X
 

KVKK Danışmanlığı

KVKK Uyum Danışmanlığı

KVKK Uyum Danışmanlığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında oluşan kişisel verilerin işlenmesinde gerçek kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen tüzel ve gerçek kişilerin uyması gereken usul ve esasları sağlamak amacıyla yapılan danışmanlıktır.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriler kurum ya da şirketlerce günlük olarak işlenmektedir. Bu veriler çeşitli süreçlerde işlenmekte ve bu süreçler daima farklılık göstermektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bunun öncesinde ise kişisel verilerin korunması hakkı, ülkemizde 2010 yılında anayasal teminata bağlanmıştır.
Kişisel Verilerin Korunması Kanunu (KVKK) amacı; kişisel verilerin gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesidir ve böylece anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.

Kişisel verilerin işlenmesinde uyulması gereken bir takım temel ilkeler bulunmaktadır.

Bu ilkeler:


Hukuka ve dürüstülük kurallarına riayet,
Doğru ve güncel durumda olma
Belirli, açık ve meşru amacı yerine getirme,
İşlenme sebebi olan amaçla uyumlu, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen sürelerde muhafaza etme,
Kişisel verilerin korunması kanunu, gerçek ve tüzel kişilere bu kişisel verilerin bundan böyle işlenmeyeceği anlamına gelmez. Burada önemli olan bu kişisel verilerin, mevcut hükümlerine uygun olarak işlenmesi ve muhafaza edilmesidir.
Kişisel verilerin hukukla uygun olarak işlenebilmesine dayanak olan bölüm ise Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde yer alan şartlardan herhangi birinin mevcut olmasıdır. Kişisel veri işlemenin, bu şartlardan birine dayandırılması durumunda veri işleme uygun olacaktır.
Bu şartlara gelince:
İlgili kişinin açık rızası,
Kanunlarda açıkça öngörülmesi,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişiler ya da bu rızanın kişinin kendisi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluluk olması,
 Bir sözleşmenin kurulması amacıyla sözleşmenin taraflarına ait kişisel veri bulundurma,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunluluk olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatinin korunması,

Kişisel Verilerin Korunması Kanunu kapsamında alınması gereken aksiyonlar 3 gruba ayrılmaktadır:
İdari Tedbirler
Teknik Tedbirler
VERBİS’e kayıt

(Tüm kuruluşları kapsamamakta olup; çalışan sayısı 50 üzeri ya da yıllık mali bilanço toplamı 25 milyon TL üzerinde olması durumunda uygulanır)
Kuruluşların Kişisel Verilerin Korunması Kanunu uyumu sürecinde belirtilen tedbirlerin uygulamaya alınması ve izlenecek iş akışı şu şekildedir; 
Uyum için kişi/birim/ekip görevlendirilmesi
Veri analizi yapılması
Teknik tedbirlerin alınması
Kişisel veri işleme envanteri hazırlanması
Envantere dayanarak diğer dokümanların hazırlanması
VERBİS’e kayıt olunması
Çalışanlar için farkındalık oluşturma ve eğitim planlanması
IQM, KVKK uyum danışmanlığı kapsamında konusunda uzman bilgi sistemleri, hukuk ve yönetim sistemleri uzmanları ile sizlere entegre bir hizmet sunmaktadır.
 
KİŞİSEL VERİLERİN KORUNMASI İÇİN İDARİ TEDBİRLER

Kişisel Verilerin Korunması İçin İdari Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden idari tedbirlerin neler olduğu özetlenmiştir.
Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.” ifadesi yer almaktadır.
Kişisel Verilerin Korunması İçin İdari Tedbirler aşağıdaki şekilde açıklanmıştır.
 
1.MEVCUT RİSK VE TEHDİTLERİN BELİRLENMESİ:

Firmalar öncelikle işlenen tüm kişisel verilerin neler olduğunu belirlemeli ve bu kişisel verileri kullanırken ortaya çıkabilecek risklerin ve tehditleri belirlemesi gerekmektedir. Belirlenen risklerin azaltılması ya da ortadan kaldırılması için çözümler oluşturmalı, gerekli idari tedbirler planlanarak uygulamaya koymalıdır.

2.ÇALIŞANLARIN EĞİTİLMESİ VE FARKINDALIK ÇALIŞMALARI:

Konu ile ilgili çalışanların eğitilerek farkındalıklarını arttırma çalışmaları yapılmalıdır. Özellikle bir siber saldırı anında çalışanların ilk müdahaleyi yapmaları çok önemlidir.
Kişisel verilerinin korunması ile ilgili dokümanlarda (prosedür, politika gibi) önemli
değişiklikler oluşması durumunda yeni eğitimler verilmeli, personellerin bilgilerinin her zaman güncel tutulması sağlanmalıdır.
 
3.KİŞİSEL VERİ GÜVENLİĞİ POLİTİKALARININ VE PROSEDÜRLERİNİN BELİRLENMESİ:

Kişisel verilerin korunması hakkında bir politika hazırlanması gerekmektedir. Kişisel verilerin korunması için yapılacak uygulamalar prosedürlerde tanımlanmalıdır. Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir.
Politika ve prosedürlere göre kontroller yapılmalı, kontroller sonucunda geliştirilmesi gereken hususlar belirlenmelidir. Kontroller düzenli olarak yapılmalıdır. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.

4.KİŞİSEL VERİLERİN MÜMKÜN OLDUĞUNCA AZALTILMASI

Uzun süredir faaliyet gösteren firmalar, çok fazla kişisel veri toplamakta ve söz konusu kişisel verilerin bir kısmı zamanla güncelliğini yitirmiş veriler haline gelebilmektedir. Bunun önüne geçebilmek için, veri sorumlularınca işlenmek için alınan kişisel verilerin doğru olup olmadığı ve hala ihtiyaç olup olmadığının değerlendirilmesi gerekmekte ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir.
 
5.VERİ İŞLEYENLER İLE İLİŞKİLERİN YÖNETİMİ

Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Kişisel Verilerin Korunması Kanunu 12. maddesinin ikinci fıkrasında veri işleyenlerin de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu olduğu ifade edilmiştir. Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması önerilmektedir.
Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin İdari Tedbirler yer almaktadır.
 
İdari Tedbirler
Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
Gizlilik Taahhütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
 
KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER
 
Kişisel Verilerin Korunması İçin Teknik Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden teknik tedbirlerin neler olduğu özetlenmiştir.
Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.” ifadesi yer almaktadır.
Kişisel Verilerin Korunması İçin Teknik Tedbirler aşağıdaki şekilde açıklanmıştır.
 
1. SİBER GÜVENLİĞİN SAĞLANMASI

Kişisel veri güvenliğinin sağlanabilmesi için tek bir siber güvenlik ürünü kullanımıyla tam güvenlik sağlanması yeterli olmamaktadır. Çünkü tehditler geçen her zaman içinde etki alanlarını arttırmaktadır. Bu nedenle en iyi sonuç için, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.
Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma yöntemidir.
 
2. KİŞİSEL VERİ GÜVENLİĞİNİN TAKİBİ

Veri sorumlularının sistemleri, hem içeriden hem de dışarıdan gelen saldırılara, kötü amaçlı yazılımlara ve siber suçlara maruz kalabilmekte olup, bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
b) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
c) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
d) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,
e) Tüm kullanıcıların işlem hareketleri kaydının (örneğin log kayıtları) düzenli olarak tutulması gerekmektedir.
 
3. KİŞİSEL VERİ İÇEREN ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Kişisel veriler, veri sorumlularının faaliyet adresinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların kaybolması ya da çalınması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması gerekmektedir. Aynı zamanda, kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. tehditlere karşı korunması gerekmekte ve bu ortamlara giriş çıkışların kontrol altına alınması gerekmektedir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.
 
4. KİŞİSEL VERİLERİN BULUTTA DEPOLANMASI

Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının veri sorumlusu tarafından değerlendirilmesi gerekmektedir. Çünkü kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesi gibi birçok durum söz konusu olabilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.
 
5. BİLGİ TEKNOLOJİLERİ SİSTEMLERİ TEDARİĞİ, GELİŞTİRME VE BAKIMI

Arıza ya da bakım için üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların üçüncü taraflara gönderilmeden önce, kişisel veri güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması uygun olacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verilerin kopya yolu ile kurum dışına çıkmasının engellenmesi için gerekli teknik önlemlerin alınması gerekir.
 
6. KİŞİSEL VERİLERİN YEDEKLENMESİ

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin Teknik Tedbirler yer almaktadır.
 
Teknik Tedbirler
Yetki Matrisi
Yetki Kontrol
Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Şifreleme
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
Log Kayıtları
Veri Maskeleme
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi
 

Süreçle ilgili profesyonel çözüm ortaklarımızla beraber siz müşterilerimize hizmet sunmaktayız. Detaylı bilgi ve görüşme talep etmek için bizimle irtibata geçmenizi rica ederiz.  0216 674 22 40  info@iqm.com.tr