bugün
21.07.2019
Bültenler
Kişisel Verileri Koruma Kurulu tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)“
Sayı:   Tarih  2 Şubat 2018 Cuma

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Veri Güvenliği Rehberi (“Rehber”) yayımlanmıştır.

Rehber’de önerilere;

 

  • Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

 

  • Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

 

  • Tedbirlere İlişkin Özetler

 

olmak üzere üç ana başlıkta yer verilmiştir.

 

Kişisel Verileri Koruma Kanunu madde 12 uyarınca veri sorumluları, kişisel verilerin muhafazasını sağlamak, hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadırlar. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanacak olduğundan Kurul tarafından yayımlanan Rehber’de yer alan tavsiye niteliğindeki önlemlerin dikkate alınarak veri sorumlusu nezdinde gerekli tedbirlerin alınması önem arz etmektedir.

 

Rehber metin, Bültenimiz ekinde sunulmakta olup önerilere özet olarak aşağıda yer verilmiştir.

 

I. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

 

1. Mevcut Risk ve Tehditlerin Belirlenmesi

 

  • İşlenen tüm kişisel verilerin neler olduğu, mevcut risk ve tehditlerin belirlenmesi

 

  • Risklerin gerçekleşmesi durumunda olası kayıpların doğru belirlenmesi ve uygun tedbirlerin alınması

 

2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

 

  • Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması, bu kapsamda kişisel verilere ilişkin olarak “Yasaklanmadıkça Her Şey Serbesttir” yerine “İzin Verilmedikçe Her Şey Yasaktır” prensibinin yerleştirilmesi

 

  • Çalışanlara işe başlamaları esnasında gizlilik sözleşmesi imzalatılması, olası veri güvenliği ihlallerine ilişkin disiplin süreçlerinin belirlenmesi

 

  • Kişisel veri güvenliği politika ve prosedürlerinin belirlenmesi

 

3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

 

  • Kişisel veri güvenliği politikasının hazırlanması

 

  • Politikanın çalışma ve işleyişe entegre edilmesi

 

  • Politikaların uygulanmasının düzenli olarak kontrol edilmesi, güncellenmesi

 

4. Kişisel Verilerin Mümkün Olduğunca Azaltılması

 

  • Doğru ve güncel kişisel veri işlenmesi, amaç için gerekli olan süreden fazla muhafaza edilmemesi

 

  • Güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilerin mevzuata uygun bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi

 

5. Veri İşleyenler ile İlişkilerin Yönetimi

 

Veri işleyenler ile Kişisel Veri Saklama ve İmha Politikasına uygun şekilde yazılı olarak sözleşme yapılması ve bu sözleşmede veri işleyenin;

 

  • Sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve mevzuat ile uyumlu şekilde hareket edeceği,

 

  • Süresiz sır saklama yükümlülüğüne tabi olacağı,

 

  • Herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğu,

 

  • Kişisel veri içeren sistemleri üzerinde veri sorumlusunun denetim ve yerinde inceleme yapma yetkisinin olduğu belirtilmeli ve

 

  • Veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir madde de yer verilmesi önerilmektedir.

 

II. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

 

1. Siber Güvenliğin Sağlanması

  • Siber güvenliğin sağlanması, güvenlik duvarı ve ağ geçidi gibi önlemlerin alınması,

 

  • Kişisel veri içeren sistemlere erişimin kullanıcı adı ve şifre (büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlu) gibi önlemlerle sınırlandırılması,

 

  • Erişim yetki ve kontrol matrisi oluşturulması ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması ,

 

  • Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması,

 

  • Antivirüs, antispam gibi ürünlerin kullanılması, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

 

2. Kişisel Veri Güvenliğinin Takibi

 

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

 

  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

 

  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

 

  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

 

  • Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması

 

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

 

  • Kişisel veri içeren ortamların güvenliğinin sağlanması, çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması,

 

  • Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması,

 

  • Kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk, CD, DVD vb.) çalınması ve kaybolması ihtimaline karşı güvenlik önlemlerinin belirlenmesi, elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi.

 

4. Kişisel Verilerin Bulutta Depolanması

 

  • Kişisel verilerin bulutta depolanması halinde bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması,

 

  • Buluta yüklenecek kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması.

5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

  • Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımından veri güvenliğinin göz önünde bulundurulması, bakım onarım için gönderilen cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması, bu hizmetlerin işyerinde alınması halinde güvenlik ihlallerinin engellenmesi için gerekli önlemlerin alınması

 

6. Kişisel Verilerin Yedeklenmesi

 

III. Özet Tedbirler

 

İdari Tedbirler
  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

Teknik Tedbirler
  • Yetki Matrisi
  • Log Kayıtları
  • Yetki Kontrol
  • Veri Maskeleme
  • Erişim Logları
  • Veri Kaybı Önleme Yazılımları
  • Kullanıcı Hesap Yönetimi
  • Yedekleme
  • Ağ Güvenliği
  • Güvenlik Duvarları
  • Uygulama Güvenliği, Şifreleme
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Güncel Anti-Virüs Sistemleri
  • Anahtar Yönetimi
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri

 

Saygılarımızla,

Engin Hukuk Bürosu

HABERLER
Elektronik Tebligat Yönetmeliği

“Elektronik Tebligat Yönetmeliği” 6 Aralık 2018 tarih ve 30627 sayılı Resmi Gazete’de yayımlanmıştır. Yönetmelik uyarınca aşağıdaki belirtilen gerçek ve tüzel kişilere yapılacak tebligatların elektronik yollarla yapılması zorunludur:   5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununa ekli (I), (II), (III) ve (IV) s[…]

Aday Çırak ve Çıraklar ile İşletmelerde Mesleki Eğitim Gören, Staj veya Tamamlayıcı Eğitime Devam Eden Öğrencilerin Ücretlerine Yapılan Devlet Katkısı Ödemelerinin Süresi 3 Eğitim ve Öğretim Yılı Uzatıldı

“Aday Çırak ve Çıraklar ile İşletmelerde Mesleki Eğitim Gören, Staj veya Tamamlayıcı Eğitime Devam Eden Öğrencilerin Ücretlerine Yapılan Devlet Katkısı Ödemelerinin Süresinin Uzatılmasına İlişkin Kararda Değişiklik Yapılması Hakkında Karar (Karar Sayısı: 356)” 23 Kasım 2018 tarih ve 30604 sayılı Resmi Gazete’de yayımlana[…]