Eğitim ve danışmanlık hizmetinin birlikte alınması durumunda Kişisel Verilerin Korunması Uyum Projesi olarak kabul edilecek çalışma sürecinde kurumdan bir proje yöneticisi atanması istenmektedir. Proje yöneticisinin tüm toplantılara katılması ve kurumdan yapılması istenen işlerin takip etmesi beklenmektedir. Özellikle çok sayıda departmanın bulunduğu kurumlarda atanan proje yöneticisinin veya bağlı olduğu yöneticinin gerekli yetkilerle donatılmış olması gerekir.
1. Proje yöneticisi ile ilk toplantı: Proje yöneticisi ile toplanılarak kurumun faaliyetleri ve organizasyonu hakkında bilgi alınarak kurumun işleyişine ve yapısına uygun bir proje planı belirlenmektedir.
2. Eğitimler: Proje yöneticisi tarafından belirlenen ve/veya envanter çalışmasına katılacak kişilere Genel Bilgilendirme eğitimi, envanter hazırlama çalışmasına katılacak olanlara Kişisel Veri İşleme Envanteri eğitimleri verilir.
3. Mevcut Durum Tespiti: Envanter eğitimine katılan çalışanlar görevlendirildikleri departman ile ilgili işledikleri kişisel verilerle ilgili formları doldururlar. Sonrasında her departman ile doldurulan form üzerinden geçilerek unutulmuş olabilecek kişisel verilerin tespitine çalışılır. Genel olarak çalışanlar bu aşamada yapmaları gereken görevi tam anlamıyla kavrayabilmektedirler. Çalışana envanter formunda yapması gereken değişiklikler varsa tekrar bir süre verilir. (Her departman için 2 saat)
4. Kişisel Veri İşleme Envanteri’nin hazırlanması: Departmanların tüm formları teslim etmesinden sonra envanter hazırlanır ve işlenen kişisel verilerdeki mevzuata aykırılıklar belirlenir. KVK uyumluluğun kurumun iş süreçlerine etkisinin minimumda tutulabilmesi için çabanın sarf edilmesine rağmen tespit edilen mevzuata aykırılıklar proje yöneticisine bildirilir. Proje yöneticisinin gerekli gördüğü kişilerle durumlar müzakere edildikten sonra bulunan çözüme uygun değişiklikler (iş sürecinin değiştirilmesi, iptal edilmesi veya yenisinin yapılması gibi) envanterde düzeltilir (Her departman için 1 saat).
5. Sözleşmelerin gözden geçirilmesi: Kişisel verilerin işlenmesine sebep olacak dökümanlardan benzer olanlarından bir tanesi gözden geçirilerek yapılması gereken değişiklikler bildirilir.
6. Dökümanların hazırlanması: Kurumun ihtiyacı olan aydınlatma ve açık rıza metinleri ile Kişisel Veri Saklama ve İmha Politikası hazırlanır (Her departman için 1 saat). Ayrıca proje kapsamında olmayan ancak kurumun yapması gereken işler rapor halinde sunulur (siber güvenlik, fiziki tedbirler, konulması gereken kurallar gibi)
7. VERBİS’e kayıt: Kurumca gerekli yetkilendirmenin yapılması (irtibat kişisi olarak atanılması) durumunda VERBİS’e kayıt gerçekleştirilir.
Proje için öngörülen süre öngörülemeyen durumların dışında 30 gündür. Bu süre kurum içi organizasyondan ya da gerekli bilgilerin zamanında toplanamamasından dolayı uzayabilmektedir.
Proje bitiminde kuruma özgü olarak hazırlanmış kişisel veri işleme envanteri Excel, envantere göre hazırlanmış aydınlatma ve açık rıza metinleri ile Kişisel Veri Saklama ve İmha Politikası da Word formatında teslim edilmektedir.
İstenirse VERBİS kaydı da bizi yetkilendirmeniz durumunda tarafımızdan yapılmaktadır.
No comments:
Post a Comment