GDPR (General Data Protection Regulation) kanunu 25 Mayıs 2018 itibari ile devreye girdi. GDPR’ın 99 maddesinden sizler için sadeleştirerek özet bir biçimde uygulama adımlarını sunmaya çalıştık. Uyumun eksiksiz bir şekilde sağlanabilmesi amacıyla her madde için derinlemesine çalışma yapmak gerekir. GDPR uyumu konusunda kurum üst yönetimi, idari ekipleri, teknik ekipleri ve danışmanlarına büyük iş düşmektedir.
AB Veri Koruma Tüzüğünün yeni revizyonu olan GDPR’a uyum yolculuğumuzda tüm proje çalışanlarına şimdiden kolaylıklar diliyorum.

GDPR’a Uyum Yolculuğunun 12 Adımı

1.Farkındalığı Yaratmak; Şirket üs yönetiminizi kanun hakkında bilgilendirmek ve gerekli ilk iş planın yapılması sağlamak. Şirket yönetimde yaratılacak farkındalığın etkisi projenin başarı ile tamamlanması açısından çok önemlidir. GDPR farkındalığı proje süresinde tüm çalışanlarda oluşturulmalıdır. Farkındalığı etkili oluşturması ana işi GDPR ve GDPR uyumu ile ilgili olmayan çalışanların konuya hakimiyeti ile ölçülebilir. Farkındalık eğitimlerini çalışanların içselleştirmesi kurumlar için risklerini azalması doğrudan etkilidir. Farkındalık eğitimlerinin nasıl daha başarılı olcağı hakında daha detaylı bilgiye(oyunlaştırılmış farkındalık eğitimleri linki) ‘den ulaşabilirsiniz.

2.Kişisel Veri Analizi; Hangi kişisel bilgilerin kurumunuz tarafından tutulduğunu süreçlerinizi analiz ederek tespit etmek. Kişisel verilerin tam ve eksiksiz analiz edilmesi, sonrasında yapılacak çalışmalarında eksiksiz olmasında yardımcı olacaktır.

3.Mevcut Gizlilik Bildirimlerinin Analiz Edilmesi; Paydaşlardan aldığınız açık rızalar ve gizlilik duyuruları incelenmeli GDPR’a uygunluğu için revize etmelisiniz. Bu aşamada tüm paydaşlar ile yapılan sözleşmeler incelenmeli ve kişisel veriler ile ilgili kanunlara uygunluğu için gerekli kısımları avukatlar tarafından revize edilmelidir.

4.Veri Sahibi Hakları Analizi; Kanunda belirtilen veri sahiplerinin haklarını incelemek ve kurum uygulamalarınızda bu hakların karşılanma durumunu tespit etmelisiniz.

5.Veri Sahiplerinin Talepleri; Veri sahiplerinin talepleri doğrultusunda işletmeniz gereken süreci belirlemelisiniz. Mevcutta yürütülen bir süreç var ise iş adımları incelenmeli ve bu adımların kanuna uygun olması için revize etmelisiniz.

6.Kişisel Veri İşleme İçin Yasal Dayanakların Tespiti; Kişisel verileri işleme faaliyetinizin yasal temelini belirlemeli, belgelemeli ve gizlilik bildiriminizi açıklamalısınız.

7.Rıza Almak; Veri sahiplerinden nasıl rıza alınacağı belirlenmeli. Veri Sahiplerinden rıza nasıl alınıyor süreçler incelenmeli, kanuna göre rıza alma metinleri ve süreci revize edilmeli.

8.Çocukların Kişisel Verileri; Reşit olmayanların rızalarının nasıl alınması gerektiğini belirlemelisiniz.

9.Veri İhlalleri; Veri ihlallerinde işletmeniz gereken süreçleri belirlemelisiniz. Veri ihlali olması durumunda bilgi verilmesi gereken merciler belirlenmeli ve kanunda belirtilen hedef sürelerde bildirimlerin yapılabilmesi için kurum içersindeki gerekli organizasyon tamamlanmalıdır.

10.Mahremiyet Etki Analizi ve Veri Korumanın Tasarlanması; Mahremiyet etki analizi yapmalı ve veri koruma stratejinizi tasarlamalısınız.

11.Veri Koruma Görevlisi Atanması; Kurumun veri korumasında sorumlu olacak personelini belirlemeli ve atamasını yapmalısınız. Bu hizmeti kurum içerisinde karşılayabildiğiniz gibi konusunda uzman sertifikalı GDPR DPO’lardan hizmet alımı yolu ile temin edebilirsiniz. detaylı bilgi için DPO Hizmetlerimizi inceleyebilirsiniz.

12.Uluslararası Kuruluşlar; Birden fazla AB ülkesinde faaliyet gösteren kurumlar veri koruma çalışma grubu belirlemeli ve veri koruma lideri ataması yapmalıdır. detaylı Bilgi için DPO Hizmetlerimizi inceleyebilirsiniz.

GDPR’a Uyum Danışmanlık Hizmetlerimizi inceleyebilirsiniz.