KVKK Sihirbazı

Bu sihirbaz ile hızlı bir şekilde kişisel veri ve IT güvenliğini geliştirmenize yardımcı olacağız. Öncelikle web sitemizi kullanmaya başlayarak doğru bir tercih yaptınız. Web sitemiz sadece KVKK süreçlerini yönetmenize yardımcı olmakla kalmaz, bilgi güvenliğini en üst düzeye taşımanıza da katkı sağlar. KVKK sihirbazı ile size kişisel verileri koruma kanunu ve veri güvenliği sağlama noktasında yapmanız gerekenleri adım adım anlatacağız.  Ne dersiniz hemen başlayalım mı?

6698 sayılı Kişisel Verileri Koruma Kanunu ile birlikte hayatımıza giren kavramlar var. Gelin bu kavramların neler olduğuna bir göz atalım şimdi.

  • Veri sorumlusu: Kişisel veri işleme faaliyetini gerçekleştiren gerçek veya tüzel kişilik veri sorumlusu olarak tanımlanıyor. Veri sorumluları
    • Kişisel verileri işleme amaçlarını, vasıtalarını belirlemek,
    • Bir kayıt sistemi kurmak ve yönetmek
    • Kişisel verilerin korunmasına ilişkin her türlü teknik ve idari tedbiri almakla sorumlu tutuluyor.
  • İrtibat kişisi: Veri sorumlusunun tüzel kişilik olması halinde Kişisel Verileri Koruma Kurumu ile ve Kişisel veri sahipleri ile iletişim kuracak olan T.C. vatandaşı gerçek kişi de İrtibat kişisi olarak tanımlanıyor. ifade ediyor. İrtibat kişisinin kim olacağı VERBİS’e kayıt esnasında belirtilmelidir.
  • İlgili Kişi: İlgili kişi Kişisel verisi işlenen gerçek kişidir.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi “Veri İşleyen” olarak adlandırılır.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi “Kişisel Veri” olarak tanımlanmaktadır.Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, Finans, Görsel ve İşitsel Kayıtlar, Pazarlama, Mesleki Deneyim verileri kişisel veridir.
  • Özel Nitelikli Kişisel Veri: Nitelikleri itibari ile öğrenildiği taktirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek kişisel veriler Özel Nitelikli Kişisel Veri olarak tanımlanır.Irk, Etnik köken, Siyasi düşünce, Din, Mezhep veya diğer inançları, Kılık ve kıyafet, Dernek, vakıf ya da sendika üyeliği, Sağlık, Cinsel hayat, Ceza mahkumiyeti ve güvelik tedbirleriyle ilgili veriler, Biyometrik ve genetik veriler özel nitelikli kişisel veridir.
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
  • Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini tanımlar.
  • Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verinin işlenmesi anlamına gelmektedir.

Kişisel Verileri Koruma Kanunu’nun tamamına ulaşmak için aşağıdaki linki tıklayabilirsiniz.

http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

Kişisel Verileri Koruma Kanuna uyum süreci için öncelikle bir organizasyon kurma kararı almanızı öneririz. Kurumunuzu veya şirketinizi temsil edecek bir irtibat kişisi ve süreci yönetecek bir komite kurulması kararını oluşturun. Örnek : Eğer bir şirketseniz bu işlemi bir ” Yönetim Kurulu Kararı” alarak yapabilirsiniz.

Veri sorumlusu şirketin veya kurumun yani tüzel kişiliğin kendisidir. Veri sorumlusu adına KVKK ve/veya VERBİS (Veri Sorumlusu Sicil Bilgi Sistemi) süreçlerini takip edecek, güncellemeleri yapacak ve ilgili kişi başvurularını cevaplayacak kişi İrtibat kişisi olarak tanımlanır. Türkiyede yerleşik bir gerçek kişiyi Veri Sorumlusunu temsil eden “İrtibat Kişisi” olarak belirleyin.

İrtibat Kişisi değişikliğini yönetmek için bir bilgilendirme kişisi oluşturun. İrtibat kişisinin değişmesi veya görevi bırakması durumunda değişikliğin 7 iş günü içinde VERBİS’e kayıt edilmesi gerekir. Bu durumda herhangi bir süre aşımı sonucunda cezai yaptırımla karşılaşmamak için bir bilgilendirme kişisi belirleyin.

Kişisel verileri koruma kanuna uyumluluk süreçlerini yönetme ve İlgili kişi başvurularını değerlendirme işinin bir komite tarafından yapılması daha sağlıklıdır. Kişisel verilerin yoğun kullanıldığı ve veri güvenliğini ilgilendiren departmanlar ( Bilgi işlem, İnsan Kaynakları, Müşteri Hizmetleri , Hukuk vb.) başta olmak üzere farklı alanlarda çalışanlardan bir komite oluşturun.

Kişisel verileri Koruma kanuna uyumluluk sürecinin en önemli aşamalarından biri mevcut “Kişisel veri” envanterinin belirlenmesidir. Veri envanterini oluşturmak için iş yerinizdeki hangi faaliyetleri için hangi kişisel verileri aldığınızı ve sakladığınızı tespit etmelisiniz (Örneğin; insan kaynakları işe alım, satış müşteri bilgisi, personel özlük işlemleri gibi). Yaptığınız işleri ve ilgili kişi gruplarını eşleştirerek kişisel veri envanterinizi oluşturun.

Çalışan sayısı 50’den veya yıllık cirosu 25 milyon TL’den fazla şirketlerin, Tüm Kamu kurumlarının ve Ana Faaliyet konusu Kişisel veri işleme olan şirketlerin (Veri sorumlularının) VERBİS (Veri Sorumlusu Sicil Bilgi Sistemi) ‘e kayıt yapmaları gerekmektedir. VERBİS kaydı veri sorumlusu adına yapılır. Veri sorumlusu yurtiçinde yerleşik gerçek veya tüzel kişi, yurtdışında yerleşik gerçek veya tüzel kişi ya da kamu kurumu olabilir. Kayıt sayfasında kendisinden istenilen bilgi alanlarını doldurur ve kayıt olur. Kayıt formu e-imza ile imzalanıp tüzel kiliğin kep adresi üzerinden KVKK’ya gönderilir. Eğer kep adresi mevcut değilse çıktı alınıp ıslak imza ile imzalandıktan sonra posta ile gönderilmesi gerekir. Kayıt formu VERBİS’e ulaştıktan sonra veri sorumlusuna verbis.kvkk.gov.tr adresine giriş için kullacağı kullanıcı adı ve şifre gönderilir. Veri sorumlusu giriş yapıp irtibat kişisinin kim olduğunu belirtmelidir. İrtibat kişisi veri sorumlusu adına bildirim yapacak ve verbis veri envanterini sistem üzerinden dolduracak kişidir. İrtibat kişisinin Verbis’e e-devlet bilgileri ile, e-imza veya m-imza ile, internet bankacılığı ile veya T.C. kimlik kartı uygulaması ile giriş yapabilir. Eğer yukarıda belirtilen niteliklere sahip bir kurum veya şirket iseniz Kvkk.gov.tr sitesinde ilan edilen süreleri göz önüne alarak VERBİS kaydınızı yaptırmanız yasal bir zorunluluktur. Verbis kaydınızı tamamlandınız mı?

Kişisel verileri Koruma kanuna göre ” kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir” denilmektedir. Eğer uzun süreden beri faaliyette olan bir kurum ya da şirket iseniz çok fazla miktarda kişisel veri toplamış olabileceğinizden söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. İşleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir. Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.

Kişisel veri güvenliğine ilişkin ” doğru ve tutarlı” politika ve prosedürler belirlemeli ve bunları çalışma ve işleyişinize uygun şekilde entegre etmelisiniz. Politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır. Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, personelleriniz üzerindeki baskıyı da azaltacaktır. Bu nedenle, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olmanız gerekir. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.

6698 Sayılı yasaya göre kişisel veriler ilgili mevzuatta öngörülen veya işleme amaçlarına uygun sürelerde saklanmak zorundadır. Saklama ve imha politikasını oluştururken her kişisel veri grubu için işlenme için hukuki sebepleri, işleme amaçlarını ve imhayı gerektiren sebepleri belirlemelisiniz. Yine bu politika içinde saklama için alınan teknik ve idari tedbirleri belirtmelisiniz. Saklama ve İmha sürelerini belirlemelisiniz.

Kişisel verileri koruma kanuna uyumlulukta personellere önemli görevler düşmektedir. Personellerin güvenlik politika ve prosedürlerine uymaması durumunda uygulanacak disiplin yönetmeliğini oluşturmalı ve personelinizle paylaşmalısınız.

İlgili kişi grupları ile kişisel veri güvenliğine ilişkin gizlilik sözleşmeleri oluşturmalı ve ilgili kişi grupları ile paylaşmalısınız.

Kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenlik tehditleri durumunda personellerin sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda önem taşımaktadır. Bununla birlikte kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması veri güvenliğinin sağlanması bakımından çok önemlidir. Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmalıdır.

Kurumunuzda mevcut kişisel veri içeren tüm sözleşmeleri gözden geçirmeli ve 6698 sayılı kişisel verileri koruma kanuna uyumlu hale gelmesini sağlamalısınız. Sözleşme içerikleri ana faaliyet alanlarına göre kurum ve şirketler için özel olması gerekir. Bu sebeple düzenlemelerin bir hukuk müşaviri ile birlikte yapılması çok daha sağlıklı olacaktır.

Kişisel veriler koruma kanuna göre; ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Bu nedenle ilgili kişilerin başvurularının alabileceği bir ortamın sağlanması gerekir.

6698 Sayılı Kanun tüm ilgili kişinin verisini işleyen Veri sorumlularına “Aydınlatma Yükümlülüğü” getirmektedir. Bu aynı zamanda Kişisel verisi işlenen gerçek kişiler içinde bir haktır. Aydınlatma Yükümlülüğü işlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmektedir. Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı bir yükümlülük değildir ve ispat yükümlülüğü veri sorumlusuna aittir. Yerine getirilmemesi durumunda idari para cezası söz konusudur. Aydınlatma yükümlülüğü Kişisel verileri koruma kanuna uyumluluk için önemli adımlardan biridir ve mutlaka yerine getirilmesi gerekir. Verisi işlenen her ilgili kişi için farklı farklı aydınlatma metinleri hazırlamanız gerekir.

Bazı durumlarda Kişisel verisini işlediğiniz ilgili kişinin “Açık Rıza Beyanını” almanız gerekebilir. Hangi durumlarda Açık rıza beyanı almanız gerektiği yasada belirlenmiştir. Özel nitelikli kişisel veri işliyor ve bu işlem için yasada belirlenmiş kurumlardan biri değilseniz açık rıza beyanı almanız gerekir. Benzer şekilde yurt içi veya yurt dışına veri aktarım işlemi de ilgili kişinin açık rızası ile mümkündür.

Bilgi sunucularda, kişisel bilgisayarlarda, bulutta, taşınabilir medyalarda, dosyalarda, klasörlerde, çalışanlarınızın hafızalarında ve birçok farklı ortamda yer alır. Bilgi varlığı adını verdiğimiz bu ortamların güvenliğini sağlamak için risk yönetimi son derece önemlidir. Sahip olduğunuz bilgi varlıklarının neler olduğunu belirlemeniz bu varlıklara ilişkin tehditleri önceden tespit etmenizi hem riskleri ölçebilmenizi hem de yüksek dereceli risklerin önlemlerini almanızı sağlar. Aldığınız her önlem riskle karşı karşıya geldiğinizde görebileceğiniz zararı en az aza indirir.

Veri sorumlusu olarak kişisel veri içeren sistemler üzerinde denetimler yapmalı veya yaptırmalısınız. Bu denetimlerde kişisel verileri işleyen her departmanı ayrı ayrı denetlemeli, ayrıca teknik tedbirlerle ilgili bilgi işlem departmanı, süreç, politika ve prosedürlerle ilgili de yönetim temsilcisini denetlemelisiniz. Denetim prosedürü denetimlerin nasıl yapılacağını, denetim sıklığını ve kimlerin denetimlerden sorumlu olacağını içermelidir. Bir iç denetim prosedürünüz var mı?

Denetimler bir plan dahilinde yapılmalı, denetçiler denetim esnasında neleri denetlemesi gerektiğine hazırlıklı olmalıdır. Bunun için denetim planları ve soru listeleri hazırlanmalıdır. Denetimlerde gerekli önlemlerin alınıp alınmadığı ve kişisel verilerin saklama koşullarına , kurallarına uygun korunup korunmadığı kanıtları ile birlikte kontrol edilir. Denetim sonuçları raporlanmalı, eksikler düzeltici faaliyetler ile takip edilmelidir. Bir iç denetim planınız mevcut mu?

Bilgi teknolojileri ihtiyaçlarınızı karşılamak için veri işleyenlerden hizmet alıyorsanız bu hizmeti alırken söz konusu “veri işleyenlerin” kişisel veriler konusunda en az sizin kadar güvenlik sağlandığından emin olmanız gerekir. Zira Kanun gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda sizinle birlikte sorumludur. Veri işleyen ile yapacağınız sözleşmenin yazılı olması, veri işleyenin sadece sizin talimatlarınız doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekir. Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması önem taşımaktadır. Yine söz konusu sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal tarafınıza bildirmekle yükümlü olduğunun öngörülmesi de, sizinde bu ihlali derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğünü yerine getirmesi açısından faydalı olacaktır. Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, sizin tarafınızdan veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmiş olması, veri işleyenin veri güvenliğini sağlama yükümlüğünü yerine getirmesi açısından faydalı olacaktır. Bununla birlikte veri sorumlusu olarak, kişisel veri içeren sistem üzerinde gerekli denetimleri yapmalı veya yaptırmalı, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde incelemelisiniz.

Sahip olduğunuz Kişisel veriler cihazlarda ya da kağıt ortamlarda saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerini almanız gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir. Kişisel verileriniz elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayırabilirsiniz.Bu önlemleri kurumunuz ve şirketinize at tüm yerleşkeler veya binalar için gerçekleştirmelisiniz. Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir.

Bir kurum yada şirket içindeki zayıf ve güçlü noktaları en iyi bilenler kuşkusuz çalışanlardır. Özellikle çalışan sayısının yüksek olduğu şirket yada kurumlar da bu durum daha da önem kazanır. Bazı zaafiyetler sebebiyle oluşabilecek veri ihlalleri çalışanlar tarafından daha kolay teşhis edilebilir ve alınacak hızlı tedbirlerle önlenebilir. Çalışanların bu tür zaafiyetlerin giderilmesi yada güvenliğin iyileştirmesi noktasında getireceği öneriler için bir sisteminin bulunması sürdürülebilirlik açısından gereklidir.Eğer mevcutda bir öneri sistemi varsa bunun KVKK ve veri güvenliği anlamında düzenlenmesi faydalı olacaktır.

Herhangi bir veri ihlali olması halinde yapılacakları tanımladığınız bir kriz yönetim süreciniz tanımlı mı?

Kişisel verileri koruma kanununa göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesi gerekmektedir. Ayrıca söz konusu veri ihlalinden etkilenen kişileri belirlemesi, doğrudan ulaşabiliyorsa ilgili kişilerin iletişim adreslerine, ulaşamıyorsa kendi web sitesi üzerinde bu durumu paylaşarak ilgili kişilere duyurması da kanuni yükümlülüğüdür. Herhangi bir veri ihlali olması durumunda ilgili kişileri nasıl bilgilendireceğinizi tanımladığınız bir ilgili kişi bilgilendirme süreci mevcut mu?

Kişisel Verileri Koruma Kurumu Herhangi bir veri ihlali olması durumunda ihlal bildirimleri Kişisel Verileri Koruma Kurumu’nun yayınladığı İhlal Bildirim Formu ile yapılacaktır. Ancak bu form kullanılsa bile kurum veri sorumlularından veri ihlallerine ilişkin bilgilerin, etkilerin ve alınan önlemlerin kayıt altına alınmasını ve kurulun incelemesine hazır halde bulundurulmasını beklemektedir. Veri ihlallerini kayıt altına alacağınız bir ortamınız var mı?

Tek bir güvenlik ürünü kullanarak bu tedbirlerin tamamının alınabileceği görüşü her zaman doğru değildir. Siber güvenlik önlemleri internet üzerinden gelen izinsiz erişim tehditlerinden tutun, yedeklemeye, şifre politikalarından kişisel veri içeren ortamlara erişim yetkilerine, e-posta güvenliğinden, yapılan işlemlerin izlenmesine kadar bir bütün olarak düşünülmesi gerekmektedir. Bundan sonraki bölümde teknik tedbirlere ilişkin başlıklar göreceksiniz.

Kişisel veri içeren sistemlere erişimin sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve bunun içim erişim yetki ve kontrol matrisi oluşturulmalıdır. Yetki matrisleri hangi kullanıcı/gruplar hangi dosyalara erişebilir, yazma–okuma-kayıt silme yetkileri nelerdir, hangi kullanıcı/gruplar hangi yazılımları kullanıyor gibi bilgileri içermelidir.

Tüm kullanıcıların işlem hareketlerinin kaydının düzenli olarak tutulması herhangi bir veri ihlali ile karşılaşılması olasılığı için son derece önemlidir. Erişim logları kullanıcı, işlem zamanı, IP bilgisi, erişilen kişisel veri, değişiklik var ise değişiklik öncesi ve sonrası ve bu verinin raporlanmasına ilişkin bilgileri içermelidir. Erişim logları yazılım loglarını, 5651 hotspot erişimleri ve cihaz loglarını da kapsamaktadır. Yazılımlarınız ve internet erişimleri için bir log cihazınız var mı?

Güvenlik duvarı (firewall) cihazları dışarıdan içeriye yapılacak saldırıları engellemek, içeriden yetkisiz kişilerin dışarıya bilgi göndermesini önlemek, virüs tehditlerini azaltmak ve yetkisiz kişilerin internet erişimini sınırlamak amacı ile kullanılır. Güvenlik duvarının doğru şekilde konfigüre edilmesi ve içindeki yazılımın güncel tutulması en az bu cihaza sahip olmanız kadar önemlidir. Bir güvenlik duvarınız var mı?

İşleme amacınızın gerektirdiği saklama süresi boyunca kişisel verilerinizi muhafaza etmeli ve bu verilere ihtiyaç duyulduğunda sürekli erişebilmenizi sağlayacak yedekleme sistemini kurmalısınız. Yedeklerinizi sadece şirket içindeki sunucularınıza almanız yeterli bir önlem değildir, bu yedekleri periyodik olarak farklı bir ortama da aktarmalısınız. Verilerinizi düzenli olarak yedekliyor ve kurum dışına çıkarıyor musunuz?

Kişisel verilerinizin erişimini sınırlandırdığınız halde bu verilerin herhangi bir şekilde görüntülenmesini, kopyalanmasını veya dışarı aktarılmasını engelleyen ve veri hareketlerini kaydeden yazılımlar veri kaybı önleme yazılımları olarak tanımlanır. Güvenlik düzeyinizi üst seviyeye taşıyan bu yazılımların doğru konfigüre edilmesi hem veri sızıntısı hem de iş sürekliliği için önemlidir. Veri kaybı önleme yazılımı kullanıyor musunuz?

Her gün farklı farklı virüsler ortaya çıkıyor ve bu virüsler bilgi güvenliğimizi tehdit ediyor. Güvenlik açıkları ise en çok o açıklığın yayınlanması ile ona ilişkin güncellemenin yayınlanıp uygulanması arasındaki kısa sürede oluşuyor. Bir antivirüs yazılımınız var mı? Lisans sürelerini takip edebiliyor musunuz?

Sızma testlerinden faydalanmalı ve Saldırı tespit ve önleme sistemleri kullanmalısınız. Bu konuda önlem aldınız mı? Siber suçluların kullandığı yöntemleri kullanıp, hacker gibi düşünerek bir sisteme sızma ve ele geçirme yöntemleri senaryolarının uygulanması işlemi sızma testi veya penetrasyon testi olarak adlandırılır. Bu testlerin amacı gerçek bir saldırı olasılığına karşı açıklıkları önceden tespit etmek, gidermek ve güvenliği artırmaktır. Sızma testleri periyodik olarak tekrarlanmalıdır. Gelen veri paketlerinin geçişine izin veren veya engelleyen, olası atak ve tehditler için ağdaki aktiviteyi izleyen sistemler ise saldırı tespit sistemleridir. Sızma testlerinden faydalanmalı ve Saldırı tespit ve önleme sistemleri kullanmalısınız. Bu konuda önlem aldınız mı?

Şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır. Şifreler belirli aralıklarla değiştirilmelidir. Yönetici ve admin şifreleri sadece yetkisi olan kişiler tarafından bilinmelidir. Kişisel bilgisayarlarda çeşitli formatlarda dosyalar içinde saklanan şifreler bir güvenlik tehditidir.

İşten ayrılan çalışanlarınızın kişisel verilere erişimlerini zaman kaybetmeden engellemelisiniz. Bunun için kullanıcı hesaplarını silebilir veya girişlerini kapatabilirsiniz. Ayrıca çalışanlarınıza iş amaçlı kullanmak üzere zimmetlenen taşınabilir disk, notebook, bilgisayar, telefon vb. cihazlar varsa bu cihazlar da teslim alınmalı ve verilerin dışarı çıkartılması engellenmelidir.

Kişisel verileri Koruma kanuna uyumluluk işletme yada kurumların Kişisel verileri hangi Ölçüde işlediğine göre farklılıklar gösterecektir. Eğer Ana faaliyet alanınız Kişisel veri işlemek ise veya kişisel verileri yada özel nitelikli kişisel verileri yoğun olarak işliyorsanız yukarıdaki adımları ve diğer tüm süreçleri bu konuda uzman bir Danışman ile gözden geçirmeniz size fayda sağlayacaktır.

KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu

Kişisel Veri Nedir?

Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

(Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu)

KVKK Yerel Bir Mevzuat mıdır?

Çok özgün sayılmayan 6698 sayılı bu kanunumuzun ilham kaynağı olan EU GDPR (Avrupa Genel Veri Koruma Yönergesi) da tıpkı 6698 sayılı KVKK gibi 2018 yılı baharına kadar hazırlıkları tamamlamış olma konusunda veri toplayan kurumlara gün vermiş durumdadır. 6698 sayılı KVKK, Avrupa’daki muadili GDPR ile birlikte veri sorumlusu olarak adlandırılan kurumları epeyce etkileyecek ve iş yapma pratiklerini epey dönüşüme uğratacak bir öneme sahiptir.

KVKK’nın Getirdiği Düzenlemeler

6698 sayılı Kişisel Verilerin Korunması Kanunu, sahibinin izni olmadan kişisel verilerin işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.

İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.

Bu düzenlemeyi yürütmek üzere oluşturulan Kişisel Verileri Koruma Kurulu verileri toplayan/işleyen kurumları 6698 sayılı KVK kanunu ile kayıt altına alıp regüle edecek. Bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahipleri bu resmi kuruma başvurup şikâyette bulunabilecek. Bu kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara altı sıfırlı rakamlarla para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisi olan bir kurum olarak tanımlanmaktadır.

KVKK Hangi Kurumları İlgilendiriyor?

Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda tanımı verilmiş kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir.

Kanuna Uyum için Yapılması Gerekenler

Yapılacak çalışmalar şöyle listelenebilir:

– Tüm bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi güvenlik işlevlerini sağlamak, yani Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarına göre çalışmak
– Müşterilerden alınan/alınacak veri türlerini belirlemek üzere stratejiler oluşturmak
– Bir veri envanteri oluşturmak
– Geçmişe dönük olmak üzere- ağ sistemlerindeki yapılandırılmış / yapılandırılmamış TÜM verileri tespit etmek
– Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak
– Geçmişe dönük olmak üzere- verisi saklanmak istenen TÜM müşterilere ulaşmak ve kurumun niyetleri konusunda müşterileri bilgilendirmek
– Veri işleme amaçları konusunda bilgilendirilen çalışanlar ve müşterilerin rızasını makul yöntemlerle almak
– Yukarıdakilerin tamamını sürdürülebilir şekilde uygulamak için teknolojiler, politikalar ve sistemler geliştirmek
– Belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmek
– Belli aralıklarla sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi gibi etkili çalışmalar yapmak
– İç denetimler, Penetrasyon Testi vb. uygulamalar sonrasında elde edilecek sonuçlar ile kurum yönetim sistemine sürdürülebilirliği sağlayıcı katkılar yapmak

Websitesi deneyiminizi iyileştirmek için yasal düzenlemelere uygun çerezler (cookies) kullanıyoruz. Detaylı bilgiye Gizlilik ve Çerez Politikası sayfamızdan erişebilirsiniz..