•  

    (+90) 216 606 01 26

  •  

    info@nextacozum.com

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ifade etmektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu, verilerin ve kişisel verilerin hukuk aykırı olarak işlenmesini, erişilmesini önlemek ve korumasını sağlamak amacıyla Veri Sorumlularının(Kurumlar) uyması zorunda olduğu yaptırımlardır.

Amaç

Veri Sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
  • Kişisel verilerin muhafazasını sağlamak

Yukarıda belirtilen amaçların tamamı için, uygun güvenlik seviyesini sağlamak için gerekli her türlü idari ve teknik tedbirleri almak zorundadır.

Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Bu riskler belirlenirken;

  • Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
  • Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

dikkate alınmalıdır.

Nexta olarak bu çalışmaları İdari Tedbirler kapsamında oluşturduğumuz veri haritalaması tekniğiyle sizlere rapor olarak sunuyor ve ihtiyaçlarınızı belirlemede ki yol haritanızı oluşturmaya yardımcı oluyoruz. Çıkartılmış olan envanter raporunda risk tanımlarının ortaya çıkmasıyla birlikte risk azaltma çalışması veya bu riskleri ortadan kaldırmaya yönelik çalışmaların yapılması, maliyet, avantaj ve uygulanabilirlik anlamında teknik çalışmaları da beraberinde yapıyoruz.

Eğitim ve Farkındalık Çalışmaları

Kişisel veri anlamında çalışanlarınızın ilk müdahalesi ve bilgileri az olsa dahi, veri sızıntısına sebep olabilecek veya herhangi bir Siber saldırı durumunda oluşabilecek zarara ilk müdahale çok önemlidir.

Dışarıdan gelebilecek Siber saldırıların yanısıra, kişisel verilerin hukuka ayrı olarak açıklanması, paylaşılması veya bilgisiz bir şekilde kullanılması da veri güvenliği ihlallerindendir.

Çalışanlarınıza, işe alınma süreçlerinin ayrılmaz bir parçası olmasını sağlayacağımız, çalışan gizlilik anlaşması imzalanmasını isteyebilir ve kişisel verilerin korunması kanunu kapsamında sizler için hazırladığımız politika prosedüre uyulmaması durumunda devreye girecek disiplin sürecini de sizler için hazırlıyor olacağız.

Eğitim çalışmalarımız sayesinde çalışanlarınızın, kişisel veriler hakkında bilgi sahibi ve farkında olmalarını sağlamaktayız.

Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Özellikle uzun süredir faaliyet gösteren kurumlar, aşırı derecede kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir.

Veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.

Veri İşleyenler ile İlişkilerin Yönetimi

Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin 12 sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenliğin sağlanabileceği görüşü her zaman doğru değildir. Çünkü tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler.

Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir.

Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.

Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir. Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir.

Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.

Özel nitelikli kişisel veriler öğrenilmesi durumunda ilgili kişi hakkında ayrımcılığa ve/veya mağruriyete maruz kalmasına neden olabilecek verilerdir.

Kanunda özel nitelikli kişisel veriler sınırları ile birlikte belirlenmiştir.

  • Irk
  • Etnik köken
  • Siyasi düşünce
  • Felsefi inanç
  • Dini
  • Mezhebi veya diğer inanç yaklaşımları
  • Kılık ve kıyafet
  • Sendika üyeliği
  • Dernek/vakıf üyeliği
  • Sağlık bilgileri
  • Cinsel hayat
  • Ceza mahkumiyeti
  • Biyometrik veriler

Özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır ve Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir.


  • Kanuna göre özel nitelikli kişisel veriler açık rıza halinde işlenebilir. (Örn: Klinik araştırmalar kapsamında gönüllülerin rızasının alınması)
  • İlgili kişinin açık rızası dışında aşağıdaki hallerde de mümkündür:
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde, (Örn: Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir.)
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. (Örn: Doktorun hastası hakkında işlediği sağlık verileri.)

6698 Sayılı Kişisel Verilerin Korunması Kanununa uygun bir şekilde Özel Nitelikli Kişisel Verilerin Güvenliği aşağıdaki yöntemlerle sağlanabilir.

Elektronik / Dijital Ortamlarda

  • Elektronik ortamlarda işlenen ve iletilen Özel Nitelikli Kişisel veriler şifreleme yöntemleri kullanarak işlenmesi gerekmektedir.
  • Şifrelenmiş verilere ait Kriptografik anahtarlar farklı ortamlarda tutulması gerekmektedir.
  • Veriler üzerinde yapılan işlemler güvenli bir ortamda sürekli olarak takip edilecek şekilde kayıt altına alınması gerekmektedir.
  • Verilerin bulunduğu ortamlar sürekli olarak güncel tutulmalı ve oluşabilecek saldırılara karşı önlemlerin alınması gerekmektedir.
  • Elektronik ortamlardaki yazılımlara belirli bir Erişim Yetki Matrisi hazırlanarak Erişim Kontrolü devreye alınması gerekmektedir.
  • Verilere uzaktan erişim sağlanıyorsa çok yönlü kimlik doğrulama devreye alınması önerilmektedir.

Fiziksel Ortamlar

  • Özel Nitelik Kişisel Verilerin bulunduğu dosyalar kilitli dolaplarda bulundurulmalı ve arşivleme işleminin yeterli fiziksel korumanın sağlandığı ortamlarda yapılması gerekmektedir. Bu ortamlara tüm giriş çıkışlar denetlenmeli ve kayıt altına alınmalı, giriş çıkış kayıtları farklı bir ortamda saklanmalı, yetkisiz girişler engellenmelidir. Bu ortamlara giriş çıkış kayıtları, aylık olarak kontrol edilmeli, olası ihlaller tespit edilmeli ve iyileştirici önlemler alınmalıdır. Kişisel verilerin bulunduğu tüm ortamların; hırsızlık, yangın, sel vb. dış tehditlere karşı da fiziksel güvenlik önlemlerinin alınması gerekmektedir.
  • Taşınabilir, CD, DVD, Harici Disklerin şifrelenmesi gerekmektedir.
  • Farklı fiziksel ortamlardaki sunucular üzerinde işlem gerçekleştiriliyorsa VPN çözümleri devreye alınarak kapalı bir network ortamı hazırlanmalıdır.
  • Kâğıt ortamında iletilen verilerin gizlilik ibarelerine yer verilerek iletiliyor olması gerekmektedir.

MENTIS'in patentli Hassas Veri Keşif modülü aracılığıyla kuruluşunuzdaki gizli hassas veri konumlarını ortaya çıkarın. Yapılandırılmış, yapılandırılmamış, Büyük Veri veya Bulut gibi en belirsiz konumlardaki her tür veri deposunda gizli verileri bulun.

Teknik Tedbirler

1 - Yetki Matrisi

Kişisel veri içeren dosyaların fiziksel ve dijital olarak hangi saklama alanında olduğunu ve hangi departmanlar tarafından hangi yetki ile ulaşılması gerektiğini, o alan üzerindeki okuma, düzenleme, silme ya da değiştirme gibi yetkilerinin olduğunu görebilmekteyiz. Dikkatli bir şekilde hazırlanmış erişim yetkisi matrisi tablosu sayesinde veri kaybı önleme yazılımlarına da etkin bir şekilde yön verebilmekteyiz.

Yetki Kontrol listeleri, çalışanların iş adımlarında kullanmakta olduğu dosya, veri tabanı ya da bir yazılım üzerinde ne tür yetkilerinin olduğunu gösteren ve yetki matrisleri ile birlikte oluşturulan tablolardır.

Veri Sorumlusunun kontrolünde olan, bilgi teknolojileri alt yapısında ki sistemlere erişen kullanıcıların loglarının tutulması gerekmektedir.

Çalışanların ve kurum ağına katılan misafirlerin merkezi bir kontrol mekanizması ile erişebileceği noktaların belirlenmesi, doğrulanması ve izlenmesinin sağlanmasıdır.

Bir kurumun dikkat etmesi gereken en temel yapıdır. Günümüzde Siber salıdırıların giderek arttığı görülmektedir bu yüzden Ağ Güvenliği olmazsa olmazlardan biri olmakla birlikte her kurumun kesinlikle uygulaması gereken bir yapıdır.

İşletim sistemlerinde ve kullanılan yazılım ve programların güncelliğinin sağlanması, yamalarının kontrol edilmesi gerekmektedir.

Taşınabilir cihaz, mobil cihaz, bellek (USB disk, harici disk vb.) cihazların diskleri ile paylaşılan dosyaların şifrelenmesi gerekmektedir.

Her kurum yılda en az 1 kez düzenli olarak zafiyet taraması ve penetrasyon testleri yaptırmalıdır. Sızma testi raporunda belirtilen bulguların kapatılması için tedbirler alınarak; güvenlik doğrulamaları yapılmalıdır.

  • IDS ( Intrusion Detection System ) - Saldırı Tespit Sistemi
  • IPS ( Intrusion Prevention System ) - Saldırı Önleme Sistemi

Son yıllarda artan Siber saldırıların fazlalığından dolayı artık bir çok Firewall(Güvenlik Duvarı) üzerinde IPS/IDS beraberinde programlanmış olarak gelmektedir.

Özellikle kritik seviyedeki cihazların ürettiği olayları kayıt altına alması gerekmekle birlikte bu kayıtların anlamlı bir şekilde metinlere dönüştürülmesi gerekmektedir.

Veritabanlarında ki verilerin yerine gerçek olmayan verileri koyarak güvenliği sağlamaktadır. Özel nitelikli kişisel veriler ve hassas olarak nitelendirdiğiniz verilere erişimi engelleyen bir çözümdür.

Kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımı.

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlara karşı, verilerin yedeklenmesi veya mevcut yedekleme politikasının arttırılması gerekmektedir.

Bir kural kümesini temel alarak ağa gelen giden internet trafiğini kontrol etmektedir. Bir çok filtreleme özelliği ile bilgisayar ve ağın gelen giden paketler olmak üzere internet trafiğini kontrol altında tutar.

Kötü amaçlı yazılımların tespit edilmesi ve bunlara karşı önlemler alınabilmesi amacı ile gelişmiş Antivirüs yazılımları kullanılmalı, bilgi sistem ağı düzenli olarak taranmalıdır.

Kişisel veri envanterinde belirtilen işleme sebebinin ortadan kalkması veya saklama süresinin bitimi ile, ya da kişisel veri sahibinin talebine istinaden verinin silme, yok etme veya anonimleştirilmesi gibi süreç ve yöntemlerin açıklandığı politika, prosedür oluşturulmalıdır. Aynı zamanda ilgili işlemler için log, tutanak/form gibi kayıtlar alınmalıdır.

Anahtar yönetim sistemi olarak yazılımsal veya donanımsal çözümler oluşturulmalıdır. Kullanılacak Anahtar Yönetim Sistemi, anahtarların yaratılması, saklanması, dağıtılması, kullanılması, kurtarılması, zamanaşımına uğratılması ve yok edilmesini içeren anahtar yaşam döngüsünü desteklemelidir. Kriptografi anahtarları merkezi olarak saklanmalı ve en iyi şekilde korunmalıdır.

İdari Tedbirler

Kurumun Organizasyon Şemasına uygun olarak bütün birimlerdeki basılı ortamlarda ve dijital ortamlarda bulunan veriler DPO(Veri Koruma Görevlisi) sertifikalı veri envanter uzmanı tarafından tespit edilerek, işlenen verilerin hangi veri kategorisinde olduğu, veri sahiplerinin kimler olduğu, verilerin hangi amaçlar ve yöntemler ile işlendiği, kurum içindeki, kurum dışındaki ve var ise bulut ortamı ile yurtdışındaki kişi, kurum ve kuruluşlar ile paylaşım amaçlarının, yöntemlerinin, saklama sürelerinin ve saklama alanlarının belirlenmesi amacı ile veri yaşam döngüsünü ortaya koyacak faaliyet bazlı Veri Haritası çıkartılmalıdır. Aydınlatma Metinleri ve Açık Rıza içeriklerinin doğru hazırlanması ile VERBİS Kaydının Veri Sorumlusuna özel olarak yapılması açısından oldukça önemlidir.

Danışman Avukat ve Teknik Danışman tarafından İdari ve Teknik alt yapı incelemesi yapılarak Veri Sorumlusuna özel olarak Kurum içinde ve Web sayfasında yayınlanacak doküman setleri hazırlanmalıdır. Bu dokümanlar Bilgi Güvenliği Politikası, Kişisel Verilerin İşlenmesi Politikası, Çerez Politikası, Yedekleme Prosedürü, Ağ Güvenliği Politikası, Kişisel Verilerin Saklanması ve İmhası Politikası gibi dokümanlardır.

Danışmanlarımız ve sözleşmeli avukatlarımız birlikte tüm sözleşme süreçlerinizi gözden geçiriyoruz ve kanun kapsamında revize ediyoruz.

Kurumun bütün birimlerindeki iş ilişkisinde bulunduğu 3.taraflar belirlenmeli, tüm tedarikçilerine ve çalışanlarına yönelik Gizlilik Sözleşmeleri hazırlanarak 3.Taraf sözleşmelerine ek olarak veri güvenliğinin sağlanması ile ilgili Ek Protokoller hazırlanmalıdır.

Kurumlar çalışanlarının farkındalığının seviyesini anlamak ve kurulan KVKK uyumluluk sisteminin işlevsel bir şekilde sürekliliğinin kontrol edilmesi periyodik ve rastgele denetimler yapılması oldukça önemlidir.

ISO 27001:2013 BGYS Baş Denetçi sertifikasına sahip uzman danışman tarafından kurumun tüm İdari ve Teknik süreçlerinde sahip olduğu mevcut durumu ve riskleri belirlenerek, acil önlem alınması gereken risklerin kabul edilebilir seviyeye indirilmesi amacı ile Risk Analizi çalışması gerçekleştirilmelidir.

Kurumun tüm çalışanlarına KVKK uyumluluk süreçlerinin önemini aşılanması, uyum sürecinin desteklenmesi, farkındalığın sağlanması adına iş sözleşmelerine KVKK hükümlerinin eklenmesi gerekmektedir

Kurum içinde KVKK Komitesi oluşturularak Komite başkanı liderliğindeki komite üyelerinin görevleri belirlenir, İlgili Kişi başvurularının ve Veri İhlali sürecinin yönetimi konusundaki işleyiş dokümante edilmelidir. İlgili Kişi başvurularına verilecek yanıtın 30 gün ile sınırlı olması, Veri ihlalinde Kişisel Verileri Koruma Kurumu’na yapılacak ihlal bildiriminin 72 saat zorunluluğu olması dolayısıyla sürecin hızlı ve doğru bir şekilde yönetilmesi oldukça önemlidir.

Kurum çalışanlarına Uzman Avukat tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen ilgili kişi haklarının aktarılması, çalışanların hem kendi özel hayatlarındaki haklarını bilmeleri hem de çalıştıkları Kurum adına herhangi bir veri ihlaline mahal vermeden görevlerini yerine getirmeleri bilincini sağlamaktadır. ISO 27001:2013 BGYS Baş Denetçisi Danışmanımız tarafından verilecek Bilgi Güvenliği temelli farkındalık eğitimi ise çalışanların phishing (oltalama) saldırılarına maruz kalmalarının önüne geçilmesi açısından çok önelidir ve kendilerine temin edilen iş bilgisayarlarında veri güvenliğinin sağlanması amacı ile uymaları gereken kurallar aktarılmaktadır.

Yıllık çalışan sayısı 50 ve üzerinde olan, yıllık mali bilançosu 25 Milyon TL ve üzerinde olan ve ana faaliyet konusu Özel Nitelikli Kişisel Veri işleyen kurumların VERBİS bildirim yükümlülükleri olup bu şartları sağlamayan kurumların VERBİS yükümlülüğü olmaması KVKK’ya uyumlu olmayacağı anlamına gelmemektedir ve olası bir veri ihlalinde uygulanacak cezalar bellidir. Bütün kurumlar Kişisel Verileri Koruma Kurumu tarafından yayınlanan ‘’Kişisel Veri Güvenliği Rehberi’’nde belirtilen İdari ve Teknik Tedbirleri sağlayarak Kanun’a uyumlu olmak zorundadır.Yıllık çalışan sayısı 50 ve üzerinde olan, yıllık mali bilançosu 25 Milyon TL ve üzerinde olan ve ana faaliyet konusu Özel Nitelikli Kişisel Veri işleyen kurumların VERBİS bildirim yükümlülükleri olup bu şartları sağlamayan kurumların VERBİS yükümlülüğü olmaması KVKK’ya uyumlu olmayacağı anlamına gelmemektedir ve olası bir veri ihlalinde uygulanacak cezalar bellidir. Bütün kurumlar Kişisel Verileri Koruma Kurumu tarafından yayınlanan ‘’Kişisel Veri Güvenliği Rehberi’’nde belirtilen İdari ve Teknik Tedbirleri sağlayarak Kanun’a uyumlu olmak zorundadır.

Adresimiz

Taşdelen Mah. Turgut Özal Cad. No:112-118 Kat:1 Ofis No:20
Zentra İstanbul Çekmeköy/ İstanbul Türkiye

İletişim

Mail : info@nextacozum.com
Tel : +90-216-606 01 26

HAKKIMIZDA

Nexta Çözüm Danışmanlık A.Ş. 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında idari, hukuki ve teknik tedbirler kapsamındaki danışmanlığını, siber güvenlik çözümleriyle altyapınızın uyum süreçlerini analiz ederek hizmet vermektedir.

POLİTİKALARIMIZ

Copyright © 2020 Nexta. Tüm Hakları Saklıdır.