KVKK Kapsamında Şirketinizin Yükümlülükleri Nelerdir?

Blog geri dön

KVKK kapsamında şirketlerin yerine getirmesi gereken yükümlülükleri vardır. Bu yükümlülükler yerine getirilmediği durumda ceza kesilmesi muhtemeldir.

AB’nin çığır açan The General Data Protection Regulation (GDPR) – Genel Veri Koruma Yönetmeliği’nin onaylamasından birkaç hafta önce, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ülkemizde kişisel verilerin korunmasına ilişkin ilk doğrudan mevzuattır.

Türk Ceza Kanunu (TCK) ve Ceza Muhakemesi Kanunu (CMK) gibi kanunlar kişisel verilerin korunmasına ilişkin kısmi hükümler içermektedir. Ancak bu düzenlemeler olası bir zararın ortaya çıkmasından sonra uygulanabilir. 6698 sayılı Kanun ise zarar veya ziyan oluşmasına gerek olmadan yaptırım uygulayabildiği için önleyici ve koruyucu bir mevzuat olarak değerlendirilmektedir.

KVKK Nedir?

KVKK , kişisel verilerin korunmasını düzenleyen ve kişisel verilerle ilgilenen kurum ve kişilerin uyması gereken yükümlülükleri ana hatlarıyla belirleyen Türkiye’deki ilk yasadır. KVKK’nın yürürlüğe girmesinden önce Türkiye’de kişisel verilerin korunması ve mahremiyetini düzenleyen özel bir yasa yoktu. Birkaç uzmanlık alanı dışındaki verilerin korunması, Türk Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmişti.

Kişisel Veriler Neden Önemlidir?

Gizli tutulması gereken veriler yanlış ellere geçtiğinde kişileri veya kurumları zor durumda bırakabilir. Örneğin, bir devlet kurumundaki bir veri ihlali, düşman bir devletin eline çok gizli bilgiler verebilir. Bir şirketteki bir ihlal, özel verileri bir rakibe, bir okuldaki bir ihlal, öğrencilerin kişisel bilgilerini kimlik hırsızlığı gerçekleştirebilecek suçluların eline, hastane veya doktor muayenehanesindeki bir ihlal, korumalı sağlık bilgilerini kötüye kullanabilecek kişilerin eline geçmesine neden olabilir.

Tüm bu sebeplerden dolayı kurumlar, sahip oldukları (dijital veya fiziksel) her bir kişisel verinin gizlilik hakkı ilkesi ile korunması için gerekli teknik ve idari altyapıları hazırlamakla yükümlüdür. Ayrıca kişisel veriler üçüncü şahıslar tarafından elde edildiğinde alınacak aksiyonlar açısından gerekli tüm yasal düzenlemeleri gerçekleştirmeleri gerekmektedir.

KVKK (6698 Sayılı Kanun) ve Prosedürü

KVKK, vatandaşların dijital ve veri hakları için yüksek düzeyde koruma sağlayan bir yasa olup kişisel verilerin korunması ile ilgili prosedürleri kapsar. Veri koruma ilkelerinin, haklarının ve yükümlülüklerinin her birini açıklar. Vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlaması için tasarlanmıştır. Hem vatandaşların hem de işletmelerin dijital ekonomiden tam olarak yararlanabilmesi için düzenleyici ortamı basitleştirmeyi amaçlamaktadır. Bilmeniz gereken temel noktaları özetler ve uyum sağlamanıza yardımcı olacak pratik kontrol listeleri içerir.

KVKK Kapsamında Alınması Gereken İdari ve Teknik Tedbirler

KVKK kapsamında alınması gereken 2 tip tedbir türü vardır:

1. İdari Tedbirler

● Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

● Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

● Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.

● Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanun’un 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

● Veri İşleyenler ile İlişkilerin Yönetimi

Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanun’un 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

İdari Tedbir Süreçleri:

· Kişisel Veri İşleme Envanterinin Hazırlanması

· Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.)

· Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu arasında, Veri Sorumlusu – Veri İşleyen arasında)

  • Gizlilik Taahhütnameleri

· Kurum İçi Periyodik ve/veya Rastgele Denetimler

  • Risk Analizleri

· İş Sözleşmesi, Disiplin Yönetmenliği (Kanuna Uygun Hükümler İlave Edilmesi)

· Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgiyi Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

· Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

· Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

2. Teknik Tedbirler

● Siber Güvenliğin Sağlanması

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, İnternet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir.

● Kişisel Veri Güvenliğinin Takibi

Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.

Bu durumun önüne geçebilmek için;

a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

d) Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir.

● Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir.

● Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.

● Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.

● Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.

Teknik Tedbir Süreçleri:

  • Yetki Matrisi
  • Yetki Kontrolü
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği (Firewall cihazlarıyla sağlanabilir.)
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri (Firewall cihazlarıyla sağlanabilir.)
  • Log Kayıtları (Firewall cihazlarıyla sağlanabilir.)
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları (Firewall cihazlarıyla sağlanabilir.)
  • Güncel Antivirüs Yazılımları

 

KVKK KAPSAMINDA GEREKENLER HAKKINDA BİLGİ ALMAK İÇİN BİZİMLE İLETİŞİME GEÇİN.

 

Blog geri dön