ISO 27701 standardı, GDPR çerçevesinde olan gereklilikleri belirler ve kuruluş kapsamında gizlilik yönetimi için ISO / IEC 27001 ve ISO / IEC 27002’ye genişletme şeklinde bir Gizlilik Bilgi Yönetim Sistemi (PIMS) oluşturmak, uygulamak, sürdürmek ve sürekli olarak iyileştirmek için rehberlik sağlar. Diğer yandan PIMS ile ilgili gereklilikleri belirler ve PII uzmanlarının sorumluluğunu ve sorumluluğunu taşıyan PII denetleyicilerine rehberlik eder. Ayrıca, kamu ve özel şirketler, devlet kurumları ve kar amacı gütmeyen kuruluşlar da dahil olmak üzere, bir ISMS içinde PII işleme yapan PII denetleyicileri ve / veya PII işlemcileri dahil olmak üzere her tür ve boyuttaki kuruluş için geçerlidir.

ISO 27701 Gizlilik Bilgi Yönetim Sistemi’nin Faydaları;

• Kuruluşun ISO/IEC 27001’ e uygun bilgi yönetim sistemini uygulamasını sağlamak ve sürekli gelişim sürecini desteklemek.
• Kurum ve kuruluşun itibarının korumaya yardımcı olmaktır.
• Kişisel verilerin ilgili tarafların bilgilerinin ve bütünlüğünün korunmasını, memnuniyetinin artmasını sağlanması
• Bilgi güvenliği konusundaki taahhüdün yerine getirilmesini ve kontrolünü sağlamak
• GPDR konusunda veri uyumluğunu ve gizliliğini sağlamak, kuruluşların diğer gizlilik yasalarına uyum sağlayacak şekilde standardın kullanılmasına izin vermektir.

ISO 22301 İş sürekliliği, kuruluşların iş sürekliliğinin oluşturulması, uygulanması, izlenmesi, gözden geçirilmesi, sürekliliğinin sağlanması ve iyileştirilmesi için risk yaklaşımını esas alan bir yönetim sistemi standardıdır.

ISO 22301 İş Sürekliliği Yönetim Sistemi’nin Faydaları;

• İş ile ilgili mevcut ve olası tehditleri belirlemek ve bunların yönetilmesini sağlamak,
• Olayların etkisini en aza indirmek,
• Kriz zamanlarında kritik fonksiyonların her zaman çalışmasını sağlamak,
• Sürekliliğinin sağlanması kabiliyetinin kanıtlanması ile günümüz rekabet ortamında avantaj sağlamak,
• Tedarikçilerin, müşterilerin, pay sahiplerinin, çalışanların gereksinimlerini risk değerlendirilmesi yolu ile yerine getirip ayrıca taleplerinin karşılanabilmesi için ihtiyaç duyulan esnekliğin gösterilmesini sağlamak,
• Yaşanan olaylar karşısında kesinti süresinin azaltılması ve kurtarma zamanının iyileştirilmesini ve olayların gerçekleşmesi sonucunda faaliyet duruşlarının en aza indirilmesini sağlamak,
• Kuruluşun saygınlığını, markalarını ve itibarını koruyup, müşteri güven ve memnuniyet derecesini artırmak,
• Kuruluşların iş sürekliliğini temin edebilmesi için sistematik bir yaklaşım sağlamak,
• Kuruluş, çalışanlar, politikalar, planlama faaliyetleri, prosedürler, süreçler ve kaynaklara yönelik şartları içermesi sebebi ile yönetimsel kolaylık sağlamaktır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi, bilgi teknolojileri hizmeti sunan kuruluşların veya kuruluşların alt birimlerindeki müşterilerinin beklentilerini karşılayabilmeleri, hali hazır pozisyonları ve performanslarını sürekli iyileştirme ve geliştirmeleri, ilgili işlemlerini yönetmelerinde ve hizmet vermelerinde hangi yöntemleri nasıl uygulayacakları konusunda kılavuzluk eden bir standarttır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi’nin Faydaları;

• Kaynakların etkin ve verimli kullanımını sağlamak,
• Hizmet süreçlerinde güvenliği, sürati ve erişilebilirliği artırmak,
• İşlerin/problemlerin tekrar tekrar ele alınmasını engelleyerek zaman tasarrufu sağlamak,
• Artan hizmet kalitesi ve daha güvenir kurumsal destekle rekabet avantajı sağlamak,
• Hizmetlerin sunumunda yer alan ekibin rol ve sorumluluklarını belirlemek, memnuniyetlerini artırmak,
• Bilgi teknolojisi yönetim ve işletim maliyetlerini düşürmek,
• Bilgi teknolojisi hizmetlerini çalışır durumda tutmak,
• Bilgi teknolojisi risklerini ve karmaşıklığını yönetmek,
• Müşterilerin ihtiyaçlarını doğru belirleme, doğru hizmet ve zamanlı destekle müşteri memnuniyetini sağlamak,
• Müşteri, son kullanıcı ve iş ihtiyaçlarını karşılayan hizmetlerin sunulmasını garanti altına almaktır

Kişisel Verilerin Korunması Kanunu Uyum Sürecinde şirketler tarafından yapılması gerekenler nelerdir?

Hangi veriler bu kanun kapsamındadır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Müşterilerin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini tutan ve işleyen şirketler bu kapsamdadır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Bundan böyle işverenler, kişisel verilerin korunması konusunda “uyum çalışması” başlatarak, gerekli politika ve prosedürleri hazırlayıp hayata geçirmek, kişisel verileri işleme konusunda strateji geliştirmek durumundadır.

Kişisel verilere uyum çalışması “idari tedbirler” ve “teknik tedbirler” olarak iki grupta toplanmaktadır.

Etkin bir kişisel veri yönetimi için bir plan oluşturulmalı ve verilerin korunması ile ilgili süreçler belirlenmelidir.

• Eğitim
• Organizasyonun belirlenmesi
• KVKK politikasının oluşturulması
• Aydınlatma beyanlılarının oluşturulması
• Açık rıza istenilmesi gereken durumların belirlenmesi ve açık rıza formlarının hazırlanması
• Kişisel verilerin korunması ile ilgili risk analizinin yapılması
• KVKK konusu ve bilgi güvenliği ile ilgili politikaların hazırlanması (Temiz masa, temiz ekran politikası, kabul edilebilir kullanım politikası)
• Gizlilik sözleşmesi hazırlanması
• Tedarikçiler ile gizlilik sözleşmesi hazırlanması
• Veri envanteri hazırlama çalışmaları
• Veri toplama amaçlarının belirlenmesi

KVKK kimleri kapsar sorusunun yanıtı aslında Kanunun 2. maddesinde belirtilmiştir. Kişisel Verilerin Korunması Kanunu ( KVKK ) “kişisel verileri işlenen gerçek kişiler” şeklinde bir düzenlemeye gitmiştir. Buna göre 6698 sayılı Kanun gereğince koruma kişisel verileri işlenen gerçek kişileri kapsamaktadır. Gerçek kişiden kasıt hak ehliyetine sahip olan herkestir.

İlgili maddenin devamı uyarınca kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişilere de uygulanacaktır. Yani KVKK verileri işleyen kimseler bağlamında gerçek veya tüzel kişi ayrımına gitmemiştir. Aynı zamanda tüzel kişiler bakımından özel kuruluşlar ile kamu kurum ve kuruluşları ayrımı da yapmamaktadır. Buna göre verileri işleyenler bağlamında 6698 sayılı Kanun hükümleri gerçek kişilerin yanında her türlü kurum ve kuruluşa da uygulanacaktır.

Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
Gizlilik Taahhütnameleri

Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

6698 Sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında şirketiniz bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini başlatmak gerekmektedir.

Uyum süreci sonunda,
ISO 27001 Bilgi Güvenliği Yönetim Sistemi,(Security Techniques – Code of Practice for Information Security Management
ISO 31000 Kurumsal Risk Yönetim Sistemi Risk Management — Principles and Guidelines)
6698 Sayılı Kişisel Verilerin Korunması Kanun’un GEÇİCİ MADDE 1/3 gereğince Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu kanun 07.04.2016 tarihinde yayınlandığından 07.04.2018 tarihi itibariyle şirketlerin işlemiş oldukları kişisel verileri bu kanuna uygun hale getirmeleri gerekmektedir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yanı sıra Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecektir.
AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekmektedir.
AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir.
Bu düzenlemenin de yürürlüğe girmesiyle Kişisel Verilerin Korunması Uyum Süreci olarak nitelendirilen- Gizlilik ve Veri Korumasına Uyumluluk – Privacy and Data Protection compliance konularında özellikle AB vatandaşlarıyla ilgili verilerle çalışan şirketlerin ve kurumların alması gereken önlemler artacaktır.

TEKNİK TEDBİRLER

• Kara Kutu Testi (Black Box) Yapılması Gerekmektedir.
• Dâhili Test (İç Test) Yapılması Gerekmektedir.
• Ağ Sızma Testleri Yapılması Gerekmektedir.
• Sunucu Sistemleri Sızma Testleri Yapılması Gerekmektedir.
• İstemci Analizi Yapılması Gerekmektedir.
• Detaylı Uygulama Güvenlik Denetimi Yapılması Gerekmektedir.
• DoS/DDoS Testleri Yapılması Gerekmektedir.
• Sosyal Mühendislik Testleri Yapılması Gerekmektedir.
• Raporlama Yapılması Gerekmektedir.

Kontrol
Kişi tespit bilgisinin mahremiyeti ve korunması, uygulanabilen yerlerde ilgili yasa ve düzenlemeler ile sağlanmalıdır.

Uygulama kılavuzu
Kişi tespit bilgisinin mahremiyeti ve korunması için bir kuruluşa ait veri politikası geliştirilmeli ve uygulanmalıdır.
Bu politika, kişi tespit bilgisinin işlenmesinde yer alan tüm personele bildirilmelidir. Kişisel mahremiyetin ve kişi tespit bilgilerinin korunmasına dair bu politikaya ve ilgili tüm mevzuata ve düzenlemelere uyum, uygun yönetim yapısı ve kontrol gerektirir. Genellikle, mahremiyet yöneticis gibi bu işten sorumlu olacak bir kişinin atanması ile iyi bir sonuç elde edilebilir. Bu kişi; yöneticilere, kullanıcılara ve hizmet sağlayıcılara kendi bireysel sorumlulukları ve takip etmeleri gereken prosedürleri hakkında rehberlik etmelidir. Kişi tespit bilgisini işlemek için sorumluluklar ve mahremiyet ilkelerinin sağlanması hususunda farkındalık, ilgili yasal ve düzenlemelere uygun olarak ele alınmalıdır. Kişi tespit bilgilerini korumak için uygun teknik ve kurumsal önlemler alınmalıdır.

Diğer bilgiler
ISO/IEC 29100[25] standardı, bilgi ve iletişim teknolojisi sistemlerinde kişi tespit bilgisinin korunmasına yönelik yüksek seviyeli bir çerçeve sağlar. Bazı ülkeler, kişi tespit bilgisinin toplanması, işlenmesi ve iletiminde kontrolleri yerleştirmek için düzenlemeler yapmıştır (Genellikle bu bilgilerden bilgilerin sahibi tespit edilebilir).
İlgili ulusal düzenlemelere bağlı olarak, bu tür kontroller kişi tespit bilgisini toplayan, işleyen ve dağıtan kişiler sorumluluklar getirebilir ve aynı zamanda diğer ülkelere kişi tespit bilgisinin transferi aktarılmasını imkânını sınırlayabilir.

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecek. Güvenlik alanındaki uzmanlar tarafından 2016’nın ikinci çeyreğinden beri tartışıtılmakta olan bu yönergenin ne gibi faydaları olacağı da merak konusu. Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş durumda. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak adlandırılmaktadır. Siz, biz ve diğer herkes, kişisel verilerimizin sahipleriyiz.

Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise odak noktası doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş. Kişisel verileri işleyen herkes, ilgili kişinin haklarını gözetlediğinden emin olmak zorunda. Dolayısıyla GDPR ile artık madalyonun diğer yüzüne geçildi diyebiliriz.

GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapıldı. Artık, en ufak bir veri dahi doğrudan, yaşayan birine aitse, bu veri artık kişsel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade ediliyor. Bu sayede veri madenciliği ve Big Data uygulamaları ile uğraşanların da farklı kaynaklardan veri paylaşımı ya da birleştirmek gibi konularda büyük bir mücadeleye gireceği öngörülüyor.

İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden yeniden muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekecek.

Her ne kadar piyasada, firmalara kişisel verilerin işlenmesiyle ilgili yardımcı olacak, verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da GDPR uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak da bir başka önemli zorunluluk. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim de bir diğer önemli konu.

Güvenlik politikaları ve işletmenin hedeflerini revize etmek ilk adım için önemli. Sonrasında yöneticilerin ve çalışanların bu konuda eğitim almalarının desteklenmesi gerekmekte. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi ve bu belgelendirme işleminin de GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirmesi gerek.

GDPR uyum konusunda yapacağınız her türlü çalışmanın her aşamasında profesyonel GDPR danışmanlarımızdan teknik destek alabilirsiniz.

Hizmet sağlayıcıların arama, sms, e-posta aracılığıyla ticari elektronik ileti göndermek için alıcılardan aldıkları izinleri saklayıp yönetebilecekleri, alıcıların da verdikleri izinleri görüntüleyip, reddedebilecekleri, şikayet edebilecekleri ve yönetebilecekleri, kamunun ise ileti şikayetlerini ve şikayete konu izni görüntüleyebileceği, web sitesi, kısa mesaj numarası ve çağrı merkezi üzerinden hizmet verecek, güvenlik standartlarına sahip ulusal bir veri tabanı sistemidir.

Kısaca, Ticari Elektronik İleti onayı alınmasına, reddetme hakkının kullanılmasına ve şikayet süreçlerinin yönetilmesine imkan tanıyan sistemdir. İYS kayıt yaptırmadan, onayı olmayan alıcılara sesli arama, e-posta ya da sms ile ticari elektronik ileti gönderilemeyecek.

Ticaret Bakanlığının 23/10/2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna dayanılarak Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliği 01.12.2020 tarihinden itibaren yürürlüğe girecek.

Gerçek ve tüzel kişilerin ticari faaliyetleri kapsamında ürün, hizmet ve işletmelerinin tanıtımını yapmak için elektronik iletişim araçlarıyla (telefon, çağrı merkezleri, faks, kısa mesaj vb.) yapılan her türlü iletişime, ticari elektronik ileti denir.

Telefon, Çağrı merkezleri, Faks, Otomatik arama makineleri, Akıllı ses kaydedici sistemler, Elektronik posta Kısa mesaj hizmetidir.

Sesli arama, e-posta veya sms gibi ticari elektronik ileti göndermek isteyen gerçek ve tüzel kişiler İleti Yönetim Sistemi (İYS)'ne kaydolmak zorundadır. Yalnızca sistem üzerinden onayı alınan alıcılara ticari elektronik ileti gönderilebilecek.

İleti Yönetim Sistemi üzerinden alınmayan onaylarda, onayın alındığına dair ispat yükümlülüğü, hizmet sağlayıcıya aittir. İYS'den alınmayan onaylar, hizmet sağlayıcı tarafından 3 gün (iş günü) içinde İYS'ye kaydedilmek zorunda. İleti Yönetim Sistemi kaydedilmeyen onaylar geçersiz sayılacak.

Sesli aramada; tacirler, ticaret unvanına, esnaf, adı ve soyadına yer verebilecek. Hizmet Sağlayıcı, ilaveten firma veya marka ismi gibi bilgilere de yer verebilecek ayrıca ret bildirimlerini 3 gün içinde İYS'ye bildirmekle yükümlü olacak.

Alıcı, reddetme hakkını İleti Yönetim Sistemi üzerinden de kullanabilecek. Şikayet başvuruları, İYS üzerinden ön incelemeyle değerlendirilecek.

Yönetmelik gereğince 1 Aralık 2020'ye kadar İleti Yönetim Sistemi'ne aktarılmayan onaylar geçersiz olacaktır. İleti Yönetim Sistemi'ne yüklenen geçmiş tarihli tüm izinlerin ispat yükümlülüğü hizmet sağlayıcıdadır. Ancak 1 Aralık 2020'den itibaren ispat yükümlülüğü İYS'de olacak şekilde İYS Yolu modülünü kullanarak onay almaya başlayabilirsiniz.

Sistemi kullanmak için İleti Yönetim Sistemi başvuru formunu kullanarak gerekli bilgi ve belgeleri iletmeniz gerekmektedir. Başvuru aşamasında girmiş olduğunuz bilgi ve belgeler kontrol edilip doğrulandıktan sonra hesabınız kullanıma açılır.

Hizmet Sağlayıcı'nın MERSİS numarası ve ticari elektronik ileti gönderimi yaptığı markaların tescil belgeleri (ve elektronik imzalı İleti Yönetim Sistemi Temel Hizmetler Kullanım Taahhütnamesi) İmza yetkilisinin T.C. kimlik numarası, cep telefonu numarası, kurumsal e-posta adresi.

Müştereken temsile yetki durumunda en az bir yetkilinin daha ilk yetkili tarafından imzalanmış dokümanı imzalaması gerekmektedir.

Bu bilgi ve belgelerin yanı sıra, marka bazında sahip olduğunuz onaylı kayıtlı elektronik iletişim adresi sayılarınız talep edilir.