/ 01Veri envanteri çıkarın
Hangi kişisel veriyi, hangi amaçla, hangi süre boyunca sakladığınızı kayıt altına alın. Bilinmeyen veri yönetilemez.
Envanter, tüm uyumluluk çalışmalarının temelidir.
/ 02Açık rıza ve aydınlatma
Veri toplarken amacı açıkça belirtin. Rıza gerektiren durumlarda açık, anlaşılır ve spesifik rıza alın.
Varsayılan kutucukları işaretlenmiş formlar rıza yerine geçmez.
/ 03Erişim kontrolü
Kişisel verilere yalnızca yetkili personel erişebilmeli. Rol bazlı erişim ve log kayıtları şart.
'Herkes her şeye erişebilir' yaklaşımı hem güvenlik hem uyumluluk riski yaratır.
/ 04Veri minimizasyonu
İhtiyacınız olandan fazla veri toplamayın. Her ek alan, ek risk ve ek saklama yükümlülüğü demektir.
Sadece gerekli olanı alın, gerekli olmadığı anda silin.
/ 05Şifreleme ve yedekleme
Hem aktarım sırasında (TLS) hem de depolamada şifreleme kullanın. Düzenli yedekleme ve test edilmiş geri yükleme planı olmazsa olmaz.
/ 06İhlal yönetim planı
Veri ihlali yaşandığında 72 saat içinde KVKK'ya bildirim yükümlülüğü vardır. Süreci önceden planlayın; kriz anında kaybedecek vakit yoktur.
/ 07Düzenli denetim
Yılda en az bir kez iç denetim yapın. Değişen süreçler yeni veri akışları doğurabilir.
Uyumluluk bir durum değil, süreçtir.