[Çözüldü] Kvkk da file server'ın yönetim şekli

Fişi çekerek 🙂

İşin şakası bir yana KVKK ücretli danışmanlık alarak çözebileceğiniz bir konu. Burada sadece teorik olarak nedir, ne yapmalı gibi bilgiler verebilir yada ulaşabiliriz. 

İşin teknik, kanuni, uygulama taraflarında danışmanlarla hareket etmekten başka çare yok.

Konuyu ISO süreçleri gibi değerlendirin. Firmanız dürüst, personelinin verilerini kötü bir amaç için değil, tam tersine personelinin özlük hakları, yemek-servis süreçleri vb. temel süreçlerini yönetmek için kullanıyor. O zaman firmanız bir şekilde denetime tabi olduğunda bu dürüstlüğünü ıspatlamak zorundasınız. Eğer gerekliyse (yasal zorunluluk nedeni ile almış olduğunuz veriler için açık rıza almak zorunda değilsiniz) personelden alınan açık rıza metniniz anlaşılır olmalı ve genel metinler içermemeli (örnek: Verilerinizi sizin haklarınızı korumak için alırız ve gerekli tedbirleri alarak saklarız vb.). Personelin kolayca görüp okuyabileceği (çay içme alanları, yemekhane vb.) alanlarda yayınlanmalı. Aynı şekilde aydınlatma metninizde süreçleriniz detaylı bir şekilde izah edilmeli. Web sitenizde firmanıza verilerini paylaşan kişiler için başvuru formunuz olmalı. Tüm süreçler dökümante edilerek yönetilmeli. Sorunuzda aslında yetki matrisini soruyorsunuz. Evet bunu nasıl yapacağız ? Ancak şöyle düşünün, şu anda kurumunuzda herkez herşeye erişiyorsa zaten bir problem mevcut demektir. Size düşen yetkilendirme süreçlerini düzenlemek, bunları dökümante etmek ve denetim anında erişim kayıtlarına ulaşmak. Kanunun ve kurumun da yapmak istediği şey bu aslında. Verilere erişimi ve verilerin paylaşılmasının kontrol altında tutulmasını istiyor ve sizi bunun için önlemler almaya zorluyor. Yazılacak daha çok şey var ancak toparlarsak @aliuysal beye bende katılıyorum. Danışmanlık almakta fayda var, çünkü kanunda öyle metinler var ki ne tarafa çekseniz, o tarafa gidiyor, bu sebeple danışman firmanın tecrübelerinden istifade edip genel uygulama ile ilgili hızlı çözümler üretebilirsiniz. Tamam danışmanlık faydalı ancak danışman firmalar da şirketinize geldiğinde, detaylı yetki matrislerinden tutun da, prenetasyon testlerine kadar birçok şeyi yapmanızı isteyecektir. Hazır bu kadarını yaptık bari ISO27001 standartlarını oluşturalım diyeceklerdir. Belki firmanızda olmayan birçok süreç ile ilgili yatırım kararı almanız gerektiği noktasında yönlendireceklerdir. Riski değerlendirip sonuçlandırmak yine sizin insiyatifinizde. Gözlemlediğimiz şöyle bir süreç var. Biz zaten herşeyi bilgisayarda tutuyoruz KVKK süreçlerini bilgi sistemleri çözsün. Ben bu görüşe katılmıyorum. Evet bilgi sistemleri sürecin içerisinde olmalı, kendi süreçleri ile ilgili formlarını ve prosedürlerini yapmalı ancak işin idari ve hukuki boyutunu çözmesi beklenmemeli. Personel, satış, iş akdi sözleşmelerinin incelenmesi ve düzenlenmesi, aydınlatma, açık rıza metinlerinin düzenlenmesi, güvenlik noktasında matbu form ile yapılan iş başvurularında girilen bilgilerin ne olacağı vb. süreçleri takdir edersiniz ki bilgi sistemleri yönetmemelidir. Bu sebeple konu teknik ve idari tedbirler olarak ayrılmış olup bilgi sistemleri ile birlikte yönetilmelidir. Son olarak Kişisel Verileri Koruma Kurumunun yayınlamış olduğu Verilerin İşlenme Şartları ile ilgili dökümanı paylaşıp yazımı sonlandırayım. Dostlukla...

Merhaba

cevaplarınız için teşekkürler.  bizden aşağıdaki sorunun cevabını istiyor. Ortak alanın yönetimi için ne yapabiliriz.  Buradan file server kastediyorum. bu konuda bilgi verebilirmisiniz. Yani kısacası Kvkk File server yönetilmesi (Yetki verilmesi, dsyalara erişim gibi) için bize şu olmalı diye bir şey diyormu

 Ortak alanların yönetimi incelenecek ve KVKK ile uyumlu hale getirilecektir

Ali bey Merhaba,

Aşağıdaki makaleye göz atmanızı tavsiye ederim.

https://www.cozumpark.com/kvkk-teknik-tedbirler-ve-sistem-yoneticisi-rehberi/

Teşekkürler