Ajanda

KİŞİSEL VERİ GÜVENLİĞİ REHBERİ

25.01.2018

Duyurumuz, Kişisel Verileri Koruma Kurumu tarafından hazırlanan ve 19.01.2018 tarihinde yayımlanan, “Kişisel Veri Güvenliği Rehberi” hakkındadır.

Rehber Hakkında;

Kişisel Verileri Koruma Kurumu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, veri sorumlularının kişisel verilerin işlenmesi ve güvenliğinin sağlanması konularında alabileceği önlemler ve atmaları gereken adımlar hakkında tavsiye niteliğinde bir rehber hazırlamıştır.

Rehber kapsamında, veri sorumlularının alabileceği işbu tedbirler, idari ve teknik tedbirler olmak üzere ikili bir ayrım yapılarak değerlendirilmiştir.

Rehberde Öngörülen İdari Tedbirler;

Rehberin “Kişisel Veri Güvenliğine İlişkin İdari Tedbirler” başlıklı ikinci bölümünde, veri sorumlularının, hem hukuka uygun veri işleme süreçlerini kolaylaştırmak hem de bu süreçte karşılaşabilecekleri mali ve/veya hukuki sorunların ortaya çıkmasını önlemek amaçlarıyla alabilecekleri tedbirler ile belirleyebilecekleri stratejiler hakkında tavsiyeler yer almaktadır.

Rehber kapsamında:

  • Kişisel veri işleme envanteri hazırlanması,
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha ve sair konular hakkında kurumsal politikalar oluşturulması,
  • Veri sorumlularının kendi aralarında ve veri sorumluları ile veri işleyenler arasında gerekli sözleşmelerin imzalanması,
  • Gizlilik taahhütnameleri düzenlenmesi,
  • Kurum içerisinde periyodik ve/veya rastgele denetimler yapılması,
  • Mevcut risk ve tehditlerin belirlenmesi,
  • Mevcut iş sözleşmelerinin ve disiplin yönetmeliklerinin KVKK hükümlerine uygun hale getirilmesi,
  • Çalışanlara, kişisel verilerin işlenmesi ve güvenliğinin sağlanması hususlarında farkındalık yaratılması amacıyla eğitim verilmesi,
  • Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) gerekli bildirimlerin yapılmasına özen gösterilmesi önerilmektedir.

Rehberde Öngörülen Teknik Tedbirler;

Rehberin “Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler” başlıklı üçüncü bölümünde, kişisel veri güvenliğinin sağlanması için veri sorumlularının dikkat etmesi gereken hususlar vurgulanarak bu konuda alınabilecek teknik tedbirlere yer verilmiştir. Bu doğrultuda; siber güvenliğin sağlanması, veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknoloji sistemlerinin tedariği/geliştirilmesi/bakımı ve kişisel verilerin yedeklenmesi başlıkları altında alınabilecek önlemler açıklanmıştır.

Rehber kapsamında:

  • Yetki matrisi, yetki kontrolü,
  • Erişim logları,
  • Kullanıcı hesap yönetimi,
  • Ağ ve uygulama güvenliği, şifreleme,
  • Sızma testi,
  • Saldırı tespit ve önleme sistemleri,
  • Log kayıtları ve veri maskeleme,
  • Veri kaybı önleme yazılımları ve yedekleme,
  • Güvenlik duvarları ve güncel anti virüs sistemleri,
  • Silme/yok etme/anonim hale getirme,
  • Anahtar yönetimi ve sair uygulamaların benimsenmesi ve bunların gerekliliklerinin yerine getirilmesi önerilmektedir.

İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.

Ersin Nazalı

Yönetici Ortak, Avukat, YMM

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.