Kişisel Verileri Koruma Kurulu tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)“

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Veri Güvenliği Rehberi (“Rehber”) yayımlanmıştır.

Rehber’de önerilere;

Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

Tedbirlere İlişkin Özetler

olmak üzere üç ana başlıkta yer verilmiştir.

Kişisel Verileri Koruma Kanunu madde 12 uyarınca veri sorumluları, kişisel verilerin muhafazasını sağlamak, hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadırlar. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanacak olduğundan Kurul tarafından yayımlanan Rehber’de yer alan tavsiye niteliğindeki önlemlerin dikkate alınarak veri sorumlusu nezdinde gerekli tedbirlerin alınması önem arz etmektedir.

Rehber metin, Bültenimiz ekinde sunulmakta olup önerilere özet olarak aşağıda yer verilmiştir.

I. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

1. Mevcut Risk ve Tehditlerin Belirlenmesi

İşlenen tüm kişisel verilerin neler olduğu, mevcut risk ve tehditlerin belirlenmesi

Risklerin gerçekleşmesi durumunda olası kayıpların doğru belirlenmesi ve uygun tedbirlerin alınması

2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması, bu kapsamda kişisel verilere ilişkin olarak “Yasaklanmadıkça Her Şey Serbesttir” yerine “İzin Verilmedikçe Her Şey Yasaktır” prensibinin yerleştirilmesi

Çalışanlara işe başlamaları esnasında gizlilik sözleşmesi imzalatılması, olası veri güvenliği ihlallerine ilişkin disiplin süreçlerinin belirlenmesi

Kişisel veri güvenliği politika ve prosedürlerinin belirlenmesi

3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliği politikasının hazırlanması

Politikanın çalışma ve işleyişe entegre edilmesi

Politikaların uygulanmasının düzenli olarak kontrol edilmesi, güncellenmesi

4. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Doğru ve güncel kişisel veri işlenmesi, amaç için gerekli olan süreden fazla muhafaza edilmemesi

Güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilerin mevzuata uygun bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi

5. Veri İşleyenler ile İlişkilerin Yönetimi

Veri işleyenler ile Kişisel Veri Saklama ve İmha Politikasına uygun şekilde yazılı olarak sözleşme yapılması ve bu sözleşmede veri işleyenin;

Sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve mevzuat ile uyumlu şekilde hareket edeceği,

Süresiz sır saklama yükümlülüğüne tabi olacağı,

Herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğu,

Kişisel veri içeren sistemleri üzerinde veri sorumlusunun denetim ve yerinde inceleme yapma yetkisinin olduğu belirtilmeli ve

Veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir madde de yer verilmesi önerilmektedir.

II. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

1. Siber Güvenliğin Sağlanması

Siber güvenliğin sağlanması, güvenlik duvarı ve ağ geçidi gibi önlemlerin alınması,

Kişisel veri içeren sistemlere erişimin kullanıcı adı ve şifre (büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlu) gibi önlemlerle sınırlandırılması,

Erişim yetki ve kontrol matrisi oluşturulması ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması ,

Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması,

Antivirüs, antispam gibi ürünlerin kullanılması, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

2. Kişisel Veri Güvenliğinin Takibi

Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veri içeren ortamların güvenliğinin sağlanması, çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması,

Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması,

Kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk, CD, DVD vb.) çalınması ve kaybolması ihtimaline karşı güvenlik önlemlerinin belirlenmesi, elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi.

4. Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması halinde bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması,

Buluta yüklenecek kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması.

5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımından veri güvenliğinin göz önünde bulundurulması, bakım onarım için gönderilen cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması, bu hizmetlerin işyerinde alınması halinde güvenlik ihlallerinin engellenmesi için gerekli önlemlerin alınması

6. Kişisel Verilerin Yedeklenmesi

III. Özet Tedbirler

İdari Tedbirler

Kişisel Veri İşleme Envanteri Hazırlanması

Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )

Gizlilik Taahhütnameleri

Kurum İçi Periyodik ve/veya Rastgele Denetimler

Risk Analizleri

İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.

Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Teknik Tedbirler
Yetki Matrisi	Log Kayıtları
Yetki Kontrol	Veri Maskeleme
Erişim Logları	Veri Kaybı Önleme Yazılımları
Kullanıcı Hesap Yönetimi	Yedekleme
Ağ Güvenliği	Güvenlik Duvarları
Uygulama Güvenliği, Şifreleme	Silme, Yok Etme veya Anonim Hale Getirme
Güncel Anti-Virüs Sistemleri	Anahtar Yönetimi
Sızma Testi	Saldırı Tespit ve Önleme Sistemleri

Saygılarımızla,

Engin Hukuk Bürosu

Diğer Bültenler

Uzaktan Çalışma Yönetmeliği ve SGK'nın 02.06.2021 tarihli “Uzaktan Çalışma Gün Sayısı” konulu genel yazısı

6098 sayılı Türk Borçlar Kanunu'nun 1 Temmuz 2020 tarihinde yürürlüğe girecek işyeri kira hükümleri (Madde 323, 325, 331, 340, 342, 343, 344, 346 ve 354) ve bu hükümlerin mevcut işyeri kira ilişkilerine etkisi.

Sosyal Güvenlik Kurumu tarafından 22.04.2020 tarihinde yayımlanan 4447 Sayılı İşsizlik Sigortası Kanunu'nun Geçici 24'üncü Maddesi Kapsamında Yapılacak Nakdi Ücret Desteği Uygulamasına İlişkin Usul Ve Esaslar

COVID-19 Salgınının Sözleşmesel Edimlerin İfasına Etkisi

7244 sayılı Yeni Koronavirüs (Covıd-19) Salgınının Ekonomik Ve Sosyal Hayata Etkilerinin Azaltılması Hakkında Kanun İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (17.04.2020 tarih ve 31102 Sayılı RG.) ile; 4857 sayılı İş Kanunu'na eklenen Geçici 10. madde (fesih yasağı ve ücretsiz izin hakkı) ve 4447 Sayılı İşsizlik Sigortası Kanunu'nun Geçici 23. Maddesinde yapılan değişiklik ile aynı Kanun'a eklenen Geçici 24. ve 25. Maddeler

26 Mart 2020 tarih ve 31080 (Mükerrer) sayılı Resmi Gazete'de yayımlanan 7226 sayılı “Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun”; Geçici Madde - 1 ile Covid-19 salgın hastalığının ülkemizde görülmüş olması sebebiyle yargı alanındaki hak kayıplarının önlenmesine, Geçici Madde - 2 ile 1/3/2020 tarihinden 30/6/2020 tarihine kadar işleyecek iş yeri kira bedellerine ilişkin yapılan düzenlemeler.

7226 sayılı Bazı Kanunlarda Değişiklik Yapılmasın İlişkin Kanun ile (26.03.2020 tarih ve 31080 Sayılı 1. Mükerrer RG.) ile; 4447 Sayılı İşsizlik Sigortası Kanunu'na eklenen Geçici 23. Madde ile kısa çalışma uygulamasında yapılan değişiklik ve 4857 sayılı İş Kanunu'nun 64. Maddesinde düzenlenen telafi çalışmasında yapılan değişiklik

Küresel Salgının İş Sözleşmelerine Etkisi ve Kısa Çalışma

İş Sağlığı ve Güvenliği Mvzuatı ile Kişisel Verilerin Korunması Mevzuatı Kapsamında Şirket Yönetim Kurulu Üyelerinin Cezai Sorumluluğu

Anayasa Mahkemesi'nin “Kanunen Verilmemesi Gereken Kişisel Verinin İdari Makamlara Açıklanması ve Güvenlik Soruşturmasına Esas Alınması Nedeniyle Özel Hayata Saygı Hakkının İhlal Edildiğine” İlişkin Kararı (Başvuru Numarası: 2014/7256 - Resmi Gazete Tarih ve Sayısı: 27.03.2019 - 30727)

Veri Sorumluları Siciline Kayıt Yükümlülüğüne İstisna Getirilen Veri Sorumluları ile Sicile Kayıt Süreleri

5 Haziran 2018 tarih ve 30442 sayılı Resmi Gazete'de yayımlanan “Taşınmaz Ticareti Hakkında Yönetmelik”

BÜLTEN ARŞİVİ İÇİN TIKLAYINIZ