EN

Standartlarla Kişisel Veri Güvenliği


Kişisel veri güvenliği, kişisel verilerin yetkisiz erişim, bütünlük ve erişilebilirliğini korumak olarak tanımlanabilir. Özel ve genel nitelikli kişisel verilerin korunması kanunlarla sabittir.  Çoğu ülkede, kurum ve kuruluşların uyması gereken katı veri güvenliği düzenlemeleri vardır. Bunları ihlal etmenin sonuçları büyük para cezalarıyla sonuçlanabilir.

Özel nitelikli kişisel veri türü öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Genel nitelikli kişisel veri türü en genel tabirle özel nitelikli kişisel veri kategorisine dahil edilmeyen kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veriyi ifade eder.

Kişisel verilerin güvenliğinin, veri işlemenin doğasına ve ilgili risklere uygun hem teknik hem de organizasyonel kapsamlı ve sürekli izlenen bir kontrol çerçevesi izlemesi gerekir. Uzaktan çalışma ve bulut kullanımın artmasıyla verilen korunması daha önemli bir hal almıştır.

Kişisel verilerin korunması kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Veri koruma görevlilerinin yararlanabileceği rehber ve standartlar aşağıda verildiği gibidir:

- Kişisel Verilerin Korunması Kanunu
- General Data Protection Regulation (GDPR)
- CBDDO-Bilgi ve İletişim Güvenliği Rehberi Tedbir 4.1. Kişisel Verilerin Güvenliği
- Kişisel Veri Güvenliği Rehberi: Teknik ve idari tedbirleri içermektedir.
- ISO 27001 Ek-A 18.1.4 Kişi Tespit Bilgisinin Gizliliği ve Korunması
- NIST 800-53 AP-1 Toplama Yetkisi, AP-2 Amaç Belirtme
- PCI DSS: Kişisel olarak tanımlanabilen bilgilerin korunmasını da içerir
- Health Insurance Portability and Accountability Act (HIPAA): Sağlık bilgilerinin korunmasını amaçlamaktadır.

DDO tarafından yayınlanan Bilgi ve İletişim Güvenliği Rehberi’nin Kişisel Verilerin Güvenliği tedbir ana maddeleri aşağıda verildiği gibidir:

Kayıt Yönetimi

- Kişisel Veri İşleme Envanterinin Hazırlanması ve Yönetimi
- Kişisel Veri Saklama ve İmha Politikasının Hazırlanması
- Kişisel Verilerin Veri Tabanlarında Birincil Anahtar Olarak Kullanılmaması
- Veri Tabanının Dışarıya Aktarımının Yetkili Kullanıcı Tarafından Yapılması
- Kişisel Verilerin Güvensiz Ortamlarda Saklanmaması
- Kişisel Veri Üzerinde Girdi/Çıktı Denetimi Yapılması
- Kişisel Verinin Gizli Alanlarda Saklanmaması
- Hata Mesajlarında Mahremiyetin Korunması
- Özel Nitelikli Kişisel Verinin Saklanması
- Geçici Olarak Tutulan Kişisel Verinin Yok Edilmesi
- Veri Tabanı Tasarımı

Erişim Kayıtları Yönetimi

- Erişimlerin Kayıt Altına Alınması
- Erişim Kayıtlarının Arşivlenmesi
- Erişim Kayıtlarının Güvenliğinin Sağlanması
- Erişim Kayıtlarının Aktarımı
- Yetkisiz Erişimlerin Tespiti
- Erişim Kayıtlarında Özel Nitelikli Kişisel Veri Bulundurulmaması

Yetkilendirme

- Yetkilendirme Mekanizmasının Kullanılması
- Kimlik Doğrulama Mekanizmasının Kullanılması
- Erişimin Sınırlandırılması
- Erişim Denetim Politikalarının Oluşturulması
- Çok Faktörlü Kimlik Doğrulama Mekanizmasının Kullanılması
- Dış Sistemler / Uygulamalar Arası Veri Akışı için Erişimlerin Doğrulanması
- Alt Bileşenler Arasında Veri Akışı için Erişimlerin Doğrulanması

Şifreleme

- İletişimin Şifrelenmesi
- Verinin Maskelenmesi
- Verinin Bütünlüğünün Korunması
- Sistemin Alt Bileşenleri Arasındaki İletişimin Şifreli Yapılması

Yedekleme, Silme, Yok Etme ve Anonim Hale Getirme

- Sistem Yedeklerinin Yetkili Kullanıcılar Tarafından Alınması
- Kişisel Verilerin Silinmesi
- Kişisel Verilerin Yok Edilmesi
- Kişisel Verilerin Anonim Hale Getirilmesi
- Kişisel Veri Barındıran Yedeklerin Güvenliğinin Sağlanması
- Kişisel Veri Barındıran Yedeklerin Yok Edilmesi

Aydınlatma Yönetimi

- Aydınlatmanın Doğru Zamanda Yapılması
- Aydınlatmanın Yerine Getirildiğinin İspat Edilmesi
- Uygulama Üzerinden Aydınlatma Metninin Güncellenmesi

Açık Rıza Yönetimi

- Açık Rıza Unsurlarının Belirlenmesi
- Açık Rızanın Kayıt Altına Alınması
- Açık Rıza Durumunun Sorgulanması
- Uygulama Üzerinden Açık Rıza Alınması
- Açık Rıza Metninin Güncellenmesi
- Açık Rıza ile İlgili Taleplerin Yönetilmesi
- Islak İmzalı Açık Rıza Metninin Saklanması

Kişisel Veri Yönetim Sürecinin İşletilmesi

- İlgili Kişinin Başvuru Hakkının Yönetilmesi
- Kişisel Veriye Yapılan İşlemlerin Elde Edilmesi
- Güncelleme, Anonimleştirme, Silme ve Yok Etme İşlemlerinin Gerçekleştirilmesi
- Kişisel Verinin Aktarıldığı Üçüncü Tarafların Tespit Edilmesi
- Kişisel Verisi Etkilenen veya Etkilenmesi Muhtemel Kişilerin Bilgilendirilmesi