6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da yürürlüğe girmesiyle, “kişisel veri” olarak nitelendirilen verilerin işlenmesi hususunda birtakım prensip ve kurallar getirilmiştir.
Kişisel veriler ile şirketlerin korumakla yükümlü olduğu diğer veriler birbirinden ayrılmalıdır. Bu sınıflandırmanın her bir veri sorumlusunun faaliyet gösterdiği sektörün özellikleri dikkate alınarak, titizlikle yapılması gerekmektedir.
Özellikle, kişisel veri niteliğindeki bilgilerin yoğun bir şekilde işlendiği sağlık, bankacılık, internet, telekomünikasyon, elektronik ödeme sistemleri, insan kaynakları, ulaşım, konaklama gibi sektörler için hızlı bir uyum süreci zorunlu hale gelmiştir.
Şirketinizin KVKK ile uyumlu olup olmadığını anlamak için aşağıdaki soruları inceleyebilirsiniz.
6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi ile veri sorumluları için kişisel verisini işlediği ilgili kişileri aydınlatma yükümlülüğü getirilmiştir. Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir hak olarak karşımıza çıkmaktadır. İşlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmekte olan aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilmesi için olmazsa olmaz bir şarttır.
Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir.
İlgili kişiden açık rıza almanız gerekmektedir. Ancak aşağıdaki maddelerden biri söz konusu ise rıza almadan verileri aktarmanız mümkündür; Kişisel Veri açısından; 4.1. madde yer alan istisnalar burada da geçerlidir. Özel Nitelikli Kişisel Veri açısından; 4.2. maddede yer alan istisnalar burada da geçerlidir.
Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.
Veri Sorumluları Sicili Hakkında Yönetmelik ile Veri Sorumluları için; Kişisel Veri İşleme Envanteri (“Envanter”) hazırlanması yükümlülüğü getirilmiştir. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.
İlgili kişiden açık rıza almanız gerekmektedir. Ancak 4.1. ve 4.2. maddede yer alan istisnai haller ile birlikte kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarabilirsiniz. Yeterli korumanın bulunduğu ülkeler (Güvenli Ülkeler Listesi) Kurulca belirlenerek ilan edilecektir. Ayrıca her iki halde KVKK kapsamında tüm idari ve teknik tedbirleri yerine getirmek zorunda olduğunuzu da bilmeniz gerekmektedir.
Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.
Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.
Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.
Kişisel veri ile muhatap olan tüm elemanlarınızın bu eğitimi aldığından emin olmalı ve eğitim tarihinden sonra istihdam olan personellerinize de bu eğitimi aldırmak zorunda olduğunuzu unutmamalısınız.
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilmektedir.
Yetki Matrisi Şirketlerde paylaşılan her türlü dosya ve Database için kimin erişim yetkisi olduğu, kimin ne zaman ne şekilde hangi cihazdan erişim sağladığı yada erişimim yetkisinin olduğu yazılan tablolardır. Yetki Matrisi oluşturulmadıysa, en kısa zamanda oluşturulması gereklidir, şirket bünyesinde var olan tüm dosyalara kimlerin erişim yetkisinin olduğu tablo şeklinde görülmeli KVVK kapsamında denetim olması halinde ilk sorulacak olan matris tablosu olacaktır.
Yetki Kontrol listeleri yetki matrisleri ile beraber oluşturulan, bir dosya üzerinde yetkilerinin kimin olduğunu gösteren tablolardır. Yetki matrisi listesinde bulunup Okuma, yazma, taşıma ya da değiştirme yetkilerinin kimde olduğunu gösteren yetki matrisi ile beraber oluşturulan tablolardır. Yetki Matrisinin olmadığı yerde yetki kontrol listesini oluşturmak olası değildir. Yetki kontrol listesi elinizde yoksa, yetki matrisinin oluşturulmasında problemli bir süreç oluşmuştur. Yetki kontrol listesi oluşturmanız olası bir denetimde sorulacak olan bu database üzerinde ki yetkilileri görebilir miyiz? Sorusunun cevabı olacaktır.
Bu prosedürün amacı şirket bünyesinde veya yan kuruluşlarda çalışan ve network Alanı’na dahil olan kullanıcıların şifrelerinin azami ölçüde güvenlikli ve sağlam bir yapıda oluşturulmasını, korunmasını ve değiştirme sıklığının bir standartla belirlenmesidir. Bu prosedür uygulamaya sokulmadığı taktirde, şirket bünyesinde ki kullanıcılar saldırganlar tarafından basitçe tahmin edilecek olan “12345” vb. şifreleri kullanabilme hakkı elde ederler, bu şirket bünyesinde kritik noktalarda çalışan personellerin basit, kırılabilir şifre oluşturulmasına yol açacaktır.
Bilgisayarın gerçekleştirdiği etkinliğin kayıtlarının tutulması anlamında kullanılır. Örneğin yerel bilgisayarınız karşılaştığı tüm hata olaylarını tanım ve tarih bilgisi ile bir dosyada saklar. Ya da web sitenizi barındırdığınız sunucu, olmayan bir sayfanın çağrılması, kodda bir hata olması vb. tüm gerekçelerle oluşan hataların tanım ve tarihlerini bir dosyada tutarken, başka dosyalarda da tüm başarılı işlemleri, ya da e-posta etkinliklerinin hatalarını tutar. Hangi bilgisayardan hangi işlemlerin yapıldığına dair liste tutmanızı sağlar olası bir denetimde erişim loğları talep edilmektedir. Eğer şirketinizde Erişim Loğ kayıtları yoksa hemen aktif hale getirilmelidir. Şirket içerisinde yetkisiz bir erişimin ya da Kişisel bir verinin kim tarafından ne şekilde dışarı çıkıldığı bilgisi bu loğlar sayesinde bulunmaktadır. Üzerlerinde zaman mühürleri bulunduğundan dolayı hangi zamanda ihlalin gerçekleştiği bilgisi bu loğlar sayesinde öğrenilir.
IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur. IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altına alan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur. IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altınaalan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi
Politika üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.
2023 Siber Saldırı Sayısı
2023 Veri İhlali Bildirimleri
2023 Verbis Kayıtları
2023 Kişisel Veri İşleme
Topraklık Mahallesi Gazi Mustafa Kemal Bulvarı No: 17 Kat: 5 Yılmaz İş Merkezi / DENİZLİ