Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğu, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve gerçekleşmesi durumunda yol açacağı kayıplar doğru bir şekilde belirlenmeli ve buna uygun tedbirler alınmalıdır.
Bu riskler belirlenirken;
- Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra ise; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin değerlendirilmesi ve gerekli teknik ve idari tedbirlerin uygulamaya konulması veri sorumlularının yüksek idari para cezalarından ve ticari prestij kaybından kaçınmaları adına elzemdir.
Veri Sorumluları Tarafından Alınabilecek İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.)
- Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmeleri, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Bilgi Sicil Sistemine (VERBİS) Bildirim
Veri Sorumluları Tarafından Alınabilecek Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi