İdari ve Teknik Tedbirlerin Tespit Edilmesi


NASIL YAPILIR?


KVKK Uyumu Kapsamında Alınması Gereken İdari ve Teknik Tedbirler Nasıl Tespit Edilir?

İdari ve Teknik Tedbirler kişisel verilerin korunmasının anahtarıdır. Bu nedenle gerek idari gerek ise teknik tedbirleri doğru almalı, uzman ile çalışmalısınız. 


AÇIKLAMALAR


Kişisel veri güvenliğinin sağlanması veri sorumlusu ve veri işleyenin en önemli yükümlülüklerinden biridir. Bu nedenle organizasyon veri haritasının oluşturulmasını müteakip "VERİ KORUMA İLE GÖREVLİ EKİP TARAFINDAN" atılacak ilk adım veri sorumlusu bünyesinde iş süreçleri dikkate alınarak kişisel verileri işleme konusundaki boşlukların-risklerin tespit edilmiş olması da dikkate alınarak (GAP ANALİZİ) alınacak 'idari ve teknik tedbirler' hakkında genel bir çalışma yapmaktır.

Kurum tarafından yayınlanan "Kişisel Veri Güvenliği" adlı rehberde bu konu iki başlık altında incelenmiş ve aşağıda yer alan başlıklardaki tedbirler önerilmiştir. Veri Sorumlusunun oluşturduğu KVK Komitesi veya Veri Koruma Ekibi bu rehberdeki tedbirleri dikkatle incelemeli, daha evvelki adımlarda yapılmış olan iş süreçleri analizleri ve organizasyon veri haritası çalışmalarını dikkate alarak organizasyonda alınması gereken tedbirler ile ilgili bir iş planı oluşturmalıdır.

Alınabilecek tedbirler başlıklar halinde şunlardır; 

II. İDARİ TEDBİRLER; 

1. İş Süreçlerinin detaylı ve gerçekçi analizlerinin tamamlanarak mevcut risk ve tehditlerin nihai olarak belirlenmesi (GAP ANALİZİ),  

2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları, 

3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi,  

4. Kişisel Verilerin Mümkün Olduğunca Azaltılması,  

5. Veri İşleyenler ile İlişkilerin Yönetimi.


ÖZETLE ÖNERİLEN UYGULAMA BAŞLIKLARI; 

İş Süreçlerinin detaylı ve gerçekçi analizlerinin tamamlanarak mevcut risk ve tehditlerin tasarlanan model dahil nihai olarak belirlenmesi (GAP ANALİZİ),  Kişisel Veri İşleme Envanteri Hazırlanması, Kurumsal Politikalar (Özel Nitelikli Veriler, Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) Oluşturulması, Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında ), Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve/veya Rastgele Denetimler, Mevcut ve Tasarlanan Politikalarda Risk Analizleri, İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi), Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun), Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim yapılması.


II. TEKNİK TEDBİRLER 


1. Siber Güvenliğin Sağlanması,

2. Kişisel Veri Güvenliğinin Takibi,  

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması, 

4.Kişisel Verilerin Bulutta Depolanması, 

5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı, 

6.Kişisel Verilerin Yedeklenmesi. 


ÖZETLE ÖNERİLEN UYGULAMA BAŞLIKLARI;

Yetki Matrisi Tanzimi, Yetki Kontrol Erişim Logları oluşturulması, Kullanıcı Hesap Yönetimi, Ağ Güvenliğinin Sağlanması, Uygulama Güvenliği Sağlanması, Şifreleme Uygulaması, Sızma Testi Uygulaması, Saldırı Tespit ve Önleme Sistemleri  Uygulamaları, Log Kayıtları Tutulması, Veri Maskelemeler, Veri Kaybı Önleme Yazılımları Edinilmesi, Yedekleme, Güvenlik Duvarları Uygulamaları, Güncel Anti-Virüs Sistemleri Kullanılması, Silme, Yok Etme veya Anonim Hale Getirme İşlemlerinde Kontrol, Anahtar Yönetimi.

Organizasyonun KVK Komitesi veya Veri Koruma Ekibi bu tedbirlerden hangi zaman dilimlerinde hangi tedbirlere yönelik bir faaliyet gerçekleştirileceğini yansıtan iş, eylem planını  yürürlüğe koyar.

Zira, iş süreçlerinin analizi ve nihai iş  planlarının modellenmesi ile kişisel veri işleme ve koruma, organizasyon içinde en üst düzeyde UYUM'a kavuşmaktadır. Gereken UYUM, hem geçmişteki verilerin işlenmeye devam etme ve korunmasının modellenmesi, hem mevcut ve yürüyen iş süreçlerinin UYUMLU şekilde tasarlanması ve modellenmesi, hem de zaman içinde değişen hukuki ve teknolojik kurallar ile iş süreçleri dikkate alınarak her daim güncel  ve UYUMLU bir modelin elde edilmesi ve sürdürülmesiyle sağlanmış olacaktır. 





Devamını Gör
İLGİLİ MEVZUAT


Mevzuat 

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu

Veri güvenliğine ilişkin yükümlülükler 

MADDE 12- (1) Veri sorumlusu; 

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. 

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. 

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. 


2- Kişisel Verileri Koruma Kurumu Yayınları

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)