin talepleri proje danışmanlarınca alınıp eksik dokümanlar tamamlanacaktır.

Eğitimler

Ana faaliyet alanı özel nitelikli veri olan firmaların tüm çalışanlarına eğitim verilmesi gerekecektir. Ana faaliyet alanı özel nitelikli veri değilse kişisel veri ile yoğun temas eden çalışanlara eğitim verilecektir. Eğitim İçeriği Eğitimlerimiz 3 oturumdan oluşmaktadır.

1. Oturum

Kavram Eğitimi

2. Oturum

Çalışan Sorumluluğu

3. Oturum

Başvuru-Veri İhlali

Eğitimin Amacı Fidye Saldırıları ve Veri İhlallerine Karşı Dikkat Edilmesi Gerekenler Kişisel Veri İşleme Envanteri ve Politika Prosedür Hazırlama
Kişisel Verilerin Korunması Kanununun Amacı Şifre Belirlerken ve Ekipman Kullanırken Dikkat Edilmesi Gerekenler Veri İhlali ve Kabahatler
Kişisel Veri ve Özel Nitelikli Kişisel Veri Wi-Fi/Sosyal Medya/Mesaj Uygulamaları/E-Posta Kullanırken Dikkat Edilmesi Gerekenler Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması
Kişisel Verilerin İşlenmesi Fiziksel Ortamda Belge/Bilgi Kullanımında Dikkat Edilmesi Gerekenler İlgili Kararlardan Örnekler

İlgili Kişinin Hakları

Başvuru & Şikâyet

Fiziksel Ortamdaki Belge/Bilgi/Evrakların İmha Edilmesinde Dikkat Edilmesi Gerekenler Disiplin Yönetmeliği Kapsamında Çalışan Sorumluluğu
Doküman Hazırlama Kart Kullanımında Dikkat Edilmesi Gerekenler Türk Medeni Kanunu Kapsamında Kişisel Verilerin Korunması
Kişisel Verileri Koruma Komitesi Komiteye Bilgi Verme İş Kanunu Kapsamında Kişisel Verilerin Korunması
Not: Bu eğitimler dönüşüm sürecinden sonra da düzenli olarak yapılmalıdır.

İç Denetim

  • Proje yöneticileri, proje danışmanlarıyla birlikte bütün departman ve alanları çözecek dönüşüm sürecinin sonunda denetim yapacaklardır.
  • Bu denetim aynı zamanda sürekli Komitenin yapacağı denetimler için örnek oluşturacaktır.
  • İç denetim sonunda denetim raporu yazılacaktır.

Verbis Kaydı

VERİ SORUMLULARI KAYIT YÜKÜMLÜLÜĞÜ BAŞLANGIÇ TARİHLERİ KAYIT VE BİLDİRİM YÜKÜMLÜLÜĞÜ İÇİN SON TARİH
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.09.2020
Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.09.2020
Yıllık çalışan sayısı 50'den az veya yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 01.01.2019 31.03.2021
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.03.2021

Sonuç Toplantısı ve Proje Raporu Teslimi

  • Proje kapsamında yapılan çalışmalar proje danışmanları tarafından raporlanacaktır.
  • Tüm hazırlanan dokümanların (kişisel veri işleme envanteri, politika/prosedür, aydınlatma, başvuru cevap örneği, VERBİS kaydı vb.) kontrol ve raporlaması yapılacaktır.
  • Komiteye yapması gerekenler tekrar anlatılacaktır.
  • Proje raporunun teslimi ile dönüşüm tamamlanmış kabul edilir.
NOT: ŞİRKETLERİN TALEPLERİ DOĞRULTUSUNDA YILLIK OLARAK DA DANIŞMANLIK VERMEKTEYİZ.
Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr