Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kurumlarda ki veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12'nci maddesinin (1) numaralı fıkrasında bulunan;
a.Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c.Kişisel verilerin muhafazasını sağlamak
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Teknik önlemler olarak aşağıdaki maddeler belirlenmiştir.
1- Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır.
2- Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
3- Ağ ortamında kullanılan cihazların ve/veya programların yama yönetimi-yazılım güncellemelerinin olup olmadığı, düzgün bir şekilde çalıştığının kontrolü ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi gerekir.
4- Kişisel verileri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
5- Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
6- Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
7- Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
8- Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
9- Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılması gerekmektedir. Kurulan ürünler güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
10- Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
11- Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
12- Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
13- Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
14- Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
KVKK Kanunu ile ilgili düzenlemeyi buradan indirebilirsiniz.
Veri ; şirket ve kurumların vazgeçilmez bir parçası haline gelmiş durumda. Şirketlerin iş sürekliliğini sağlayabilmesi için gereken en önemli konu kişisel verileri devamlı olarak koruyabilmesi ve saklayabilmesidir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek veya tüzel kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriler gerçek ya da tüzel kişilerce günlük olarak işlenmektedir. Bu veriler çeşitli süreçlerde işlenmekte ve bu süreçler daima farklılık göstermektedir. Kişisel verilerin korunması 07/04/2016 tarihinli 29677 sayılı 57 cilt numaralı resmi gazete ile yürürlüğe giren 6698 sayılı kişisel verilerin koruma kanunu resmiyet kazanmıştır. Kişisel verileri koruma kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
KVKK Hukuk Danışmanlığı
Hukuk danışmanlığı gerçek ve tüzel şirketler tüm süreçlerinin hukuki analize tabi tutulması aşamasıdır. Aslında tüm departmanların günlük olarak işledikleri kişisel verilerin hukuk profesyonellerimiz tarafından gerçekleştirilen hukuki analiz ile tanımlanması işlemi de denilebilir. Hukuk danışmanları veri sorumlusu ile birlikte gerekli politikaları oluşturmaktadır.
İDARİ TEDBİRLER
• KİŞİSEL VERİ ENVANTERİ HAZIRLANMASI
• KURUMSAL POLİTİKALAR SÖZLEŞMELER
• GİZLİLİK TAHATTÜTNAMELERİ
• KURUM İÇİ PERİYODİK DENETİMLER
• RİSK ANALİZLERİ
• İŞ SÖZLEŞMELERİ,DİSİPLİN YÖNETMELİĞİ
• EĞİTİM VE FARKINDALIK FAALİYETLERİ ( BİLGİ GÜVENLİK KANUNU )
• VERİ SORUMLUSU SİCİL BİLGİ SİSTEMİNE ( VERBİS ) BİLDİRİM
Veri sorumlusu kişisel verileri işleme amaçlarını ve ne şekilde işleneceğini belirleyen veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir. Sorumlular şirketin üst düzey yönetiminde bulunan kişilerden seçilmelidir. Bu kişi kanunun uygulanması yönünde koordinasyonu sağlamak ve gerekli bilgileri hassas bir şekilde tutmakla görevlidir.
Bu süreçte veri işleme envanteri de oluşturulmaktadır. Kayıt olunması gereken sistemler, hukuki olarak uyarlanması gereken tüm süreçler bu safha da hazırlanmaktadır. Bu çalışmalarla birlikte uyum için temel şartlardan biri olan Veri İşleme Envanteri de hazırlanmış olur.
Hukuk profesyonellerinin oluşturduğu politikalar doğrultusunda iç süreçlerin tasarlanması ve düzenlenmesi safhasıdır. Teknik olarak gerekli olan tüm süreçler de bu aşamada tespit edilmektedir.
Veri envanter raporu detaylı şekilde oluşturulmalı, oluşturulan rapor doğrultusunda veriler sınıflandırılmaya hazır hale getirilmelidir.
Kurum ya da kuruluşun yayıma alması gereken kişisel verilerin korunması ile ilgili depolama , imha etme vb. politikaların içeriğinin hazırlanması, kurumun sahip olduğu hukuki anlaşmaların, sözleşmelerin , taahhütname vb. dokümanların gözden geçirilerek KVKK uyumlu hale getirilmesi, açık rıza metinlerinin ve aydınlatma metinlerinin oluşturulması gibi süreçler de son hale getirilmektedir.
Kişisel Verileri Koruma Kanununun Kazandırdığı Avantajlar
o Farkındalık: İnsan kaynaklarının daha doğru, düzenli ve efektif kullanımı.
o Bilinç: İş ilişkilerinde yaşanabilecek olumsuz senaryoların azalması. Bu konuya bir örnek de vermek gerekirse şirket içerisindeki verilerin dışarı sızdırılmaya çalışılmasının engellenmesi.
o Veri Bulma: Kurumların en değerli varlığı olan veriye erişimin hızlanması.
o Veri Sınıflandırma: Verilerin değerinin tespiti ve hassas verilerin sınıflandırılarak güvenliğinin artırılması.
o İş sürekliliği: İş sürekliliği ve devamlılığının sağlanabilmesi için gerekli olan temel taşın yani verinin alternatifli olarak saklanması.