GDPR 

Danışmanlık Hizmetleri

GDPR Uyum Süreci Danışmanlık Hizmetlerimiz ve Çözümlerimiz Hakkında Ayrıntılı Bilgi Almak İçin Bizimle İletişime Geçebilirsiniz.

GDPR Consultancy Services
GDPR

GDPR Kimleri Kapsar?

95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’nin yerine 25 Mayıs 2018 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü (“GDPR” – General Data Protection Regulation – (EU) 2016/679”), Avrupa Birliği (“AB”) üye ülkeleri ve Avrupa Ekonomik Alanı (“EEA”) mukimlerinin kişisel veri güvenliğini ve mahremiyeti sağlayabilmek amacıyla oluşturulmuş doğrudan bağlayıcı bir yasal çerçevedir.

 

GDPR; AB/EEA sınırları içinde ya da dışında kurulmuş olması fark etmeksizin, AB/EEA vatandaşlarına veya mukimlerine mal ve hizmet sunarak veya bu kişilerin davranışlarını izleyerek kişisel veri işleyen tüm işletmeleri kapsamaktadır.

 

Buna göre; işletmenin AB/EEA sınırları içerisinde bulunan kuruluşu, faaliyetleri gereği kişisel veri işliyor veya merkezi ve faaliyet alanı AB dışında olsa dahi, şayet AB/EEA sınırları içerisinde mal ve hizmet sunumuna ilişkin herhangi bir faaliyet gösteriyor ise GDPR hükümlerine uyum sağlanması gerekmektedir.

GDPR gerekliliğinizi, Youtube videomuzu izleyerek ya da aşağıda bulunan
anketi cevaplayarak kontrol edebilirsiniz.
“Hesap Verilebilirlik”, “Yönetişim”, “Şeffaflık” gibi önemli prensipleri adresleyen 
GDPR hükümlerine tabi veri sorumlusu / veri işleyenlerin uyum sağlaması gereken 
bazı önemli yükümlülükler aşağıdaki gibidir:

GDPR’nin 37. maddesi uyarınca düzenli ve sistematik şekilde işleme ve büyük çapta izleme faaliyeti gerçekleştiren kuruluşlar DPO atamak ve ilgili veri koruma otoritesine bildirim yapmak zorundadır.

 

GDPR’nin 27. maddesi uyarınca AB dışında kurulu ancak AB/EEA sınırları içerisinde mal ve hizmet sunan kuruluşlar AB’de mukim bir DPR tayin etmek zorundadır.

 

DPO’nun birincil rolü görev yaptığı kuruluşun personelinin, müşterilerinin, tedarikçilerinin veya diğer kişilerin (veri sahiplerinin) kişisel verilerinin yürürlükteki veri koruma mevzuatına uygun olarak işlemesini sağlamaktır. DPR ise ilgili AB otoriteleri ve veri sahipleri ile temsilcisi olduğu kuruluş arasında köprü görevi üstlenir.

250’den fazla çalışanı olan kuruluşlar içerisinde işlenen verilere dair süreç analizi ve faaliyet kaydının tutulması gerekmektedir.

Veri sahipleri ve kuruluşlar arasındaki dengesizlikleri azaltmak için bireylere verilerinin işlenmesi üzerinde belirli haklar verilmiştir. Bunlar; kendi verilerine erişme hakkı, bilgi edinme hakkı, silme (unutulma) hakkı, düzeltme hakkı, veri taşınabilirliği hakkı, itiraz etme hakkı gibi haklardır. Veri sorumlularının bu haklara dair gerekli altyapıları kurması gerekmektedir.

Yeni işleme faaliyetlerinin ortaya çıkması durumunda, veri sorumluları veri işleme faaliyetine başlamadan önce amaçlanan işlemin olası etkisini inceleyerek bu riskleri dikkate almalıdır. GDPR’nin 35. maddesi uyarınca ilgili veri işleme faaliyetinin bireylerin temel hak ve özgürlükleri için yüksek risk oluşturabileceği durumlarda DPIA yapılması gerekmektedir.

Kuruluşlar veri işlerken veri sahiplerinin hak ve özgürlüklerini zedeleyebilecek herhangi bir riski önleyecek ve en aza indirecek süreçleri tasarlamak ve veri işleme faaliyetinin her aşamasında kişisel verilerin korunması hakkının etkilerini dikkate alarak gerekli tüm teknik ve idari tedbirleri uygulamakla yükümlüdür.

 

Verilecek ürün ve hizmetlerin, tasarım safhasının başından itibaren mahremiyet ilkelerine uyum sağlayacak biçimde ele alınan risk yönetimi odaklı veri mimari metodolojisine göre yapılandırılması gerekmektedir.

 

Bu doğrultuda iş süreçlerinin mahremiyete uygun şekilde tasarlanması (Privacy By Design & Default) ve sağlam bir yönetişim modeli kurulması oldukça önemlidir.

Uygunluk kararı/yeterli düzeyde korumaya sahip üçüncü ülkelerin belirlenmesi, standart sözleşme hükümleri (SCC’s), bağlayıcı şirket kuralları (BCR), davranış kuralları (CoC) ve sertifikasyon mekanizmaları, veri sahipleri için uygulanabilen haklar ve hukuki çareler (derogations) dahil olmak üzere kişisel verilerin sınır ötesi aktarımı ve EEA içerisinde dolaşımı üzerine belirlenen bazı önemli kurallardır.

 

Sınır ötesi veri aktarımı yapan kuruluşların konuya dair gereken özeni göstermesi gerekmektedir.

GDPR Para Cezaları

Veri sorumluları/veri işleyenler için oldukça geniş kapsamlı etkileri bulunan GDPR’de yer alan (işlenen verilerin kayıtlarını tutma mecburiyetine uyulmaması, teknik ve idari güvenlik tedbirlerin alınmaması, veri koruma otoritesine ve/veya veri sahiplerine yapılması gereken bildirimlerin gerektiği gibi yapılmaması, kişisel verilerin işlenmesine ilişkin “şeffaflık, hesap verilebilirlik, bütünlük ve gizlilik” ilkelerine uygun davranılmaması) yükümlülükleri karşılayamayan kuruluşlar yıllık küresel cirolarının %2’si ila %4’ü veya 10 milyon Euro ila 20 milyon Euro gibi yüksek meblağlı idari para cezaları ile karşı karşıya kalabileceklerdir.

Jurcom GDPR Kapsamında Nasıl Danışmanlık Hizmeti Vermektedir?

Hollanda / Lahey merkezli JURCOM GRC, müşterilerine GDPR kapsamında yasal düzenlemelere uyum projeleri, denetim ve risk değerlendirme hizmetleri, Veri Koruma Görevlisi ve Temsilci (DPO/DPR) hizmetlerinin yanı sıra kişisel veri işlenen faaliyetlerin kaydının oluşturulması ve güncellenmesi, veri mahremiyeti etki analizi, veri maskeleme çözümleri, veri sahibi talep yönetimi yapılmasına ilişkin hizmetler, AB ve Türkiye’deki uluslararası standartlara uygun olarak veri koruma ile ilgili şirket içinde geliştirilen yazılımımız (KVKKobi) aracılığıyla diğer uyum hizmetlerini sunmaktayız. Hollanda /Lahey merkezli firmamız Avrupa sınırları içerisinde sunduğu hizmetler ile, GDPR kapsamında Uyum Danışmanlığı, Denetim ve Risk Değerlendirme Danışmanlığı, DPO ve DPR Hizmetleri sunmaktadır.

JURCOM GRC Services

GDPR Danışmanlık Hizmetlerimiz

Uyum Danışmanlığı

Denetim ve Risk Değerlendirme

Sürekli Danışmanlık