Kişisel Veri Yönetimi

Kişisel verilerin korunması alanında tecrübeli ekibimiz, Kişisel Verilerin Korunması Kanunu`na uyum sağlamayı amaçlayan kurum ve kuruluşlara, BS 10012 Kişisel Bilgi Güvenliği Yönetim Sistemi standardı danışmanlığı alanında hizmet sunmaya hazırdır.

24/3/2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu`nda, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu sektörü tarafından çeşitli amaçlarla sıkça toplanmakta, işlenmekte, paylaşılmakta ve saklanmaktadır. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi, bazen de kuruluş çalışanının verisi olabilmektedir.

 

Kişisel veriler,  asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme gelmektedir. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır.

 

Kurum ve kuruluşları ilgilendiren temel soru ise: “Vatandaştan, müşterilerimizden ve çalışanlarımızdan emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurum ve kuruluşlar, Kişisel Verilerin Korunması Kanunu`na da uyumlu olacaklardır.

 

Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri:

  • Kişisel veri sorumlusu belirlemek
  • Kişisel veri politikası oluşturmak
  • Kişisel veri envanteri oluşturmak
  • Kişisel verilerle ilgili riskleri yönetmek
  • Kişisel veri toplama yöntemlerini belirlemek
  • Kişisel veri işleme yöntemlerini belirlemek
  • Kişisel veri saklama yöntemlerini belirlemek
  • Kişisel veri paylaşma yöntemlerini belirlemek
  • Kişisel veri güvenliğini sağlama yöntemlerini belirlemek
  • Kişisel veri imha yöntemlerini belirlemek
  • Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek

olarak özetleyebileceğimiz Kişisel Veri Yönetimi çalışmalarının uygulanmasına bağlıdır.

 

Yukarına özetlenen kişisel veri yönetim çalışmaları ile ilgili temel ilkeler, BS 10012 Kişisel Bilgi Yönetim Sistemi Standardında tanımlanmıştır. Bu standarda uyum, Kişisel Verilerin Korunması Kanunu`na uyum sağlamayı amaçlayan kurum ve kuruluşlara, kişisel veri yönetimi çalışmalarını uygulama yolunda rehber olacaktır.

  • BS 10012 Boşluk Analizi
  • Kişisel Bilgi Envanteri Hazırlanması
  • Kişisel Bilgi Risk Yönetimi
  • Kişisel Bilgi Yönetim Sistemi Kurulumu

 

BS 10012 Boşluk Analizi

Kuruluşun iş süreçleri incelenerek, BS 10012 Kişisel Bilgi Yönetim Standardı gerekliliklerine ne derece uyum sağlandığı tespit edilir. Uyumun gereken düzeyde bulunmadığı alanlarda, tespit edilen eksiklikler ve bu eksikliklerin standarda uyum sağlamak amacıyla nasıl giderileceği konusunda çözüm önerileri sunulur. “BS 10012 Kişisel Bilgi Yönetim Sistemi standardına şu anki durumumuz ne derece uygundur?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.

 

Kişisel Bilgi Envanteri Hazırlanması

Kuruluşun iş süreçleri incelenerek, kişisel bilgiler ve hassas kişisel bilgiler tespit edilir. Bu bilgilerin: Hangi süreçte kullanıldığı, hangi ortamlarda saklandığı, kimlerin erişim yetkisi olduğu, yedeklerinin nasıl alındığı, nasıl arşivlendiği, nasıl imha edildiği gibi soruların cevapları tespit edilir. “İş süreçlerimizde hangi kişisel bilgileri kullanıyoruz?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.

 

Kişisel Bilgi Risk Yönetimi

Kuruluşun kişisel bilgilerinin, bulunduğu tüm ortamlarda, gizlilik bütünlük ve erişilebilirlik gereksinimleri göz önünde bulundurularak, bu bilgileri etkileyebilecek tehditler, tehditlerin gerçekleşmesine zemin hazırlayan zafiyetler tespit edilir. Tehditlerin gerçekleşmesi durumunda iş süreçlerine etkisi ve tehditlerin gerçekleşme olasılığı belirlenerek kişisel bilgi risk seviyeleri hesaplanır. Azaltılması kararlaştırılan riskler için aksiyon planları hazırlanır. “Kişisel bilgi güvenliği risklerimiz nelerdir, bu riskleri nasıl yönetmeliyiz?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.

 

Kişisel Bilgi Yönetim Sistemi Kurulumu

Kuruluşun kişisel bilgi yönetimini sağlamak ve Kişisel Verilerin Korunması Kanunu`na uyum çalışmalarını kolaylaştırmak amacıyla, BS 10012 standardına uygun bir yönetim sisteminin kurulması çalışmasıdır. “Kişisel bilgi yönetimini iyi uygulamalar ve standartlara uygun olarak uçtan uca nasıl yapmalıyız?” sorusunu cevaplamak isteyen kurum ve kuruluşlara sunulan hizmettir.