Organizasyonunuz Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu mu?

Türkiye’de çeşitli organizasyonlar KVKK ile ilgili uyumluluk sağlamaya çalışırken bir yandan da GDPR‘a tabi olduklarını göz ardı ediyorlar. Bu nedenle organizasyonun gizlilik, güvenlik ve kişisel veri koruma ile ilgili tüm politika, prosedür, sözleşme ve benzeri uygulamaları sadece yerel yasa ile uyumlu olarak düzenleniyor. Oysa AB regülasyonu ile uyumlu olmamak önemli bir risk ortaya çıkarıyor. CottGroup^® olarak her iki yasa ile ilgili uyumluluğunuzu aynı anda yerine getiriyoruz.

Gdpr'a tabi misiniz? Gdpr Uyum süreçlerinizi tamamladınız mı? KVKK ve GDPR uyumluluk süreci ile ilgili danışmanlık hizmetlerinde temel sorun, danışman firmanın teknik bilgi ve yeterlilikten yoksun olması ve sadece yasal altyapının oluşturulmasına yönelik bir denetim yürüterek tavsiyelerde bulunmasıdır. Oysa, önemli olan danışman firmanın yasal altyapı ile birlikte gizlilik ve güvenlik ile ilgili sistem, donanım, teknoloji ve tüm teknik alanlarda altyapıya hâkim olmasıdır. Eğer danışman firmanın kişisel veri ile ilgili kendi tecrübe ve deneyimi yüksek ise süreç daha tutarlı ve sorunsuz ilerleyecektir.

Öncelikle, kuruluşların hangi yasal düzenlemeye tabi olduklarını anlaması önemlidir. GDPR mevzuatının 3. maddesi bu konuya açıklık getirmektedir. GDPR’a sadece AB üyesi ülkelerdeki kuruluşlar tabi değildir. Avrupa içinde veya dışında olan, AB üyesi ülkelerle iş yapan, AB vatandaşlarına ürün ve/veya hizmet satan, AB dillerinden birini kullanan ve AB vatandaşlarının veya mukimlerinin bilgilerini işleyen her kuruluş bu yasal düzenlemeye tabidir. GDPR ve KVKK uyumluluğu bir sefere mahsus olarak yakalanması gereken bir güvenlik standardı da değildir. Tam tersine; şirketlerin rutin iş aktivitelerini bu kriterlere göre düzenlemesi ve devamlılıkla uygulaması gerekmektedir. Hem KVKK hem de GDPR, veri ihlali yapan veri sorumlularına ciddi yaptırımlar uygulamaktadır. Özellikle GDPR ihlallerine bağlı olarak tek seferde kesilen ceza tutarı 20 Milyon Euro’yu veya şirketin küresel çapta yıllık cirosunun %4’ünü bulabilmektedir (hangi tutar daha yüksek ise o ceza uygulanmaktadır).

GDPR kapsamında kişisel veri işleyen her kuruluş hassas bilgilerin korunmasından sorumlu olacak bir Veri Güvenliği Yetkilisi (DPO) tayin etmek zorundadır. Uyum sürecinin yürütülmesi bakımından Veri Güvenliği Yetkilisi atamak KVKK metni içerisinde yer almamakla birlikte, sadece KVKK’ya tabi olan kuruluşlar bakımından da önem arz etmektedir. Kurumların hangi düzenlemeye tabi olduklarını belirlenmesinin ardından, bu doğrultuda imha ve çerez politikalarını verilerin niteliğine göre oluşturmaları veya düzenlemeleri gereklidir. Bunların yanında, kurumların çalışanları, müşterileri vb. taraflarla bilgi paylaşımlarında izlemeleri gereken belirli veri aktarım protokolleri ve güvenlik prosedürleri de göz ardı edilmemelidir. Örneğin, hassas veriler kuruluş çalışanları ile paylaşılacaksa öncesinde bu çalışanlara veri kullanımı ve paylaşımı konularında gerekli eğitimlerin verilmesi zorunludur.

Verileriniz güvenli mi? Gerekli önlemleri aldınız mı?

Veri envanteri
İmha politikanız
Çerez politikanız
Aydınlatma yükümlülükleri
Veri aktarım protokolleri

ADP Hakkında (NASDAQ - ADP)

ADP, bireylerin potansiyellerini gerçekleştirmesini sağlamak amacıyla modern teknolojinin getirdiği ürünlerle çalışmanın daha iyi yollarını tasarlar ve kaliteli hizmetler sunar. Verilerle güçlendirilmiş ve insan merkezli olarak tasarlanmış İnsan Kaynakları, Yetenek Yönetimi, Yan Haklar, Bordro ve Uyumluluk çözümleri sağlar.