KVKK & GDPR 360+ Uyumluluk Projeleri & Danışmanlığı

 

Karşı karşıya kalabileceğimiz veri ihlallerinin sayısını minimum seviyede tutmak, mevcut risk ve tehditleri minimize etmek, kuruluşunuzun itibar ve gelir kayıplarını önleyerekmarka değerini en üst seviyede korumak için veri mahremiyeti konusunda gerekli idari (+teknik) ve hukuki tedbirleri uygulamanız için destek sağlıyoruz.
 
GRC LEGAL olarak, yasal uyumsuzluk sonucunda oluşabilecek risklerinizi tespit ederek, her türlü kişisel verinizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (”KVKK”) uygun olarak işlenmesi ve bunun bir yaşam döngüsü haline getirilmesi için gerekli idari (+teknik) ve hukuki tedbirleri sağlamanıza yardımcı oluyoruz. Veri sorumluları; i) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ii) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve iii) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin hayata geçirilmesini sağlamak zorundadır.
 
7 Nisan 2016 tarihinde yürürlüğe giren KVKK gerek gerçek kişi bireyler gerekse tüzel kişi kurum ve kuruluşların bütün operasyonel süreç ve faaliyetlerine etki ederek büyük bir değişim ve dönüşüm süreci başlatmıştır. Bu değişim ve dönüşüm süreci KVKK ile ikincil mevzuat düzenlemelerinden kaynaklanan birtakım iç dinamikleri haizdir.  KVKK yalnızca kişisel veri mevzuatını ilgilendiren bir sistem olmayıp, başta diğer hukuk alanları ile özellikle bütün IT sistematikleri ve alt yapısının da ilgilendiren, insan unsurunun yer aldığı, çalışma hayatının temas ettiği tüm eko-sistem ile sürekli ve dinamik bir ilişki halindedir.
 
Kanun koyucu KVKK’yı bazı kanunlarda uyguladığı ayrıntılı düzenleme yaklaşımı yerine çerçeve bir kanun olarak tasarlamış, içinin doldurulmasını ise uygulamaya ve tecrübeye bırakmıştır. Bu nedenle “KVKK Uyumluluk” çalışmalarında bir kontrol listesi olmadığı gibi KVKK uygulayıcısı ve denetçisi olarak kurulan Kişisel Verileri Koruma Kurulu (“Kurul”) yaşayan mevzuatı ihtiyaç ve taleplere yönelik oluşturduğu rehberleri ve gerek ilke gerekse yaptırım kararları ile şekillendirmekte ve son üç yılda toplamda onlarca şirkete uyguladığı 30 milyon TL’ye ulaşan idari para cezaları ile çalışma hayatında “yeni nesil” olarak adlandırılan kurallarıyla adından sıkça söz ettirmektedir. 
 
Şirketler KVKK‘dan kaynaklanan veri sorumlusu sıfatıyla ödev ve yükümlülüklerine uyumluluk sağlamak ve ilgili kişisel veri işleme faaliyetlerini sevk ve idare etmek yanında kendi kurum veya kuruluşunda bu Kanun hükümlerinin mevzuata uygun ve eksiksiz şekilde uygulandığının temini ve teyidi amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
 
Bu noktada özellikle VERBİS kayıt yükümlülüğü altında bulunan yıllık 50 çalışan ve üzeri ile mali bilanço toplamı 25 milyon liradan fazla olan şirketlerin VERBİS kayıtlarında yaşanan büyük hatalar ve yanlışlıklar üzerine Kurul, VERBİS’e son kayıt tarihini son kez olmak üzere 31 Aralık 2021 tarihine kadar uzatmış ve bir daha süre uzatım kararı ilan etmemiştir. Bu itibarla VERBİS kayıtlarının da doğruluğu ve güncelliği, VERBİS’e gerektiği şekilde bildirim yapmamak dahil diğer KVKK yükümlülükleri de gerçekleştirmek anlamında tek seferlik 2 Milyon TL’ye ulaşan idari para cezalarına maruz kalmamak adına elzem hale gelmiştir. 
 
Sektörlere yön veren kurumsal büyük oyuncular da dahil olmak üzere, 7 Nisan 2016 yürürlük tarihinden itibaren yüzbinlerce şirket Kurul denetim radarına girmiştir. Sadece VERBİS kaydı yaptırmak Kanuna uyum sağlamak anlamına gelmemekte olup şirketlerin diğer yükümlülükleri daha da ciddi şekilde devam etmektedir. Bu itibarla öncelikli uyum çalışmalarının yürütülmesi, sonrasında ise süreçlerin Kanuna uygun entegre edilip edilmediğinin teyidi amacıyla ilgili süreçlerin ve faaliyetlerin denetim ve devamlı güncellik ve uyumluluk mekanizması ile sağlama alınması artık kaçınılmazdır.
 
Teknik uzman ve avukat ortaklarımızla gerçekleştirilen; öncelikle Kanun’a uyumluluk, uyumluluk çalışmalarının halihazırda varlığı halinde ise denetim, güncelliğin devamı ve uyumluluk (Coaching) çalışmasının amacı veri sorumlusu sıfatıyla şirketlerin gerçekleştirmiş olduğu uyumluluk çalışmalarının kapsam, içerik ve uygulama yönünden değerlendirilmesi ve Kanun ve denetleyici organı olan Kurul karşısında mağduriyet yaşamamak amacıyla önleyici (pro-aktif) tedbirlerin hayata geçirilmesidir. Yukarıda bahsedilen çerçeve düzenlemeler Kurul’un yayınladığı yol gösterici rehberler ve kararlarla genişletilmiş; veri güvenliğine yönelik alınması gerekli idari, hukuki ve teknik tedbirler kapsamında birtakım kontrol listeleri ortaya çıkmıştır.
 
Bu itibarla hedeflenen, hizmet süresince gerek uzaktan gerekse yerinde yapılacak operasyon, dokümantasyon, denetim, eğitim ve süreç desteği hizmetleri ile; mevcut durum tespiti ve periyodik denetimler ile şirket olgunluk ve adaptasyonunun sağlanması, takip edilecek teknik, idari ve hukuki tedbirler mevzuatı kapsamında mevcut risklerin ve şirket farkındalığının gerçek zamanlı kontrolü ve uyumluluk süreçlerinin şirket içi kültür haline getirtilmesi yoluyla; tam uyumluluğun teminat altına alınması ve veri sorumlularının güçlü, özenli, şeffaf ve hesap verebilir bir yükümlü haline getirilmesidir.