1
İZMİR BAROSU
KVKK DANIŞMANLIK ŞARTNAMESİ – AĞUSTOS 2021 1) İŞİN TANIMI VE KAPSAMI
Bu Şartname konusu işin adı “İzmir Barosu Kişisel Verileri Koruma Kanunu Teknik ve Hukuki Uyum Projesi”dir. İşin kapsamına İzmir Barosu (kısaca “BARO”) tüzel kişiliği dahildir.
2) AMAÇ ve YÖNTEM
Bu Şartname’nin amacı, BARO’nun 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı başta olmak üzere kişisel verilerin korunması ile ilgili mevzuata uyumlu hale gelmesi için gerçekleşmesi gereken işlerin tespit ve gerçekleşmesinin temini için yapılacak işlerin belirlenmesidir.
BARO 2886 sayılı Devlet İhale Kanununa veya 4734 sayılı Kamu İhale Kanununa tâbi değildir. Bu Şartname konusu işlere dair teklifleri kabul edip etmemekte veya verilen tüm teklifleri gerekçe dahi göstermeksizin kabul etmemekte tamamen serbesttir.
3) ÇALIŞMA YÖNTEMİ
Herhangi bir teklifin kabul edilmesinin ertesinde, teklifi kabul edilen adaya bu konuda bir bildirim yapılacak ve sözleşmenin kurulduğu duyurulacaktır. Aşağıdaki süreler, bahsedilen bildirimin yapılmasından itibaren hesap edilecektir.
a) Proje Planı
YÜKLENİCİ, Sözleşmenin kurulmasını takiben 2 (iki) hafta içinde Proje Planı hazırlanacak ve onaylanmak üzere BARO’ya sunulacaktır. Proje Planında, çalışmaların bir GANTT şeması şeklinde, haftalara bölünmüş detaylı takvimleri ve katılımcı birimler yer alacaktır.
Proje Planındaki sapmalara karşı gerekli revizyonlar ancak BARO onayıyla ve işin tamamlanma süresini aksatmayacak şekilde yapılabilir.
b) Toplantı ve Çalışma Yöntemi
YÜKLENİCİ; proje süresince, BARO tarafından oluşturulan Proje Ekibi ile birlikte çalışacak, toplantılar yapacak, çalışmalar, BARO tarafından belirlenecek lokasyon ve zaman planında belirtilen tarih ve saatte bir araya gelinerek ve ilgili birimlerle bizzat çalışılarak gerçekleştirilecektir.
YÜKLENİCİ’nin hazırlayacağı ilerleme, haftalık raporlar ile BARO’ya sunulacak ve her ay BARO Yönetimine bilgilendirme sunumu yapılacaktır.
2 4) İSTEK VE ÖZELLİKLER
a) Proje Genel Prensipleri ve Kapsamı
i. Proje planının son hali verilmeden önce BARO görüş ve beklentilerinin alınmasına yönelik bir açılış toplantısı planlanacaktır. Bu toplantıda BARO Yönetimine proje ekibine Kanun ve güncel gelişmeler hakkında bilgi verilecektir.
ii. BARO’nun mevcut organizasyonu, BT işleyişi, kişisel veri yönetişim ve koruma yöntemleri incelenecek ve anlaşılacaktır.
iii. BARO’nun kişisel verilerin korunması ve BT güvenliği ile ilgili mevcut dokümantasyonu incelenecek, gerekli görülen politika, prosedür vs.’nin neler olacağına ilişkin taslaklar hazırlanacak ve onaya sunulacaktır. Bu konudaki temel çıktıların neler olduğu, aşağıda 7. Maddede belirtilmiştir. YÜKLENİCİ, proje kapsamında bunlar dışındaki öneri ve taslakları da hazırlayacaktır.
iv. Bu kapsamda:
Anahtar paydaşlar (süreç / iş sahipleri) tanımlanacak,
Kişisel veri işlenen anahtar faaliyetleri anlaşılacak,
BT altyapı özellikleri ve ana araçları (yazılım, uygulama, veritabanı, raporlamalar, vb.) anlaşılacak. (Bkz. m. 8)
Uyumla ilgili hususlar tespit edilecek,
Kişisel verilerin korunması süreçlerine ve ilgili altyapıda değişikliğe sebep olabilecek devam eden projeler (varsa) tespit edilecektir.
Kişisel verilerin korunması ile ilgili olarak BARO’yu ilgilendiren tüm mevzuatın tespit edilmesi, süreç ve sistemlerle ilişkilendirilmesi sağlanacaktır.
v. Aşağıdaki konular dahil edilerek bir değerlendirme planı da hazırlanacaktır:
BARO’nun iş, operasyon, teknoloji gibi KVKK kapsamında süreç işleten ve veri işleyen tüm birimlerine yönelik KVKK bilgilendirilmesi yapılacaktır.
Proje süresince, BARO çalışanlarının süreçlerini ve işledikleri verileri KVKK’ya uyumlu ve analizine uygun şekilde çıkarabilmeleri amacıyla birim toplantıları/çalıştaylar düzenlenecektir.
KVKK ve yürürlükteki ilgili sair mevzuat ile ilgili soru setleri ilgili birimlere gönderilecektir.
Bilgi/siber güvenlik ile ilgili hususlara yer verilecektir.
Organizasyon, süreç ve veri değerlendirme ve envanter oluşturma çalışma planı düzenlenecektir.
vi. Değerlendirme planı hazırlanırken, temel olarak:
KVKK ve yürürlükteki ilgili yönetmelik, tebliğ, karar ve sair mevzuat.
BARO’nun veri yönetimi ve mahremiyetle ilgili standartları.
3
BARO’nun BT ortamındaki mevcut ve planlanan (örneğin bilgi mimarisi, BT altyapısı gibi) değişiklikler.
BARO bünyesinde kişisel verilerin korunması ile ilgili başlattığı uygulamalar ve bağlantılı hususlar dikkate alacaktır.
vii. Oluşturulan değerlendirme planına uygun şekilde boşluk analizi çalışması aşağıdaki aşamalarla gerçekleştirilecektir.
Süreç ve veri envanterinin oluşturulması için ilk aşamada yapılan planlama çerçevesinde BARO’nun anahtar paydaşları ve kişisel veri işleyen tüm iş birimleri ve departmanlarla toplantılar yapılacaktır.
BARO’nun GDPR m.3 kapsamında GDPR’a tabi iş süreçlerinin olup olmadığı analiz edilecektir.
Yapılan toplantılar sonucunda, firma tarafından tespit edilen kişisel veri süreçlerine ilişkin olarak kişisel veri işleme operasyonlarının KVKK ve ilgili mevzuata ve iç kurallara/standartlara uyumu değerlendirilecektir. Değerlendirme aşağıdaki önemli noktalar ele alınacaktır:
Veri işleme amaçları,
Özel nitelikli Kişisel Verilerin varlığı ve ilgili verilerin saklanmasına ve aktarılmasına ilişkin alınan tedbirlerin yeterliliği,
Veri işlemenin hukuki dayanakları,
Güvenlik ve gizlilik gereklilikleri (erişim hakkı yönetimi vb.’yi içerecek şekilde)
Veri koruma ve saklama prensipleri,
Ülke dışına veri transferi,
İlgili kişilerin aydınlatılması ve açık rıza,
İlgili kişilerin hakları, hak taleplerinin değerlendirilmesi ve yanıtlanması,
Ülke dışı veri aktarımı sürecinin değerlendirilerek alınması gereken tedbirlerin belirlenmesi,
Verilerin imha süreci kapsamında süre ve yönteminin belirlenmesi.
viii. Açık rıza alınmış, istisna kapsamında olan veya açık rıza gerektiren süreçler tespit edilerek süreç ve veri envanterinde ve envantere ekli raporda açıklamalı olarak yer alacaktır. Buna göre, BARO’nun gerçekleştirdiği her kişisel veri işleme sürecine dair tespit ve hukuki değerlendirmeler yapılacak ve yapılması gerekli işlem planları oluşturulacaktır.
ix. Kişisel veri yaşam döngüsü hazırlanacak, süreç ve teknoloji eşlemeleri yapılacak ve gerekli dokümantasyon hazırlanacaktır.
x. Kişisel veri işleme şart ve koşulları Kanuna ve BARO politikalarına uygun şekilde tasarlanacaktır. Bu çerçevede:
4
KVKK uyumu kapsamında ilgili tüm sözleşme, metin ve dokümanlar, aydınlatma yükümlülüğü kapsamındaki aydınlatma metinleri, just-in-time aydınlatma metinleri, belge ve dokümanlar ve açık razı metinleri de gözden geçirilecek ve hukuki değerlendirme yapılacaktır.
Varsa anahtar sistem, süreç kayıtları ve dokümantasyon gözden geçirilecektir.
İlgili uygulamaların ve BT altyapısının güvenliği ve mahremiyet ile ilgili durumları değerlendirilecektir.
Güvenlik süreçleri değerlendirilecektir,
Var olan BT bileşenlerinin örneklem bazlı olarak güvenlik konfigürasyonları incelenecektir,
Fiziksel ve basılmış kişisel veri bulunduran ofislerin ve diğer lokasyonların fiziksel güvenlik değerlendirmeleri dâhildir.
Organizasyon, süreç ve veri altyapısının KVKK kapsamında değerlendirilmesi yapılacaktır.
KVKK ile ilgili uygulamalar sahada tespit edilerek gözlemlenecektir.
Bir tespit tablosunda tüm bulgular, eksiklikler ve geliştirme noktaları listelenecek ve raporlanacaktır.
Tespit edilen hususların iş, süreç, uygulama ve BT sahipleri ile doğrulanması sağlanacaktır.
Tespit edilen hususların BARO organizasyonuna, ana kişisel veri işleme operasyonlarına, BT altyapısına ve ana araçlara olan etkisinin değerlendirilmesi yapılacaktır.
Veri yaşam döngüsünün dokümantasyonu ve sistem entegrasyonu ile iş akışları hazırlanacaktır.
Süreç incelemelerinin sonucunda; tüm iş süreçlerinin, kişisel veri işleme operasyonlarının, kişisel verilerin korunmasına ilişkin KVKK ve yürürlükteki ilgili yönetmelik, tebliğ, kurallar ile uyumu değerlendirilecek ve raporlanacaktır.
b) Dokümantasyon; YÜKLENİCİ, KVKK mevzuat ve kurumun zorunlu kıldığı politika vs.
doküman yanında, yapacağı inceleme sonucunda saptayacağı ve BARO’nun KVKK uyumu açısından uygulanmasının yararlı olacağını değerlendireceği sair dokümantasyonu hazırlayacak ve BARO onayına sunacaktır. Uyum çerçevesinde eksikliği fark edilecek sair dokümanlar da hazırlanacaktır. BARO’nun ihtiyaç duyacağı değerlendirilen temel doküman isimleri aşağıdaki gibidir. YÜKLENİCİ tarafından düzenlenecek raporların BARO tarafından incelenmesi sonucunda talep edilecek sair doküman da ayrıca hazırlanıp, BARO onayına sunulacaktır:
1) Kişisel Verilerin Korunması Ana Politikası,
2) Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Politikası, 3) Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Tedbirler
Politikası,
4) İhlal Yönetimi Politikası,
5) İlgili Kişi Başvuru Yönetimi Politikası,
5
6) Kişisel Veri Kaybı Bildirimi Eskalasyon Politikası,
7) Kişisel Verilerin İşlenmesinde Erişim Yönetimi Politikası, 8) Bilgi Güvenliği Politikası,
9) Denetim Prosedürü 10) Aydınlatma Metinleri, 11) Açık Rıza Metinleri,
12) Çalışan vs. Gizlilik Sözleşmeleri, 13) Kişisel Veri Paylaşımı Sözleşmeleri, 14) E-posta KVKK bildirimleri,
15) Sair dokümantasyonun incelenmesi, politikaların uygulanmasına esas teşkil edecek talimat, prosedür, form vs.
c) Teknik Tedbirler
1) Kişisel Verileri Koruma Kurulu’nun Kişisel Veri Güvenliği Rehberi başta olmak üzere yayınladığı rehberler ve verdiği kararlar ile çıkardığı tebliğler kapsamında alınması gereken teknik tedbirlerin, bu tedbirlere dair detaylı kontrol listesinin hazırlanması, hazırlanan listelerin tedarikçiler ile paylaşılması ve sonuçların analiz edilip gerekli bilgilendirme-tavsiye metinlerinin hazırlanması.
2) KVKK ile ilgili yazılım ekosisteminin incelenmesi, veri minimizasyonu kapsamında yapılması gereken yetki kısıtlamalarının ve veri maskelemenin belirlenmesi.
3) Varsa yurtdışı ve yurt içi veri aktarımlarının incelenmesi, yurtdışı aktarım ile ilgili metodun seçilmesinde ve kurulacak teknik altyapıya dair danışmanlık hizmeti verilmesi 4) Teknik altyapının değerlendirilmesi ve özellikle en fazla cezaya maruz kalınan kullanıcı hesap ve yetki yönetimi, loglama ve korelasyon kurallarının çalıştırılması, IDS – IPS – DLP-SIEM sistemlerinin kurulması veya var olanların konfigüre edilmesi, gerekli görüldüğü taktirde eklemeler gerçekleştirilmesi, talep halinde değişiklikler ile son haline getirilmesi veya yeniden hazırlanması
5) Teknik altyapı ve tedbirlerin aşağıdaki başlıklara göre projelendirilmesi:
Altyapı güvenliği.
Uygulama güvenliği.
Kimlik ve erişim yönetimi ve güvenliği.
Son kullanıcı güvenliği.
Tehdit & güvenlik yönetimi.
Veri güvenliği.
Kişisel veri yönetimi yapısı ve uygulaması.
d) Kişisel Veri İşleme Envanteri Hazırlanması
1) Kişisel Veri İşleme Envanterinin Veri Sorumluları Sicili Yönetmeliği Kapsamında hazırlanması ve analizi, (Bu konuda öncelikle bir anket kalıbı hazırlanacak ve BARO onayına sunulacaktır. BARO, kişisel veri işleme envanterinde yer almasını talep edeceği başlıkları bildirecektir. YÜKLENİCİ, envanteri BARO talebini de dikkate alarak ve BARO görevlileri
6
ile görüşmeler, toplantılar vs. yaparak hazırlayacaktır. Bunun için gerekebileceği değerlendirilen eğitim vs. planlama da YÜKLENİCİ tarafından yapılarak BARO onayına sunulacaktır.)
2) Kişisel Veri İşleme Envanterinin süreç – birim – veri – amaç unsurları başta olmak üzere ilişkili veri tabanı şeklinde ve süreçlere dayalı olarak içerik yönünden incelenmesi, gerekli görüldüğü taktirde eklemeler gerçekleştirilmesi, BARO’nun talebi halinde değişiklikler ile son haline getirilmesi veya yeniden hazırlanması.
3) Kişisel Veri İşleme Envanterleri’nin VERBİS kayıtları ile uyumlu hale getirilmesinin sağlanması.
4) Kişisel Veri İşleme Envanteri’nde gösterilen veri işlemelerinin Kanun’un 4. maddesindeki ilkelere ve 5. maddesindeki işleme şartlarına uygunluğunun incelenmesi, gerekli görüldüğü taktirde eklemeler gerçekleştirilmesi, talep halinde değişiklikler ile son haline getirilmesi veya yeniden hazırlanması.
5) Kişisel Veri Envanterindeki verilerin sınıflandırılması.
6) Envanter çıktılarına göre VERBİS kaydına danışmanlık yapılması ve kayıt esnasında eşlik edilmesi.
e) KVKK Uyumu ile İlgili Yönetişim Modeli
1) Farkındalık eğitimlerinin incelenmesi ve yeni eğitim düzenlenmesi.
2) BARO’daki görev tanımları esas alınarak rol bazlı yetki ve erişim matrislerinin oluşturulmasına destek verilmesi.
3) KVKK Komitesi kurulması ve Çalışma Yönerge taslağının hazırlanarak BARO onayına sunulması.
5) GENEL KURALLAR
a) YÜKLENİCİ, proje kapsamındaki hizmetlerin Proje Planına uygun olarak eksiksiz ve zamanında yerine getirilmesinden bizzat sorumludur.
b) YÜKLENİCİ, başta Proje Koordinatörü olmak üzere, BARO tarafından görevlendirilecek kişiler ile yakın işbirliği içerisinde çalışmasından sorumludur.
c) BARO’nun YÜKLENİCİye aktaracağı veya YÜKLENİCİ’nin herhangi bir şekilde elde edeceği bütün teknik, stratejik ve gizli bilgi ve belgeler, mesleki bilgiler ve sırlar, Proje kapsamında oluşturulan tüm çıktılar BARO’nun mülkiyetinde olup, YÜKLENİCİ edindiği bilgi ve belgeleri, sırları, çıktıları gerek Proje süresince gerekse Projenin sona ermesinden sonra süresiz olarak hiçbir şekilde ifşa edemez. BARO’nun açık izni olmadıkça, YÜKLENİCİ bu bilgi ve belgeler ile çıktıları hiçbir şekilde kullanamaz. Buna ilişkin olarak ayrıca bir Gizlilik Sözleşmesi de imzalanacaktır.
d) YÜKLENİCİ, Proje kapsamında BARO için ürettiği çıktılar ve gayri maddi haklar üzerinde hiçbir şekilde mülkiyet iddiasında bulunamaz. Bunların tamamı BARO’ya ait olacaktır. BARO bunları dilediği şekilde kullanabilecek, değiştirebilecek veya işleyebilecektir.
7 6) İŞİN SÜRESİ
Projenin süresi toplam 6 (altı) aydır. Bu süre, YÜKLENİCİ teklifinin BARO tarafından kabul edildiğinin bildirilmesi ve Sözleşme’nin imzalanması ile birlikte başlayacaktır. Proje konusu işler ile ilgili olarak proje süresince yürürlüğe girecek olan mevzuattan kaynaklanacak sorumlulukların yerine getirilebilmesi için yasal süreler göz önünde bulundurulacaktır.
BARO’dan veya mücbir sebeplerden kaynaklanacak nedenlerle oluşabilecek olası gecikmeler, bu süreye eklenecektir. YÜKLENİCİ, hâlen Covid-19 Pandemisinin sürmekte olduğunun bilinciyle hareket edecek ve BARO tarafından talep edilir ise, uzaktan bağlantı yoluyla da hizmet sunmaya devam edecektir. Pandemi, bu yönü ile mücbir sebep sayılmayacaktır.
YÜKLENİCİ kanunen mücbir sebep sayılan hususlar (ilgili sözleşmenin imzası sırasında var olmayan, tarafların kontrolü dışında gelişen Türk veya ilgili yabancı resmi makamlar tarafından yükümlülüklerin yerine getirilmesini engelleyen, geciktiren veya imkansız kılan yasa ve düzenlemeler, savaş durumları, tarafları direkt engelleyen grev, lokavt, deprem, diğer doğal afetler ve terör olaylarının oluşması) nedeniyle sözleşmede belirtilen tarihte ürün ve hizmetin sağlanması işleminin kısmen ya da tamamen yapılmaması veya gecikmeye sebebiyet verilmesi durumunda firma mücbir sebebin oluştuğu ve ortadan kalktığı 5 (beş) iş günü içerisinde durumu gerekçeli olarak ve tevsik edici belgelerle birlikte ayrı, ayrı BARO’ya bildirmek zorunluluğundadır. Yukarıda belirtilen 5 (beş) iş günlük süreden sonra yapılacak bildirimler BARO tarafından kabul edilmez.
7) FİRMA YETERLİLİĞİ
YÜKLENİCİ Gerekli deneyim, organizasyon, teknik yeterlilik ve imkânlara sahip olduğunu açıklayan firma beyanatına ek olarak aşağıdaki bilgi ve belgeler sağlanmalıdır:
a) Organizasyon yapısı (tarihçesi, ekibi, cirosu ve sunduğu hizmetler ile bunlara ilişkin referansları),
b) Firmanın tüzel ve özel ortakları, bağlı bulunduğu grup, ana firma ve/veya holding, c) Bağlı bulunan grup, ana firma ve/veya holding içinde firmanın üstlendiği görev alanları, d) Personel sayısı, eğitimi, sahibi olduğu sertifikalar.
e) YÜKLENİCİ proje dahilindeki hiçbir işi BARO’nun bilgisi, izni ve yazılı onayı olmadan başka firmaya devredemez, iş yaptıramaz, proje kapsamında proje ile ilgili veya projeyi etkileyecek sözleşme yapamaz. Sözleşme’yi üçüncü kişilere devir veya temlik edemez;
herhangi bir üçüncü kişinin sözleşmeye katılmasını talep edemez.
f) YÜKLENİCİ’nin aşağıdaki konularda tecrübe, yetkinlik ve nitelik sahibi olması da gerekmektedir:
KVKK ve GDPR uyum alanında BARO ile aynı veya daha büyük ölçekteki en az bir veri sorumlusunun uyum projesinde yol haritası hazırlama, organizasyon, süreç, veri ve bilgi güvenliği alanlarında uyum desteği, eğitim vb. konularında en az üç ulusal ölçekte firmaya hizmet sağlamış olmak.
8
BARO ile aynı nitelikteki başka bir kurum veya kuruluşun KVKK’ya ilişkin hukuki danışmanlık desteği vermiş olmak tercih nedeni olarak değerlendirilecektir.
8) SAİR HUSUSLAR
a) İŞİN EKSİK YAPILMASI, ŞARTNAME VE SÖZLEŞMESİNE UYMAMASI
İşin zamanında bitirilmemesi veya eksik bitirilmesi halinde; gecikilen her gün için, YÜKLENİCİ işin toplam bedelinin %03 (binde üç) ceza koşulu ödeyecektir. Bu koşul, ifaya eklenen nitelikte olup, ödenmesi YÜKLENİCİ’yi taahhütlerinden kurtarmaz.
b) İŞİN TESLİM ŞARTLARI VE ÖDEME
Bu şartname ile satın alınacak her türlü ürün ve hizmet anahtar teslimidir. Bu nedenle; süreç içerisinde adam/gün süresi aşılması veya süreçle bağlantılı olarak talep edilen hizmetlerin sunulan hizmetleri kapsamaması veya benzer nedenler ile ek hizmet sunumu yapılacağı gerekçesiyle YÜKLENİCİ’nin ek ücret talepleri karşılanmayacaktır.
İşbu Teknik Şartname kapsamında yapılacak işlerle ilgili olarak YÜKLENİCİye yapılacak ödeme:
YÜKLENİCİ teklifinin kabul edildiğinin bildirilmesi ve gereken Sözleşme, taahhütname gibi sair belgelerin imzalanmasından sonraki bir hafta içinde %... kısmı,
Belge ve rapor taslaklarının tamamlanıp sunulması ve bunların BARO tarafından kabulünden sonraki bir hafta içinde %... kısmı,
….. tarihinde de bakiyesi ödenecektir.
