Günümüzde bilgi ve veriler şirket ve kurumların vazgeçilmez bir parçası haline gelmiş bulunmaktadır. Şirketlerin iş sürekliliği ve bilgi yönetimi sağlayabilmesi için gereken en önemli konu bu verileri devamlı olarak koruyabilmesi ve saklayabilmesidir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. Kişisel veriler kurum ya da şirketlerce anlık olarak işlenmektedir. Bu veriler değişik süreçlerde işlenmekte ve bu süreçler daima farklılık göstermektedir.

Kişisel verilerin korunması 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı kanun ile resmiyet kazanmıştır. Kişisel verileri koruma kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kişisel Verilerin Korunması Kanunu Danışmanlığı

  • Hukuki Danışmanlık
  • Süreç Danışmanlığı
  • Teknik Danışmanlık

KVKK Hukuk Danışmanlığı

Hukuk danışmanlığı kurumunuzun tüm süreçlerinin hukuki analize tabi tutulması kısmıdır. Aslında tüm departmanların günlük olarak işledikleri kişisel verilerin hukuk profesyonelleri tarafından gerçekleştirilen hukuki analiz ile tanımlanması işlemidir de denilebilir. Hukukdanışmanları veri sorumlusu ile birlikte gerekli politikaları oluşturmaktadır.

İdari Tedbirler

  • Kişisel Veri Envanteri Hazırlanması
  • Kurumsal Politikalar
  • Sözleşmeler
  • Gizlilik Taahhütnameleri
  • Kurum içi Peridyotik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği
  • Kurumsal İletişim
  • Eğitim ve Farkındalık Faaliyetleri
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBIS) Bildirim

Veri sorumlusu kişisel verileri işleme amaçlarını ve ne şekilde işleneceğini belirleyen veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir. Sorumlular şirketin üst düzey yönetiminde bulunan kişilerden seçilmelidir. Bu kişi kanunun uygulanması yönünde koordinasyonu sağlamak ve gerekli bilgileri hassas bir şekilde tutmakla görevlidir.

Bu süreçte veri işleme envanteri de oluşturulmaktadır. Kayıt olunması gereken sistemler, hukuki olarak uyarlanması gereken tüm süreçler bu safha da hazırlanmaktadır. Bu çalışmalarla birlikte uyum için temel şartlardan biri olan Veri İşleme Envanteri de hazırlanmış olur.

 

KVKK Süreç Danışmanlığı

Hukuk profesyonellerinin oluşturduğu politikalar doğrultusunda iç süreçlerin tasarlanması ve düzenlenmesi safhasıdır. Teknik olarak gerekli olan tüm süreçler de bu aşamada tespit edilmektedir.

Veri envanter raporu detaylı şekilde oluşturulmalı, oluşturulan rapor doğrultusunda veriler sınıflandırılmaya hazır hale getirilmelidir.

Kurum ya da kuruluşun yayıma alması gereken kişisel verilerin korunması ile ilgili saklama silme vb. politikaların içeriğinin hazırlanması, kurumun sahip olduğu hukuki anlaşmaların, formların vb. dokümanların gözden geçirilerek KVKK uyumlu hale getirilmesi, açık rıza metinlerinin ve aydınlatma metinlerinin oluşturulması gibi süreçler de son hale getirilmektedir.

Son olarak tıpkı ISO27001 ‘de olduğu gibi gerekli tüm dokümantasyon sağlanarak teknik aşmaya geçilecek hale getirilecektir.

KVKK Teknik Danışmanlık

Hukuk ve Süreç danışmanlığı safhalarında oluşturulan tüm ilke ve politikaların ilgili otomasyonlar ile kullanıcı hatalarından bağımsız hale getirilmesi aşamasıdır. Bu aşamanın en büyük özelliği tamamen teknik bilgi gerektiriyor ve tamamlayıcı rol oynuyor olmasıdır.

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ güvenliği
  • Uygulama Güveliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarı
  • Güncel Antivirüs Sistemleri
  • Silme, yok etme, anonim hale getirme.
  • Anahtar Yönetimi

 

Zira oluşturulan ilke ve politikalar, insan denetimine bırakıldığında gözden kaçmaya ve sızıntılar yaratmaya mahkumdur. Sebebi ise şirketlerdeki en dinamik yapının veri olmasıdır.

Maksimum düzeyde dinamik hareket eden verilerinizin tespiti ve sızmaların önlenmesi bu aşamanın ne kadar doğru implemente edileceğine bağlıdır. Teknik danışmanlığın kaçınılmaz hale geldiğini ise yine kanunun şu maddesinden öğreniyoruz.

“Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibarıyla kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine oy birliğiyle karar verilmiştir.”

 

KVKK Teknoloji Danışmanlık

KVKK talepleri kapsamında çıkacak olan teknolojik altyapının firmaya uygulanması kısmıdır. Mevcut maddeleri karşılayan teknolojik yazılım ve donanım ürünlerinin kurum veya şirkete uygulanması kısmıdır.

Teknolojik Gereksinimler

  • Identity Access Management
  • SIEM
  • Firewall
  • Data Encryption
  • Uygulama Güvenliği
  • Veri Maskeleme Çözümleri
  • Veri Sınıflandırma
  • DLP Çözümleri
  • Network Access Control ( NAC)

 

 

Kişisel Verileri Koruma Kanununun Kazandırdığı Avantajlar

  • Farkındalık: İnsan kaynaklarının daha doğru, düzenli ve efektif kullanımı.
  • Bilinç: İş ilişkilerinde yaşanabilecek olumsuz senaryoların azalması. Bu konuya bir örnek de vermek gerekirse şirket içerisindeki verilerin dışarı sızdırılmaya çalışılmasının engellenmesi.
  • Veri Bulma: Kurumların en değerli varlığı olan veriye erişimin hızlanması.
  • Veri Sınıflandırma: Verilerin değerinin tespiti ve hassas verilerin sınıflandırılarak güvenliğinin artırılması.
  • İş sürekliliği: İş sürekliliği ve devamlılığının sağlanabilmesi için gerekli olan temel taşın yani verinin alternatifli olarak saklanması.