ÇÖZÜMLER

Kurumların en değerli varlığı günümüzde “bilgiye” dönüşmüş “veri” leridir. Platin Bilişim “Veri Koruma” ve “BT Güvenlik” çözümleri ile müşterilerinin değerli bilgi varlıklarını korumaktadır. Konusunda Dünya’nın en başarılı çözümleri Platin mühendisliği ile entegre olarak sunulmaktadır. Kaliteli hizmet anlayışı ve yüksek mühendislik deneyimi ile A'dan Z'ye kadar gerekli altyapının sürdürülebilir bir biçimde devamlılığı için gerekli teknoloji ve hizmetleri sağlanmaktadır.

Kişisel Verilerin Korunması Kanunu (KVK) Teknik Uyumluluk

Bilgi teknolojilerinin gelişmesi ve yaygınlaşması veri işlenmesini kolaylaştırarak önemli imkanlar sunuyor. Pek çok kurum ve kuruluş bu teknolojiler sayesinde veri işleyerek değer üretme imkanı kazanıyor. Böylece ürünlerini ve hizmetlerini geliştiriyor ve süreçlerini iyileştiriyor. Bu doğrultuda, bilgi toplumuna dönüş süreci içinde verilerin etkin bir şekilde kullanımı çok önemli bir rol oynuyor.

Aşağıdaki iki soruya “evet” cevabı veren şirketlerden ve/veya kişilerden iseniz  Kanun kapsamına giriyor olacaksınız.

  1. Şirketiniz, kişisel verileri tamamen veya kısmen otomatik olan yollarla işliyor mu? 
  2. Şirketiniz kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işliyor mu? 

Kişisel Veri Kavramı

Kişisel bilgi ve kişisel veri birbirinin yerine kullanılan ifadeler olmasına rağmen, “bilgi” ve “veri” kelimeleri kavramsal olarak farklı anlamlar içeriyor. Avrupa Birliği’nin Veri Koruma Yönergesi, kişisel veriyi “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri” olarak tanımlıyor. Kimliği belirlenebilir kişi ise “doğrudan veya dolaylı olarak özellikle bir kimlik numarasının veya kişinin fiziksel, fizyolojik, akli, ekonomik, kültürel veya sosyal kimliğine ait bir veya birden fazla spesifik faktörün referansına dayanılarak teşhis edilebilir olan kişi” olarak tanımlanıyor.

KVK’da kişisel veriler genel kişisel veriler ve özel kişisel veriler (diğer adıyla hassas veriler) olmak üzere ikiye ayrılmıştır. Genel kişisel veriler ad-soyad, tc kimlik no, doğum yeri, doğum tarihi gibi klasik anlamda kişisel verilerimizden oluşmakta iken hassas veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılmıştır. 

Hassas verilere ilişkin bir diğer düzenleme de Türk Ceza Kanunu’ndaki m.135/2’dir. Burada hassas veriler “kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine;   hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin” verileri olarak sayılmıştır ve bu verilerin hukuka aykırı olarak kaydedilmesi bakımından diğer kişisel verilere göre iki kat daha fazla ceza öngörülmüştür.

Kişisel verileri nasıl işliyor olabilirsiniz?

Şirketinizde iş başvurusundan müşteri memnuniyet programına kadar kayıt almak için kullandığınız her çeşit maktu formlar, müşteri kayıt sistemleriniz, internet uygulamalarınız, insan kaynakları sistemleriniz, e-posta sistemleri üzerindeki kayıtlarınız, analitik ve raporlama uygulamalarınız, satış ve operasyon sistemleriniz gibi pek çok farklı yöntemle veri işliyor olabilirsiniz.

Veri sorumluları için getirilen bazı esaslı yükümlülükler nelerdir?

  1. Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
  2. Aydınlatma
  3. Veri güvenliğinin sağlanması (BT’yi ilgilendiren en önemli bölüm)
    1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
    2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
    3. Kişisel verilerin muhafazasını sağlamak,
  4. Veri Sorumluları Sicili’ne kayıt

Peki şimdi ne yapacağız?

  1. Uyum sürecinin yönetimi için bir uyum ekibi kurulması
  2. Şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması,
  3. Şirket içi ve dışı veri kullanım politikalarının belirlenmesi,
  4. Şirkette veri sorumlusunun temsilcisi görev tanımı ile yetkilendirmelerinin yapılması
  5. Şirket organizasyon şemasının yeniden düzenlenmesi,
  6. Şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşme hazırlanması
  7. Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,
  8. Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi, 
  9. Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitilmesi.

Bilgi Güvenliği ve Kişisel Verilerin Korunması

Kişisel verilerin korunmasına yönelik kanunun yasalaşmasının ardından kurumlar için kişisel veri kavramı ve bilgi güvenliği kavramının gereksinimi daha da artmıştır. 

Bilgi Güvenliği

Bilgi güvenliği, bir bilginin yetkisiz kişilerce ele geçirilmesini, değiştirilmesini engelleme ve bilgiye yetkili kişilerin istenilen zamanda ve istenilen kalitede erişmesini sağlama anlamına gelmektedir.  

Bilgi güvenliği kapsamında Kişilen verilerin korunmasını sağmak imacı ile aşağıdaki adımlar izlenmedidir.

  • Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri geliştirmek ve uygulamak 
  • Bilgi varlıklarını, değerlerini, güvenlik ihtiyaçlarını, zafiyetleri, varlıklara yönelik tehditleri ve tehditlerin sıklıklarının saptanması için yöntemlerin belirleyeceği çerçeveyi tanımlamak 
  • Tehditlerin varlıklar üzerindeki gizlilik, bütünlük ve erişilebilirlik etkilerini değerlendirmeye yönelik çerçeveyi tanımlamak 
  • Risklerin işlenmesi için çalışma esaslarını ortaya koymak 
  • Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek 
  • Tabi olunan ulusal veya sektörel düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülükleri karşılamaktan, iç ve dış paydaşlara    yönelik kurumsal sorumluluklardan kaynaklanan bilgi güvenliği gereksinimlerini sağlamak 
  • İş / hizmet sürekliliğine bilgi güvenliği tehditlerinin etkisini azaltarak işin sürekliliğine ve sürdürülebilirliğine katkıda bulunmak 
  • Gerçekleşebilecek olası bilgi güvenliği olaylarına etkin ve hızlı müdahale edebilecek ve olayların etkilerini minimize edebilecek yetkinliğe sahip olmayı temin etmek 
  • Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek 
  • Kurum itibarını geliştirmek ve kurumu, bilgi güvenliği kırılmalarından kaynaklanabilecek olumsuz etkilerden koruma

Kişisel Verileri Edinme Yöntemleri ve Siber Suç Türleri

  • Kimlik hırsızlığı
  • Klasik (off-line) kimlik hırsızlığı
  • Çöp karıştırma (dumpster diving)
  • Bahane yaratma (pretexting)
  • Omuz üstünden seyir (shoulder surfing)
  • Tarama (Skimming)
  • İş kayıtları hırsızlığı
  • Çevrimiçi (on-line) kimlik hırsızlığı 
  • Kötü niyetli yazılım veya programlar (malware)
  • Virüsler
  • Truva atı
  • Bukalemun
  • Çerezler (Cookies)
  • Aldatıcı nitelikte e-posta veya İnternet siteleri
  • Oltalama (Phishing)
  • İstenmeyen elektronik posta (spam)
  • Sistem veya yazılımların açıkları (hacking) 
  • Kişisel verilerin suistimali
  • İletişimin gözetlenmesi ve denetlenmesi
  • Veri madenciliği (data mining)
  • Sahte kişilik oluşturma ve kişilik taklidi
  • Hesap ve aboneliklerin kötüye kullanılması
Kişisel Verilerin Korunması Kanunu (KVK) Teknik Uyumluluk ile ilgili daha ayrıntılı bilgi almak ister misiniz?