Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ifade etmektedir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu, verilerin ve kişisel verilerin hukuk aykırı olarak işlenmesini, erişilmesini önlemek ve korumasını sağlamak amacıyla Veri Sorumlularının(Kurumlar) uyması zorunda olduğu yaptırımlardır.
Amaç
Veri Sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
- Kişisel verilerin muhafazasını sağlamak
Yukarıda belirtilen amaçların tamamı için, uygun güvenlik seviyesini sağlamak için gerekli her türlü idari ve teknik tedbirleri almak zorundadır.
Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken;
- Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği
dikkate alınmalıdır.
Nexta olarak bu çalışmaları İdari Tedbirler kapsamında oluşturduğumuz veri haritalaması tekniğiyle sizlere rapor olarak sunuyor ve ihtiyaçlarınızı belirlemede ki yol haritanızı oluşturmaya yardımcı oluyoruz. Çıkartılmış olan envanter raporunda risk tanımlarının ortaya çıkmasıyla birlikte risk azaltma çalışması veya bu riskleri ortadan kaldırmaya yönelik çalışmaların yapılması, maliyet, avantaj ve uygulanabilirlik anlamında teknik çalışmaları da beraberinde yapıyoruz.
Eğitim ve Farkındalık Çalışmaları
Kişisel veri anlamında çalışanlarınızın ilk müdahalesi ve bilgileri az olsa dahi, veri sızıntısına sebep olabilecek veya herhangi bir Siber saldırı durumunda oluşabilecek zarara ilk müdahale çok önemlidir.
Dışarıdan gelebilecek Siber saldırıların yanısıra, kişisel verilerin hukuka ayrı olarak açıklanması, paylaşılması veya bilgisiz bir şekilde kullanılması da veri güvenliği ihlallerindendir.
Çalışanlarınıza, işe alınma süreçlerinin ayrılmaz bir parçası olmasını sağlayacağımız, çalışan gizlilik anlaşması imzalanmasını isteyebilir ve kişisel verilerin korunması kanunu kapsamında sizler için hazırladığımız politika prosedüre uyulmaması durumunda devreye girecek disiplin sürecini de sizler için hazırlıyor olacağız.
Eğitim çalışmalarımız sayesinde çalışanlarınızın, kişisel veriler hakkında bilgi sahibi ve farkında olmalarını sağlamaktayız.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Özellikle uzun süredir faaliyet gösteren kurumlar, aşırı derecede kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir.
Veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.
Veri İşleyenler ile İlişkilerin Yönetimi
Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin 12
sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.
Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenliğin sağlanabileceği görüşü her zaman doğru değildir. Çünkü tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler.
Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir.
Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.
Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir. Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir.
Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.