Tüm rehberler
REHBER · 7 ADIM

KVKK Uyumuna Başlangıç: 7 Adım

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyumu tek seferlik bir proje değil, sürekli yönetilen bir süreçtir. Aşağıdaki 7 adım, çoğu kuruluşun temel uyum altyapısını kurarken izleyebileceği mantıksal sıralamayı özetler. Her adımı kendi sektörünüze, veri hacminize ve risk düzeyinize göre uyarlamanız ve gerektiğinde hukuk müşaviriyle birlikte değerlendirmeniz önerilir.

  1. 1

    Kişisel veri envanterini (ROPA) çıkarın

    Hangi kişisel verileri, hangi amaçla, hangi hukuki sebebe dayanarak işlediğinizi; verinin nereden geldiğini, nerede saklandığını, kimlerle paylaşıldığını ve saklama süresini kayıt altına alın. Bu işleme faaliyetleri kaydı (ROPA), hem VERBİS kaydının hem de hesap verebilirliğin temelini oluşturur. Departman bazında basit bir envanter görüşmesiyle başlayabilirsiniz.

  2. 2

    Aydınlatma yükümlülüğünü yerine getirin

    KVKK Madde 10 gereği, kişisel verileri toplarken ilgili kişileri; veri sorumlusunun kimliği, işleme amaçları, aktarılan taraflar, toplama yöntemi ve hukuki sebebi ile Madde 11'deki hakları konusunda bilgilendirin. Web formları, sözleşmeler, işe alım ve müşteri temas noktaları için ayrı ayrı, sade ve anlaşılır aydınlatma metinleri hazırlayın.

  3. 3

    Açık rıza süreçlerini doğru kurgulayın

    Açık rıza yalnızca başka bir hukuki sebep (sözleşme, kanuni yükümlülük, meşru menfaat vb.) bulunmadığında gereklidir; mümkün olduğunda rıza dışı sebeplere dayanın. Rıza alındığında ise özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olmalı, önceden işaretli kutu kullanılmamalı ve geri alınabilmelidir. Rızaların ne zaman, hangi metinle alındığını kayıt altında tutun.

  4. 4

    VERBİS yükümlülüğünüzü belirleyin ve kaydolun

    Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yükümlülüğünüz olup olmadığını çalışan sayısı, mali bilanço ve işlenen verinin niteliği gibi kriterlere göre değerlendirin. Yükümlüyseniz irtibat kişisi atayarak envanterinizi VERBİS formatına uygun şekilde sisteme girin. Ayrıntılar için 'VERBİS Kaydı Nasıl Yapılır?' rehberine bakabilirsiniz.

  5. 5

    Teknik ve idari veri güvenliği tedbirlerini uygulayın

    KVKK Madde 12, kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirlerin alınmasını zorunlu kılar. Erişim yetkilendirmesi, şifreleme, log kaydı, yedekleme, güçlü parola ve çok faktörlü kimlik doğrulama gibi teknik tedbirlerin yanında; gizlilik sözleşmeleri, yetki matrisi ve veri işleyenlerle yazılı sözleşmeler gibi idari tedbirleri de devreye alın.

  6. 6

    Veri ihlali müdahale planı oluşturun

    Bir ihlal yaşanmadan önce; kimin neyi ne zaman yapacağını tanımlayan bir müdahale planı hazırlayın. Plan; tespit ve eskalasyon kanallarını, ihlali değerlendirecek ekibi, Kurul'a ve ilgili kişilere bildirim süreçlerini ve kanıt/log toplama adımlarını içermelidir. Ayrıntılı bildirim akışı için 'Veri İhlali Bildirimi: Adım Adım' rehberine göz atın.

  7. 7

    Farkındalık eğitimi verin ve sürekli izleyin

    Uyum, çalışan davranışıyla ayakta kalır. Düzenli farkındalık eğitimleri planlayın, politikaları güncel tutun ve envanter ile rıza kayıtlarını periyodik olarak gözden geçirin. Mevzuat değişiklikleri, yeni Kurul kararları ve değişen iş süreçlerini izleyerek uyum programınızı canlı tutun; düzeltici aksiyonları belgeleyin.

Bu rehber bilgilendirme amaçlıdır, hukuki danışmanlık değildir. Uyum adımlarınızı kendi koşullarınıza göre değerlendirin ve gerektiğinde uzman desteği alın.

Bu süreçte yardıma mı ihtiyacınız var?

Wyverix ile envanterden VERBİS'e, aydınlatmadan ihlal yönetimine kadar tüm adımları tek panelden yönetin.

Ücretsiz Demo Talep Et