Kurumların KVKK uyum süreci içinde idari ve teknik tedbirleri alması gerekir. Bu tedbirlerin tamamlanması içinde çalışmaların belirli süreçlerden geçmesi gerekir.
İdari tedbirler kapsamında;
- Mevcut risk ve tehditlerin belirlenmesi,
- Çalışanların eğitilmesi ve farkındalık çalışmaları,
- Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,
- Kişisel verilerin mümkün olduğunca azaltılması,
- Veri işleyenler ile ilişkilerin yönetimini sayabiliriz.
Teknik tedbirler kapsamında ise;
- Siber güvenliğin sağlanması,
- Kişisel veri güvenliği takibi,
- Kişisel veri içeren ortamların güvenliğinin sağlanması,
- Bilgi teknoloji sistemlerinin tedariği, geliştirme ve bakımı,
- Kişisel verilerin bulutta depolanması, yedeklenmesi gibi konuları kapsamaktadır.
Kişisel Verileri Koruma Kanununda süreçler yukarıda belirttiğimiz konuları içerecek şekilde hukuki açıdan ele alınacak konular için bir süreç, teknik konuları içerecek konular ve bunun uzantısı ve gerekliliği olarak teknik alt yapıda yapılması gereken değişiklikler yenilikler olarak gruplandırabiliriz.
Hukuki süreç: Kuruluşun hukuki içerikli sözleşme prosedürlerinin analizi, aydınlatma ve açık rıza metinlerinin KVKK uyarlanması, envanter ve VERBİS süreçlerinin denetlenmesi, eğitim gereksinimlerin saptanması ve uygulanması.
Teknik süreç: Veri güvenliği ile ilgili testlerin organize edilmesi, şifreleme ve erişim politikalarının belirlenmesi.
Teknoloji : Kullanılan yazılım ve teknik altyapı çalışmaları aşamasında, Hukuki süreçler de belirlenenlere göre sistemin eksiksiz şekilde uygulama pratiğinin test edilmesi gibi çalışmalar Kişisel Verileri Koruma Kanunu uyum süreçlerini belirler.
Genel İlkeler:
Kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler Kanunun 4 üncü maddesinde düzenlenmiştir.
Kişisel veri işleme faaliyetlerinde her zaman gözetilmesi gereken bu ilkeler;
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.