Bu Blogda Ara

19 Şubat 2018 Pazartesi


KİŞİSEL VERİ GÜVENLİĞİ REHBERİ

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte; veri sorumlusu olarak tanımlanmakta olan gerçek ve tüzel kişilere; kişisel verilerin korunmasıyla ilgili pek çok yükümlülük getirilmiştir. Kişisel verilerin korunması alanında oldukça geniş bir yetkiyi haiz olan Kişisel Verilerin Korunması Kurumu (“Kurum”) da bu yükümlülüklerin belki de en önemlilerinden olan veri güvenliği ile ilgili olarak veri sorumlularını ve ilgilileri aydınlatmak üzere bir rehber hazırladı. Bu yazımızda bu rehbere ilişkin genel çerçevede bilgi verilecektir.

Rehberde ilk etapta yapılması gereken mevcut risklerin ve risklere karşı önlemlerin belirlenmesi olarak özetlenmiştir. Riskler belirlenirken verinin gizlilik ve önem derecesi de dikkate alınarak veri sızıntısı olduğu takdirde ilgili kişinin olası zararının boyutunun tespit edilmesi gerektiğine dikkat çekilmiştir. Kişisel veri envanteri oluşturulması suretiyle bu risklerin tespiti çok daha kolay bir hale gelecektir.

Kişisel verilerin güvenliğinin sağlanmasında en kritik faktörlerden biri şüphesiz çalışanların eğitimli olması ve bilinçli bir şekilde hareket etmesidir. Bu itibarla Kişisel Verilerin Korunması Kurumu veri güvenliğinin sağlanması için veri sorumlularının veri güvenliği ve kişisel veriler konusunda işyerinde  farkındalık yaratması, eğitimlerin verilmesi ve kişisel verilerin korunmasına ilişkin kurallara riayet etmeyenlerin disiplin yaptırımlarına tâbi tutulması gerektiğini savunmaktadır. Oldukça isabetli bir şekilde kişisel verilerle ilgili işlemlerde izin verilmedikçe her şeyin yasak olması prensibinin devreye sokulması gerektiği belirtilmiştir.

Kişisel Verilerin Korunması Kurumu ayrıca Kişisel Veri Güvenliği Politikası ve Prosedürleri’nin oluşturulması gerektiğini belirtmektedir. Veri sorumlularının hangi veri kategorilerinde, hangi hassasiyetteki verilerin bulunduğunu iyi bir şekilde bilmesi ve bunlarla ilgili riskleri önceden öngörüp gerekli önlemleri alması büyük önem arz etmektedir. Bu prosedürler çerçevesinde düzenli olarak kontrollerin ve iyileştirmelerin yapılması gerekmektedir.

Elde ne kadar az veri tutulursa o kadar az verinin güvenliği bakımından sorumluluk gündeme geleceğinden Kişisel Verilerin Korunması Kurumu; mevcut verilerin asgari düzeye indirilmesi için gerekli önlemlerin alınması gerektiğini belirtmektedir.

Veri işleyenlerden hizmet almakta olan veri sorumlularının veri güvenliğine ilişkin yetersizlikleri nedeniyle veri sorumluların da doğrudan sorumluluğunun gündeme gelmesi söz konusu olduğundan; veri işleyenle olan ilişkilerin de önemine vurgu yapılmış ve veri sorumlusu ile yapılacak sözleşmeyle ilgili şu tavsiyelerde bulunulmuştur:

  • Sözleşmelerin yazılı olması
  • Yalnızca veri sorumlusunun talimatları doğrultusunda mevzuata uygun olarak veri işlenmesi gerektiğine dair hükmün bulunması
  • Sözleşmenin Kişisel Veri Saklama ve İmha Politikası’na uyumlu olması
  • Veri işleyenin işlediği kişisel veriler hakkında süresiz sır saklama yükümlülüğüne ilişkin hüküm bulunması
  • Olası veri ihlallerinde derhal veri sorumlusuna bildirim yükümlülüğüne yer verilmesi

Öte yandan veri güvenliğinin sağlanması için teknik tedbirlere de yer verilmiştir. Siber güvenlik; tıpkı şirketin mahremiyetinin sağlanması bakımından olduğu gibi kişisel verilerin korunması anlamında da vazgeçilmezdir. Kurumun siber güvenlik bağlamındaki önerileri:

  • İnternet üzerinden izinsiz erişimlerin önlenmesi için güvenlik duvarının oluşturulması; çalışanların risk teşkil eden sitelere ve uygulamalara bağlanmasını önleyecek ağ geçidinin devreye sokulması
  • Kullanılmayan/gereksiz yazılımların kaldırılması ve yüklü yazılımların gerektiğinde güncellenmesi
  • Kişisel verilerin bulunduğu veritabanlarına erişimin kısıtlanması ve kullanıcı adı/şifre ile girişlerin güvenli hale getirilmesi, veri tabanında hangi verilere kimin erişebileceğinin politikalara uygun bir şekilde belirlenmesi
  • Antivirüs, antispam uygulamalarının devreye sokulması
  • Kişisel veri temin edilen ve muhafaza edilen sanal ortamlarda asgari SSL güvenlik sertifikasının kullanılması
  • Siber güvenlik altyapısına ilişkin düzenli takip yapılmasına elverişli bir politika izlenmesi
Kişisel veriler yalnızca sanal ortamlarda tutulmadığından fiziki ortamda tutulan veriler için de güvenlik tedbirlerinin alınması önem arz etmektedir. Bu nedenle örneğin kağıtlar üzerinde tutulan verilerin herkesin ulaşamayacağı bir yerde saklanması ve yangın, deprem gibi dış etkilerden korunması için tedbir alınması Kişisel Verilerin Korunması Kurumu tarafından önerilmektedir. Yine kişisel verilerin tutulduğu dizüstü bilgisayarlar, CD, flashbellek vb. ortamların da çalınmaya, uzaktan erişime ve yetkisiz erişime karşı korunmaları önerilmektedir.

Bulut depolama çözümünün de güvenli bir biçimde verilerin tutulmasını sağlamanın yanında birtakım riskleri de meydana getirmesi söz konusu olduğundan, Kişisel Verilerin Korunması Kurumu; yalnızca azami güvenlik tedbirlerini sağlayan bulut depolama çözümlerinin tercih edilmesi gerektiğini, her bulut çözümü için ayrı şifrelerin belirlenmesi gerektiğini ve hangi bulut depolama sisteminde hangi verinin bulunduğunun veri sorumlusu tarafından sürekli takip edilmesi gerektiğini belirtmektedir.

Bunlar haricinde bilişim sistemlerinin tedarik edilmesi, tamiri ve bakımı esnasında sızıntıların ve üçüncü kişilerin erişiminin önlenmesi için tedbirlerin alınması gerektiği belirtilmiştir.

Kişisel verilerin bozulma, değişme ve erişim engellerine karşı yedeklenmesi gerektiği de Kişisel Verileri Koruma Kurumu’nun belirtmiş olduğu bir diğer tedbirdir.

Konu hakkında detaylı bilgi almak için Ofisimizle iletişime geçebilirsiniz.

Saygılarımızla.

Derya Baksı                                                                           Kerem Utku Örer
Ortak Avukat                                                                         Avukat
  

Hiç yorum yok:

Yorum Gönder

Etiketler

marka Turkuaz Kart Türk Patent ve Marka Kurumu Uluslararası İşgücü Kanunu sınai mülkiyet kanunu Marka Koruması Sınai Mülkiyet kişisel veri kişisel verileri koruma kanunu marka tescili personal data protection Auditor Board of Directors Corporate Responsibility Corporate Social Responsibility E-Commerce Web Sites E-Ticaret siteleri E-Ticarette Güven ETBİS; e-ticaret; E-ticaret bilgi sistemi Faydalı Model; Teşvik; KOSGEB; Turquality; Sınai Mülkiyet Fikri Mülkiyet Güven Damgası Güven Damgası Sağlayıcısı Human Rights; Equality; Labour Law; discrimination; mobbing; 6701; Human Rights and Equality Institution Industrial Property Law International Workforce Law KVKK KVKK; KVK; Kişisel Verilerin Korunması; Data Privacy; GDPR; Privacy; Kişisel Veri; Personal Data; Özel Nitelikli Kişisel Veriler; Aydınlatma Yükümlülüğü; Envanter; VERBIS Kişisel Veri Rehberi Kişisel Veri Saklama ve İmha Politikası Kişisel Veriler; Kişisel Verilerin Korunması; Veri Sorumlusu; Veri Sorumluları; Kişisel Veri Envanteri; Veri Sorumluları Sicili Kişisel VerilerinPrivacy; Kişisel Veri; Personal Data; Özel Nitelikli Kişisel Veriler; VERBIS Kurumsal Sosyal Sorumluluk Kurumsal Sürdürülebilirlik Madrid Protokolü Markanın Tescili Markaya Tecavüz Minority Minority rights OHAL Protection of Personal Data; Data Controller; Register of Data Controllers; Committee of Protection of Personal Data; Personal Data Inventory; Personal Data Retention and Disposal Policy Sanayinin Geliştirilmesi ve Üretimin Desteklenmesi; Ar-Ge; Teknoloji Transfer Ofisi Security Seal Communiqué Security Seal Providers Sermaye Şirketleri Sınai Mülkiyet Kanunu Tasarısı Trade Mark Turkish Commercial Code Turkuaz Kart nedir Turquoise Card Türk Patent Enstitüsü Veri Sorumlusu; Kişisel Veri Envanteri; Veri Sorumluları Sicili Yabancıların Türkiye'de Çalışması Yeni Türk Ticaret Kanunu; Tek Kişilik Şirketler; Anonim Şirketler; Limited Şirketler başvurusu data privacy elektrik enerjisi enerji enerji kaynakları ethics; code of ethics; corporate governance fazla çalışma; fazla sürelerle çalışma; fazla mesai; yazılı onay geçici iş ilişkisi gizli bilgi human rights convention ikamet izni intellectual property law iptali iş sırrı kimlere verilir kişisel verileri işleme marka hakkı marka itiraz marka korumasında yenilikler markaya itirazda süre merkezi tüzel kişilik bilgi sistemi personal data personal data processing privacy private employment agencies residence permit in Turkey sadakat borcu taklit tanınmış marka temporary employment relationship ticaret sicil memurluğu veri gizliliği work permit in Turkey yenilenebilir enerji yönetim kurulu başkanı; TTK madde 366 yıllık ücretli izin yönetmeliği yıllık ücretli izin; izin süresinin tespiti Çalışma İzni çalışma izinleri çalışma izni çalışma izni muafiyeti özel istihdam büroları İflas Erteleme İkamet İzni İş Kanunu; Çağrı Üzerine Çalışma; Uzaktan Çalışma; Geçici İş İlişkisi; Yeni Düzenleme İş sözleşmesi