KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

  • Ana Sayfa
  • KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
  1. GİRİŞ

 

1.1. Amaç ve Dayanak

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12. maddesinin birinci fıkrasında;

“Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

hükmü yer almaktadır. Aşağıda Performans Hukuk Bürosu’nun, kişisel verilerin işlenmesi sürecinde alması gereken teknik ve idari tedbirler konusunda uyguladığı politika yer almaktadır.

 

1.2. Tanımlar

İşbu politikada yer alan,

 

Güvenli giriş katmanı (SSL): Sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

Veri kaybı/sızıntısı önleme (DLP): Kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımını,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ifade eder.

Bu politikada yer almayan tanımlar için Kanundaki tanımlara başvurulabilir.

 

  1. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER

 

2.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için Performans Hukuk Bürosu veri sorumlusu sıfatıyla işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpları doğru bir şekilde analiz ederek buna uygun tedbirleri almaktadır. Bu riskler belirlenirken;

  • Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
  • Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve

niceliği,

dikkate alınmaktadır.

 

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte, gerekli teknik ve idari tedbirler planlanarak ivedilikle uygulamaya konulmaktadır.

 

2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanısıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. Bu nedenle Performans Hukuk Bürosu, çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında düzenli eğitim almaları, çalışanlarına yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması hususlarına önem vermektedir.

 

Performans Hukuk Bürosu, çalışan herkesin hangi pozisyonda çalıştığına bakmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarını görev tanımlarında belirler ve çalışanlarının bu konudaki rol ve sorumluluğunun farkında olmasını sağlar.

 

Ayrıca Performans Hukuk Bürosu bünyesinde, kişisel veri içeren ortamlara erişim hakkı verilirken, “İzin Verilmedikçe Yasaktır” prensibine uygun hareket edilmektedir. Çalışanların işe alınma süreçlerinin parçası olarak gizlilik anlaşmalarını imzalamaları istenebilmekte ve çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci de yer almaktadır.

 

Kişisel veri güvenliğine ilişkin politika ve prosedürlerde sonradan meydana gelen önemli değişiklikler ve güncellemeler olması halinde, düzenli olarak uygulanan toplantılara ek olarak yapılacak yeni toplantılarla bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmaktadır.

 

2.3. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.  Performans Hukuk Bürosu, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ve/veya kanunen saklama mecburiyeti bulunan hallerin herhangi bir nedenle ortadan kalkması halinde artık güncelliğini yitiren ve herhangi bir amaca hizmet etmeyen veriler haline geldiğinde bu verilerin kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi politikasını izlemektedir.

 

2.4. Veri İşleyenler ile İlişkilerin Yönetimi

KVKK’nın 12. maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu olduğundan Performans Hukuk Bürosu, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet alması gerektiğinde, söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaktadır.

 

  1. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER

 

3.1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için siber güvenlik ürünleri kullanımı önem arz etmektedir. Bu kapsamda birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanması gerekmektedir. Performans Hukuk Bürosu, kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında güvenlik duvarı ve ağ geçidi kullanmaktadır. Ayrıca, kişisel veri içeren sistemlere erişimi de sınırlı tutmakta ve bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişimleri sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlar tercih edilmekte düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmaktadır. Kötü amaçlı yazılımlardan korunmak antivirüs, antispam gibi ürünlerin kullanılmakta internet sitesi bağlantılarının SSL ile gerçekleştirilmektedir.

 

3.2. Kişisel Veri Güvenliğinin Takibi

Performans Hukuk Bürosu bünyesindeki kişisel verilerin hem içeriden hem de dışarıdan gelebilecek saldırıları farkedebilmek ve anında müdahale edebilmek için anlık olarak hangi yazılım ve servislerin çalıştığının kontrol etmekte ve tüm kullanıcıların işlem hareketleri kaydını düzenli olarak tutmaktadır.

 

3.3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Performans Hukuk Bürosu bünyesinde cihazlarda ya da kağıt ortamında farketmeksizin saklanan kişisel veriler, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınması suretiyle korunmakta, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır. Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişiminin sağlanması noktasında da gerekli kontroller ve yetkilendirme tedbirleri alınmaktadır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD, USB gibi cihazların kullanılmadığı zaman kilit altında tutulması sağlanmaktadır.

 

3.4. Kişisel Veriler ve “Bulut” Depolaması

Performans Hukuk Bürosu, kişisel verilerin bulutta depolanmasının, kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğunun bilincinde olduğundan ve bu durum da pek çok riski beraberinde getirdiğinden, kişisel verilerin saklanması noktasında bulut depolama hizmeti kullanmamakta, tüm verilerini kendi bünyesindeki serverlarda muhafaza etmektedir.

 

3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Performans Hukuk Bürosu, gelişen teknolojik yenilikleri takip ederken, yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesiyle ilgili ihtiyaçların belirlenmesinde kişisel verilerin işlenmesi ve saklanması konusunda güvenlik gereksinimlerini göz önünde tutmaktadır. Ayrıca arızalanan veya bakım süresi gelen ve bunedenle üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi tedbirler alınmaktadır.

 

3.6. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi sağlanmaktadır.  Öte yandan, Performans Hukuk Bürosu tarafından yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir durumdadır. Veri seti yedekleri mutlaka ağ dışında tutulur ve tüm yedeklerin fiziksel güvenliği sağlanmaktadır.

 

Performans Hukuk Bürosu

Av. Erdinç Kutu

Press ESC key to close search
PerformansHukuk
PerformansHukuk

İletişim bilgilerimiz

  • +90 212 347 26 10 (09:00-18:00 saatleri arasında
  • erdinc.kutu@performanshukuk.com
  • Trump Towers Residence 1. Kule Mecidiyeköy Yolu Caddesi No:12 Kat :12 D:1204 Mecidiyeköy ŞİŞLİ İSTANBUL
×
Çerez Politikası
En iyi deneyimleri sunmak için, cihaz bilgilerini saklamak ve/veya bunlara erişmek amacıyla çerezler gibi teknolojiler kullanıyoruz. Bu teknolojilere izin vermek, bu sitedeki tarama davranışı veya benzersiz kimlikler gibi verileri işlememize izin verecektir. Onay vermemek veya onayı geri çekmek, belirli özellikleri ve işlevleri olumsuz etkileyebilir. Detaylı bilgi için aşağıdaki linki tıklayabilirsiniz. https://www.performanshukuk.com/cerez_politikasi/
Ayarlar Reddet Tümünü Kabul Et
Çerez Politikası
Choose what kind of cookies to accept. Your choice will be saved for one year. https://www.performanshukuk.com/cerez_politikasi/
Kaydet Reddet Tümünü Kabul Et