6698 Sayl KVKK kapsamnda dari ve Teknik Tedbirler
6698 Sayılı KVKK kapsamında İdari ve Teknik Tedbirler, Politika ve Prosedürler Hazırlayan Av. Hasan Kürşat AYDIN TBB Eğitim Birimi Üyesi
YASAL DAYANAKLAR Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişimin önlemesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için kanunun 12 nci maddesiyle kanunun 6 ıncı maddesi dördüncü fıkrası gereği özel nitelikli veriler için kurul tarafından belirlenerek ilan edilen yeterli önlemeler çerçevesinde kurum tarafından teknik ve idari tedbirler alınır.
YASAL DAYANAKLAR Madde 12 "Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. « (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. " hükmü yer almaktadır.
YASAL DAYANAKLAR Özel Nitelikli Kişisel Verilerin İşlenme Şartları MADDE 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
YASAL DAYANAKLAR Özel Nitelikli Kişisel Verilerin İşlenme Şartları MADDE 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında özetle: • • Sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmeli Çalışanlar bakımından : Düzenli olarak eğitimler verilmeli, Gizlilik sözleşmelerinin yapılmalı, Kişisel Veri erişimine yetkisi ve süresi net olarak belirlenmeli, Yetkileri periyodik olarak kontrol edilmeli, görev değişikliğinde/işten ayrılmada yetkilerin derhal kaldırılmalı, Envanter iade alınmalı
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında özetle: Muhafaza/Erişim /İşleme ortamı Elektronik ortam ise: Verilerin kriptografik yöntemlerle muhafaza edilmeli, • Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerek, • Güvenli loglama yapılmalı, • Güvenlik güncellemeleri sürekli takip edilmeli, • Güvenlik testlerinin düzenli olarak yapılmalı, • Test sonuçları kaydedilmeli, • Veri yazılımına ait kullanıcı yetkilendirmelerinin yapılmalı, • Bu yazılımların güvenlik testlerinin düzenli olarak yapılmalı/yaptırılmalı ve test sonuçlarının kayıt altına alınmalı, • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmalı Fiziksel ortam ise: • Ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmalı, Fiziksel güvenlik sağlanmalı yetkisiz giriş çıkışlar engellenmeli.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında özetle: Aktarılacaksa: • e-postalar şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı, • Taşınabilir Bellek, CD, DVD ortamları kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarın farklı ortamda tutulmalı, • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya s. FTP yöntemiyle veri aktarımının gerçekleştirilmeli, • Verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belgeler” formatında gönderilmeli
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında özetle: Ayrıca Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler RİSK ANALİZİ: Kişisel verilerin korunması, uyum projesindeki en önemli çıktı, işletmenin risklerinin daha somut kriterlerle belirlenmesi ve bu risklerin nasıl minimize hale getirileceğinin çözümlerinin araştırılmasıdır. Peki, basit bir risk değerlendirme işlemi nasıl yapılmalıdır? Neler sorulmalıdır.
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler 1. 2019 yılının en az 7 ayında çalışan sayısı 50 ve 50 fazla oldu mu? O Evet. O Hayır 2. 2019 yılı mali bilançonuz 25. 000 TL’den fazla mı? O Evet O Hayır 3. Hangi Sektörde Faaliyet Gösteriyorsunuz? 4. Son kullanıcıya satış yapıyor musunuz? O Evet O Hayır 5. Faaliyet gösterdiğiniz lokasyonları (merkez, şube, fabrika, atölye vs. . ) yazarmısınız? 6. Faaliyetleriniz arasında e-ticaret var mı? O Evet O Hayır 7. Şirketinizde faaliyet gösteren departmanları yazarmısınız? 1. 2.
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler 8. Yurtdışına veri aktarımınız var mı? O Evet O Hayır 9. İşletmenizin her hangi birim veya departmanının İSO 27001 belgesi var mı? O Evet O Hayır 10. Sunucu (Server) sayınız kaçtır? 11. Kişisel verilerin korunması farkındalık eğitimleri yapıldı mı? O Evet O Hayır 12. Veri sorumlusu veya veri işleyen olarak KVKK kapsamında aydınlatma yükümlülüğünüzü yerine getirdiniz mi? O Evet O Hayır 13. KVKK kapsamında; eğer istisna kapsamındaki durumlardan birine girmeyen bir hal var ise, veri işlerken ilgili kişi’ den açık rıza aldınız mı? O Evet O Hayır 14. Kişisel Veri İşleme Envanteri’ ni oluşturdunuz mu? O Evet O Hayır
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler 15. Personel özlük dosyalarında çalışanlarınızın ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kayıtlarını (adli sicil kaydı) veya söz konusu kimselerin özel nitelikli veri kapsamında sağlık kayıtlarını muhafaza ediyor musunuz? O Evet O Hayır 16. İşyerinizde görüntülü ve/veya sesli kaydı ya da işyerinize giriş ve/veya çıkışlarında yüz taraması, parmak izi okutma gibi uygulamalar mevcut mudur? O Evet O Hayır 17. Şirket personel sözleşmelerinize KVKK ile ilgili hükümleri eklediniz mi? O Evet O Hayır 18. İlgili kişilerin size başvurmalarını sağlayan Başvuru Formunuzu oluşturdunuz mu? O Evet O Hayır 19. İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu? O Evet O Hayır 20. İş sözleşmesi, disiplin yönetmeliğine kvkk hükümleri ilave edildi mi? O Evet O Hayır
Mevcut risk ve tehditlerin belirlenmesi ve kurum içi periyodik ve/veya rastgele denetimler Kurum içi periyodik ve/veya rastgele denetimler yapılması, çalışanların hem iş disiplin süreçlerinin güncellenmesi, veri güvenliği konusunda zayıf ve güçlü yanların tespit edilmesini sağlamalıdır. Örneğin: Önceden belirlenen ve duyurulan bir tarih aralığında kimliği bilinmeyen bir kişi tarafından veri ihlali bildirimi yapılması ve veri sorumlusu çalışanlarının bu ihlal bildirimi durumunda izlediği prosedür raporlanarak kişisel veri güvenliği dosyasında saklanabilir.
Çalışanların Eğitilmesi Ve Farkındalık Çalışmaları Siber Saldırı Farkındalığı: Veri sorumlularının ve temsilcilerinin “siber saldırı”lardan korunma, gerçekleşmeleri halinde saldırıları tespit etme ve hızlı aksiyon alma konusunda farkındalıklarının ve eğitim seviyelerinin yükseltilmesi gerekmektedir. Kişisel Verilerin Açıklanması Kuralları Farkındalığı: Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması konusunda eğitim almaları önemlidir. Aksi takdirde idari ve teknik tedbirler amaca ulaşmayacaktır. Çalışan Disiplin Yönetmeliğine kişisel veri güvenliği ihlaline ilişkin yaptırımların eklenmesi farkındalığı arttırmada önemli olacaktır. Çalışan Görev ve Sorumluluklarının Güncellenmesi: Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır. İş Sözleşmelerine kişisel verilerin korunmasına ilişkin yükümlülükler eklenmesi henüz sözleşme imzalama sürecinde çalışan farkındalığının artmasını sağlayacaktır.
Çalışanların Eğitilmesi Ve Farkındalık Çalışmaları Çalışan farkındalığını yükseltmek ve eğitmek için mevzuat tarafından belirlenen tek bir yöntem ya da sertifikasyon yoktur. • Veri sorumlusu her çalışanına kişisel verilerin korunması konusunda temel eğitim vermelidir. • Kişisel veri paylaşımı konusunda daha özellikli bilgi sahibi olması gereken çalışanlara görev ve pozisyonlarına yönelik, ikinci kademe eğitimler verilmelidir. • Eğitimlerde mutlaka çalışanların soruları yanıtlanmalı ve geri dönüşleri not edilmelidir.
Kişisel Veri Güvenliği Politikalar Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır. Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltacaktır. Bu nedenle veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olması gerekmektedir. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.
Kişisel Veri Güvenliği Politikalar Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır. Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltacaktır. Bu nedenle veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olması gerekmektedir. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.
Kişisel Veri Güvenliği Politikalar • • Kişisel Verileri Saklama ve İmha Politikası� Kişisel Veri İşleme Politikası ( + envanter çalışması - VERBİS)� Kişisel Verileri Silme, Yoketme veya Anonimleştirme Politikası� Aydınlatma Yükümlülüğü / Açık Rıza konulu Politika/Prosedürler� Kişisel Veriler Teknik Tedbirler, Veri İhlali ve Bilgi Güvenliği Uygulamaları ile ilgili Prosedürler � Kişisel Verileri Yönetim/Yürütme işleyişleri, rol ve görev tanımları ile ilgili Prosedürler� Kurumsal kültüre ve diğer standartlara/süreçlerle uyum belgelendirmeleri
Aydınlatma Yükümlülüğü Politika ve Prosedürleri Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür: • Veri sorumlusunun ve varsa temsilcisinin kimliği, • Kişisel verilerin hangi amaçla işleneceği, • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, • Kişisel veri toplamanın yöntemi ve hukuki sebebi, • İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları. Aydınlatma yapılırken; • Kişisel veri işleme amacı belirli, açık ve meşru olmalı, • İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı, • Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli, • Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı, • Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir
Aydınlatma Yükümlülüğü Politika ve Prosedürleri Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür: • Veri sorumlusunun ve varsa temsilcisinin kimliği, • Kişisel verilerin hangi amaçla işleneceği, • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, • Kişisel veri toplamanın yöntemi ve hukuki sebebi, • İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları. Aydınlatma yapılırken; • Kişisel veri işleme amacı belirli, açık ve meşru olmalı, • İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı, • Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli, • Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı, • Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir
…………. . SANAYİ VE TİCARET ANONİM ŞİRKETİ ZİYARETÇİ KİŞİSEL VERİLERİNİN İŞLENMESİ AYDINLATMA METNİ 1 - Veri Sorumlusu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“ 6698 sayılı Kanun”) uyarınca, …………. San ve Tic. A. Ş. (“Şirket”) olarak veri sorumlusu sıfatıyla, siz ziyaretçilerimizin kişisel verilerini aşağıda belirtilen amaçlar kapsamında işleyebilmekteyiz. Kişisel verilerinizin Şirketimiz tarafından işlenme amaçları konusunda detaylı bilgilere; www………. . . com. tr internet adresinde yer alan “………………. . Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Genel Beyannamesi” nden ulaşabilirsiniz. 2 - Kişisel Verilerinizin İşlenme AmacıToplanan kişisel verileriniz, 6698 sayılı Kanun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde; güvenlik amacıyla görüntü kayıt süreçlerinin, tesis içine girişlerde kimlik ve izin süreçlerinin yürütülmesi, İSG eğitimlerinin koordinasyonu ve iş kaza kayıtlarının tutulması, acil durum operasyonlarının koordinasyonu, sağlık süreçlerinin yürütülmesi, misafir internet kullanım kayıtları, iletişim formunun alınması gibi amaçlar ve ilgili mevzuatın öngördüğü yükümlülükler ve sorumluluklar kapsamında işlenmekte, işlenme amacıyla uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. 3 - Kişisel Verilerinizin AktarılmasıAçıklanan amaçlar kapsamında işlenen kişisel verileriniz; 6698 sayılı Kanunun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde www…………. com. tr internet adresinde yer alan “……………. . Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Genel Beyannamesi” nde belirtilen amaçlarla sınırlı olarak aktarılabilecektir. 4 - Kişisel Verilerinizin Toplama Yöntemi ve Hukuki Sebebi. Kişisel verileriniz, faaliyetlerimizi yürütmek amacıyla Şirket tarafından kamera kayıt sistemi, ziyaretçi beyanları, eğitim katılım tutanakları, formlar, görgü tanıkları, ünite sorumluları, dilekçe, olay yeri bilgileri, yetkili kurumlar, ziyaretçi internet giriş ve kayıt sistemi ve farklıkanallar vasıtasıyla ve yukarıda belirtilen hukuki sebeplere dayanarak; sunduğumuz hizmetleri geliştirmek ve ticari faaliyetlerimizi yürütmek amacıyla toplanmaktadır. Belirtilen yöntem ve hukuki sebeplerle toplanan kişisel verileriniz 6698 sayılı Kanunun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları ve bu metnin 2. ve 3. maddesinde belirtilen veri işleme şartları ve amaçları kapsamında işlenebilecek ve aktarılabilecektir.
Veri Sahibinin Hakları 6698 sayılı Kanunun 11. maddesi uyarınca bu metnin 6. maddesinde öngörülen usule göre Şirketimize başvurarak kişisel verilerinizin; • İşlenip işlenmediğini öğrenme, • İşlenmişse bilgi talep etme, • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, • Yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme, • Eksik / yanlış işlenmişse düzeltilmesini isteme, • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme, • Aktarıldığı 3. kişilere yukarıda sayılan 5. ve 6. bentler uyarınca yapılan işlemlerin bildirilmesini isteme, • Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına sahipsiniz. 6 - Veri Sahibinin Haklarını Kullanması Kişisel veri sahipleri, 6698 sayılı Kanunun 11. maddesinde belirtilen haklarına ilişkin taleplerini www. mesdokum. com. tr internet adresinde yer alan başvuru forumunu eksiksiz doldurarak; • İadeli taahhütlü mektupla, • Noter kanalıyla, • 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalayıp Şirketimizin kayıtlı elektronik posta adresine göndererek iletebileceklerdir. İadeli taahhütlü mektup veya noter kanalı ile yapılan başvuruların ……………… Türkiye adresine iletilmesi gerekmektedir. Şirketimize iletilen usulüne uygun talepler en geç otuz gün içinde sonuçlandırılacaktır. Söz konusu taleplerin sonuçlandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Açık Rıza Politika ve Prosedürleri Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir. Buna göre sırasıyla Kanunun; • 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, • 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”, • 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz” • 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. ” düzenlemeleri yer almaktadır.
Açık Rıza Politika ve Prosedürleri Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır: • Belirli bir konuya ilişkin olması • Rızanın bilgilendirmeye dayanması • Özgür iradeyle açıklanması
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA AÇIK RIZA BEYANI ……… San ve Tic. A. Ş. (‘‘Şirket’’) tarafından, 6698 Sayılı Kişisel Verilerin Korunması Kanununun (“ 6698 sayılı Kanun”) uyarınca tarafıma sunulan “………………. Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Genel Beyannamesi” çerçevesinde, Kişisel verilerinin veri sorumlusu sıfatıyla Şirket veya gerekli güvenlik tedbirlerini aldırmak suretiyle yetkilendirdiği veri işleyenler tarafından; 6698 sayılı Kanunda ifade edilen genel ilkelere uygun şekilde işlenebileceğini; elde edilebileceğini, kaydedilebileceğini, işlenme amacıyla uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde depolanabileceğini, muhafaza edilebileceğini, değiştirilebileceğini, yeniden düzenlenebileceğini, mevzuata uygun biçimde açıklanabileceğini ve aktarılabileceğini, devralınabileceğini, sınıflandırılabileceğini, işlenebileceğini ya da verilerin kullanılmasının engellenebileceğini; yukarıda belirtilen hususlarla ilgili olarak Şirket tarafından bilgilendirildiğimi ve 6698 sayılı Kanun çerçevesinde açık rızam bulunduğunu kabul ve beyan ederim. İşbu kişisel verilerimin, belirtilen amaçlarla bağlı kalmak kaydıyla, Şirket tarafından; kanunen yetkili kamu kurum ve kuruluşlarına, faaliyetlerini yürütebilmek amacıyla, hukuki zorunluluklar ve yasal sınırlamalar çerçevesinde bağımsız denetim şirketlerine, Şirketin hizmet aldığı veya birlikte çalıştığı iş ortaklarına ve hizmet sağlayıcılarına aktarılabileceğini ve bu hususta açık rızam olduğunu kabul ve beyan ederim. Ayrıca, Şirket ile paylaşmış olduğum kişisel verilerin doğru ve güncel olduğunu; işbu bilgilerde değişiklik olması halinde değişiklikleri Şirkete bildireceğimi kabul ve beyan ederim. 6698 sayılı Kanunda tanımlanan özel nitelikli kişisel verilerim de dahil olmak üzere ilgili kişisel verilerimin işlenmesine, ilgili süreç kapsamında işlenme amacı ile sınırlı olmak üzere kullanılmasına ve paylaşılmasına, gereken süre zarfında saklanmasına açık rızam olduğunu ve bu hususta tarafıma gerekli aydınlatmanın yapıldığını; işbu metni, “…………. . Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Genel Beyannamesi” ni okuduğumu ve anladığımı; Kabul Ediyorum Adı Soyadı Tarih İmza
Kişisel Verileri Saklama ve İmha Politikası Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kişisel Verileri Saklama ve İmha Politikası Veri saklama ve imha politikam a uygun mu? Bu veriye ihtiyaç var mı? KİŞİSE L VERİ Doğru yerde mi muhafaza ediliyor?
Kişisel Verilerin Mümkün Olduğunca Azaltılması Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. İhtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir. Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.
Kişisel Verilerin Mümkün Olduğunca Azaltılması İşlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde imha edilmeleri gerekmektedir. ANONİM HALE GETİRME 33
Kişisel Verilerin Mümkün Olduğunca Azaltılması • Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. • Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. 34
Kişisel Verilerin Mümkün Olduğunca Azaltılması YOK ETME Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. ANONİM HALE GETİRME Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir
Veri İşleyenler ile İlişkilerin Yönetimi Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Kanunun 12 inci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.
Gizlilik Taahhütnameleri Veri işleyen, veri sorumlusundan aldığı yetki ile yine veri sorumlusu tarafından verilen talimatlar çerçevesinde kişisel veri işleme sözleşmesi yapan kişidir. Bu noktada, veri işleyen veri sorumlusunun tabi olduğu mevzuata uygun olarak onayını almak, KVKK md. 10’daki kapsam dahilinde kişisel verilerinin üçüncü taraflarla paylaşılacağı konusunda bilgilendirmek ve yine KVKK’da belirlenen durumlarda açık rızasını almakla yükümlüdür. Aksi halde, veri sorumlusunun hakkında açabileceği davalar ve aleyhine hükmedilen idari para cezalarından sorumlu olacaktır. Veri işleyen veri sorumlusunun kişisel verilerini işlemek için açık rıza aldıktan sonra bu verileri 6698 sayılı KVKK md. 4’te belirtildiği gibi gerekli olan süre kadar muhafaza edebilecektir. Veri İşleyen, Veri Sorumlusu tarafından kendisiyle paylaşılan kişisel verilerin muhafazası için gereken tüm teknik ve idari tedbiri alacağını ve bu verileri Sözleşme 'ye konu hizmetlerin sunulmasına yönelik amaçlar haricinde herhangi bir amaçla kullanmayacağını ve bu cihetle bu verileri üçüncü kişi ve/veya kişiler ile paylaşmayacağını kabul, beyan ve taahhüt eder.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri İşçinin veri ihlaline sebebiyet verecek davranış sergilemesi halinde; bu davranışının sonuçlarının disiplin yönetmeliğinde düzenlenip düzenlenmediği, Özellikle kişisel veri işleyen , kullanan yada aktaran işçinin, iş sözleşmesinde KVKK dan doğan sorumlulukları ile ilgili düzenleme ; görev tanımında kişisel veri işleme , kullanma yada aktarma ile ilgili yükümlülükler olup olmadığı Ayrıca , işçinin veri ihlali davranışının KVKK kapsamında şirkete ceza kesilmesine sebep olması halinde iş akdinin İş kanunun Madde 25/2 gereği haklı-geçerli sebeple feshi sonucunu doğurabileceğini değerlendirmeliyiz.
KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER
Siber Güvenliğin Sağlanması Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçidi olacaktır. Ağ ortamında iletişimi sağlayan trafiğin istenilen şekilde filtrelenmesini sağlayan cihazlara güvenlik duvarları adı verilir. Kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Güçlü şifre ve parola kullanımının yanı sıra kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısı sınırlandırılabilir. Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden anti virüs, anti spam gibi ürünlerin kullanılması
Kişisel Veri Güvenliğinin Takibi Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır. Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir. Kişisel veri güvenliğinin takibi için; • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi) • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması • Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturması gerekmektedir.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fifiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fifiziksel ortamların dış risklere (yangın, sel vb. ) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb. ) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir. Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınmalıdır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fifiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması Bunlarla birlikte şifreleme farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk şifrelemesiyle cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya şifrelenebilir. Bazı yazılımlar ise verilerde değişiklik yapılmasına izin vermemek için şifre koruması sunmakla birlikte bu yazılımlar kişisel verinin yetkisiz kişiler tarafından okunmasını durdurmaz. Bu nedenle hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
Kişisel Verilerin Bulutta Depolanması Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı şifreleme anahtarları kullanılması gerekmektedir.
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması gerekir. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.
TEKNİK TEDBİRLER 1. YETKİ MATRİSİ Yetki matrisinde, veri sorumlusu bünyesinde yer alan ilgililerden kimin hangi rolleri üstlendiği, bir işten kimin sorumlu olduğu belirlenmektedir. 2. YETKİ KONTROLÜ VE ERİŞİM LOGLARI Sunucu tarafından işlenen istekleri kayıt altına alan dosyalara erişim logları adı verilir. Bu dosyalar kullanıcıların bütün erişim bilgilerini kayıt altına alır. 3. KULLANICI HESAP YÖNETİMİ Veri sorumlusu bünyesinde kullanılan araçlar, veri sorumlusunun bağlantıları, sistem, veri, uygulamalar, veri sorumlusunun başlantıları, sorumluya ait bilgi teknolojileri araçları üzerindeki son kullanıcı girişlerini yazılım araçları ile gözetleme ve idare etme faaliyetlerine “Kullanıcı Hesap Yönetimi” adı verilir
TEKNİK TEDBİRLER 4. AĞ GÜVENLİĞİ Veri sorumlusu nezdindeki kurumsal ağların dış tehditlere karşı muhafazasının sağlanması, verilere erişimin veri sorumlusunun izni dahilinde gerçekleşmesi, veri sorumlusu bünyesindeki çalışanların iç ve dış erişiminin denetlenmesi olarak ifade edilebilir. 5. UYGULAMA GÜVENLİĞİ Veri sorumlusunun uygulamalarının ve verilerinin gizlilik, erişilebilirlik ve bütünlüğünün korunmasını hedefler. 6. ŞİFRELEME Şifreleme bir verinin sadece yetkili taraflarca erişilip yetkisiz kişilerce erişilmesine engel olan düzenlemedir.
TEKNİK TEDBİRLER 7. SIZMA TESTİ Veri sorumlusuna ait, işletim sistemi, IP adresleri ve uygulamaları, kullanıcılar üzerinde testler yaparak istismara neden olabilecek güvenlik açıklarının ortaya konulmasına sızma testi adı verilir. 8. SALDIRI TESPİT VE ÖNLEME SİSTEMLERİ Saldırı tespit sistemi “IDS Sistemi” olarak adlandırılır. Ağa karşı bir saldırı saptanırsa bunu kaydeden IDS sistemi bu durumu yöneticiye beyan eder. Kötü amaçlı hareketlere mani olan IPS sistemi ile de saldırılar bloklanarak IP adresine kaydedilir. 9. LOG KAYITLARI İşletim sisteminde meydana gelen olayları kayıt altına alan dosyalara log dosyaları adı verilir.
TEKNİK TEDBİRLER 10. VERİ MASKELEME İş süreçlerini yürütme yeteneklerini korurken kullanıcılara gerçek ve hassas veriler yerine kurgusal ancak gerçekçi veriler sağlayarak hassas verilerin kötüye kullanılmasını önlemeyi amaçlayan teknolojiyi ifade eder. 11. VERİ KAYBI ÖNLEME YAZILIMLARI Veri kaybı önleme (DLP), hassas verilerin kaybolmadığından, yanlış kullanılmadığından veya yetkisiz kullanıcılar tarafından erişilmediğinden emin olmak için kullanılan bir dizi araç ve süreçtir. 12. YEDEKLEME Bilgisayar sisteminde bulunan yazılım, donanım ve verileri; arıza, hasar ya da hatalı işlemlerden dolayı oluşabilecek sorunlardan en az zararla kurtarmak için yapılan işlemlere yedekleme adı verilir.
TEKNİK TEDBİRLER 13. GÜVENLİK DUVARLARI Ağ ortamında iletişimi sağlayan trafiğin istenilen şekilde filtrelenmesini sağlayan cihazlara güvenlik duvarları adı verilir. 14. GÜNCEL ANTİ-VİRÜS SİSTEMLERİ 15. SİLME, YOK ETME VEYA ANONİM HALE GETİRME 16. ANAHTAR YÖNETİMİ Şifreleme anahtarlarını yönetmek, yedeklemek, depolamak, korumak suretiyle İstenilen hedefleri yönetmek “anahtar yönetimi” olarak adlandırılır.
YASAKLANMADIKÇA HER ŞEY SERBESTTİR DEĞİL ; İZİN VERİLMEDİKÇE HER ŞEY YASAKTIR !
TEŞEKKÜR EDERİM Av. Hasan Kürşat AYDIN
- Slides: 53