Skip to content

KVKK Kapsamında Hazırlanması Gereken Kurumsal Politikalar

Kişisel Verileri Koruma Kurumu, veri sorumluları tarafından alınması gereken idari ve teknik tedbirleri yayınladıkları Kişisel veri güvenliği rehberinde belirtmiştir. Rehber uyarınca veri sorumlusunun alması gereken idari tedbirlerden biri de veri güvenliği ile ilgili kurumsal politikaların hazırlanması ve uygulanmasıdır.

Yayınlanan rehber’de kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürlerin gerekli olduğu belirtilmiş, ancak bu politikanın ne şekilde hazırlanması ve uygulanması gerektiği belirtilmemiştir.

Unutulmamalıdır ki her şirketin farklı boyutta ve önemde verileri bulunmaktadır. Bu nedenle hazırlanacak politikaların nevi, içeriği her şirket için farklı olmalı ve o şirkete özgü olarak hazırlanmalıdır.

KVKK Politikası

Öncelikli olarak her veri sorumlusu tarafından bir KVKK Politikası hazırlanması önerilmektedir. Bu politika; şirketin veya kurumun KVKK ve veri güvenliği konularında en üst normu olacak ve adeta veri güvenliği ile ilgili bir anayasa gibi işlev görecektir.

Veri Saklama ve İmha Politikası

Veri sorumlusu tarafından hazırlanan veri güvenliğine ilişkin iç disiplin hükümlerinin ve diğer politikaların sağlıklı bir şekilde yürümesi için görev tanımları ve verilere erişimi olacak pozisyonlardaki kişilerin net bir şekilde belirlenmesi gerekmektedir. Burada kişi (isim/soyisim) bazlı bir tanımlama yerine pozisyon gereği bir tanımlama yapmak işin sürekliliğine daha uygun olacaktır.

Örneğin insan kaynakları yöneticisi pozisyonundaki bir kişinin erişebileceği veriler ile insan kaynakları elemanı pozisyonundaki bir kişinin erişebileceği veriler farklı olabilir. Yönetici pozisyonundaki kişiye daha çok veriye ulaşma yetkisi verilebilir.

Verilere Erişim Politikası/Prosedürü

Veri sorumlusu tarafından hazırlanan veri güvenliğine ilişkin iç disiplin hükümlerinin ve diğer politikaların sağlıklı bir şekilde yürümesi için görev tanımları ve verilere erişimi olacak pozisyonlardaki kişilerin net bir şekilde belirlenmesi gerekmektedir. Burada kişi (isim/soyisim) bazlı bir tanımlama yerine pozisyon gereği bir tanımlama yapmak işin sürekliliğine daha uygun olacaktır.

Örneğin insan kaynakları yöneticisi pozisyonundaki bir kişinin erişebileceği veriler ile insan kaynakları elemanı pozisyonundaki bir kişinin erişebileceği veriler farklı olabilir. Yönetici pozisyonundaki kişiye daha çok veriye ulaşma yetkisi verilebilir.

Acil Durum Prosedürü

Son olarak hazırlanacak Acil Durum Prosedürü ile veri ihlali, veri ihlali teşebbüsü, bilgilerin ifşası gibi acil durumlarda yapılması gerekenler belge altına alınabilir. Kanun gereği bir veri ihlali durumunda veri sorumusu durumu Kişisel Verileri Koruma Kurulu’na ve ilgilisine bilgilendirmekle mükelleftir.

KVKK ile Tam Uyumlu İdari Tedbir Çözümleri Sağlıyoruz

İşçilerin kişisel verilerinin korunması ve açık rıza yükümlülüklerinizi sorunsuz şekilde yerine getirmeniz ile ilgili daha fazla bilgi ve danışmanlık hizmeti almak için bizimle iletişime geçiniz.

Carnatech Veri Danışmanlığı