KVKK

 Kişisel Verilerin Azaltılması İK ve muhasebe başta olmak üzere bütün departmanlarda kullanılmayan kişisel verilerin belirlenmesi ve azaltılması gerekir. Bilgisayar, sabit disk ve diğer saklama ortamlarında saklanan kişisel verilerin belirlenmesi ve azaltılması Bulut ortamlarından saklanan kişisel verilerin belirlenmesi ve azaltılması

  Data protection by design (tasarımda koruma) Teknoloji alt yapısında ve iletişim ortamlarında gizlilik esas alınmalı. Anonimleştirme ve kriptografik teknikler kullanılmalıdır. Her aşamada gizlilik düşünülmeli. Data protection by default (varsayım korum) Bir ürün ya da bir servis kullanıma açıldığında gizlilik ayarları varsayım olmalı. Örneğin bir fc kullanıcı hesabı açıldığında kullanıcının minimum bilgileri olmalı ve güvenliği tehdit edecek birçok özelliğe kapalı olmalı. Örneğin paylaşımlar ya da başkaları tarafından görülme gibi.

Açık rıza almadan işleme şartları dışında işlemler için açık rıza KVKK:  Kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

https://www.kvkk.gov.tr/Icerik/6742/-Dogru-Bilinen-Yanlislar-Dokumani-Kurum-Internet-Sayfasinda-Yayinlanmistir- Veri sorumlusu kimdir? Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Kaynak: https://www.kvkk.gov.tr/Icerik/6742/-Dogru-Bilinen-Yanlislar-Dokumani-Kurum-Internet-Sayfasinda-Yayinlanmistir-

Kurumların KVKK uyum sürecinde yapacağı en temel çalışmalar içinde teknik ve idari önlemlerin alınması ve sürdürülmesi gerekmektedir. Teknik önlemlerin çoğu bilgi işlem temellidir. Bu anlamda ISO 27001 temelinde yapılan çalışmalar teknik önlemlerin çoğunu kapsamaktadır. Teknik tedbirler:  Yetki Matrisi (kişisel verilere erişim için kullanıcı ve grupların izinleri) Yetki Kontrol (erişim hakları) Erişim Logları (düzenli olarak tutulacak) Kullanıcı Hesap Yönetimi Ağ Güvenliği Uygulama Güvenliği Kriptografi Sızma Testleri / Saldırı Tespit ve Önleme Sistemleri Veri Kaybı Önleme Yazılımları (seçimlik olarak) Yedekleme .... İdari tedbirler:  Kişisel Veri İşleme Envanteri Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında ) Gizlilik Taahhütnameleri Kurum İçi Denetimler Risk Analizleri .... Detaylı bilgi için: KVKK dokümanı: https://www.kvkk.gov.tr/yayi...

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 13’üncü maddesinin (1) numaralı ve 14’üncü maddesinin (2) numaralı fıkrası gereğince ilgili kişilerin Kanun kapsamındaki talepleri ile ilgili olarak Kuruma şikayet yoluna başvurulmadan önce veri sorumlusuna başvuru yolunun tüketilmesi yasal bir zorunluluktur. Veri sorumlusuna başvuru yolu tüketilmeden Kuruma intikal eden şikayetler incelemeye alınmamaktadır. Veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemesi hallerinde, veri sorumlusunun cevabı öğrenildiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunulabilir. Bu kapsamda, yasal sürelere itibar edilmeden yapılan şikayet başvurusu Kurum tarafından değerlendirmeye alınmayacaktır. Şikayet konuları: Kişisel verilerin hukuka aykırı kullanılması Kişisel verilere erişim talebinin engellenmesi Hizmetin açık rıza şartına bağlanması Aydınlatma yükümlü...