Kişisel Verilerin Korunmasında Alınması Gereken Teknik Ve İdari Tedbirler Nelerdir? (20 + madde)

Kişisel verilerin korunması için alınması gereken teknik ve idari önlemler vardır. Bu önlemlerin kaynağı da Kişisel Verilerin Korunması Kanunu 12. maddesinde yer alan veri sorumlularının yeterli veri güvenliğini sağlamakla yükümlü olmalarıdır. Kişisel Verileri Koruma Kurumu yayınladığı Veri Güvenliği rehberi ile yeterli önlemlerin neler olduğuna dair bilgiler vermiştir. Bu yazımızda kişisel verilerin korunması için alınması gereken teknik ve idari önlemlere bakacağız.

Teknik Önlemler

Kişisel Veriler İçin Siber Güvenlik Önlemleri

1. Her çalışana işi gereği ihtiyacı olduğu kadar veriye erişim izni verilmeli.
2. Çalışanlar veri sistemlerine kendi kullanıcı adı ve şifreleri ile girmelidir.
3. Şifreler oluştururken kişisel bilgiler ve basit ifadelerden uzak durulmalıdır.
4. Veri sorumluları erişim kontrol ve yetki matrisi oluşturarak verilerin kimlerle ne kadar paylaşılacağını bir politikaya bağlamalıdır.
5. Ağ üzerinde yapılacak veri aktarımlarında kapalı ağ kullanılmalı
6. Erişim Log’ları düzenli olarak kontrol edilmelidir.
7. Gerekli durumlarda maskeleme önlemi alınmalıdır.
8. İşten  ayrılan çalışanların yetkileri kaldırılmalıdır.
9. Kişisel veri politika ve prosedürleri belirlenmelidir.
10. Saklanan veriler en aza indirilmelidir.
11. Düzenli sızma testleri yapılmalıdır.

Kişisel Verilerin Saklandığı Ortamları Güvenliği

1. Kişisel veriler fiziksel alanlarda saklanıyorsa fiziksel olumsuzluklara (sel, baskın, yangın) önlemler alınmalı.
2. Elektronik ortamlarda saklanıyorsa ağ bileşenlerinin sınıflandırılması, birbirinden ayrılması gibi önlemler alınmalıdır.
3. Veri sorumlusunun yerleşkesi dışında yer alan fiziksel verilerin elektronik ortamlara yedeklerinin alınması gerekir.
4. Çalışanların şahsi cihazlarının kişisel verilerilere erişiminin sınırlanması, iş yapılırken bu cihazların kullanılmasının engellenmesi gerekir.
5. Dijital kayıtları tutan bellek, CD, USB gibi cihazların başka kilitli bir odada muhafaza edilmesi gerekir.

Kişisel Verilerin Saklandığı Bulut Ortamlarının Güvenliği

Kişisel veriler bulut ortamında saklanacaksa aşağıdaki önlemler alınmalıdır:

1. Bulut ortamında kriptografik şifre ile yüklenmesi,
2. Hangi verilerin bulutta saklandığının net bir şekilde bilinmesi
3. Senkronizasyonun sürekli sağlanması
4. Bulut kullanımına son verildiğinde saklanan tüm kriptografik şifrelerin yok edilmesi
5. Bulut depolama hizmeti veren firmanın güvenilirliğinin sorgulanması
6. Kişisel verilerin yede
   klenmesi
7. Veri kaybı önleme yazılımları kullanılması

gerekir.

Kişisel Verileri Koruma Kurumunun ilgili rehberini inceleyerek temel bilgilere de ulaşabilirsiniz.

Genel İdari Önlemler

1. Kişisel veri işleme envanteri kurulmalı
2. Kurumsal politikalar belirlenmeli
3. Gizlilik taahhütnameleri yapılmalı
4. Kurum için periyodik ve rastgele denetimler yapılmalı
5. Risk analizleri yapılmalı ve buna uygun operasyonlar planlanmalı
6. İş sözleşmesine Kanun hükümleri ilave edilmeli
7. Kurum için eğitimler verilmeli
8. VERBİS bildirimi yapılmalı

Kişisel verilerin işlenmesi ile ilgili alınması gereken önlemlerden bahsettik. Kişisel verilerin hepsi aynı ölçüde korunmaz. Özel nitelikli kişisel veriler genel kişisel verilere kıyasla çok daha sıkı şartlarda korunması gerekmektedir. Özel nitelikli kişisel verilerin korunmasını merak ediyorsanız aşağıdaki yazımızı okuyabilirsiniz.

İlgili yazı: Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Önlemler (2023 Güncel)

Müvekkillerinize yardımcı olmak için kişisel veriler alanında bilgi birikiminizi geliştirmek için KVKK Arar’ı kullanabilir ve diğer makalelerini okuyabilirsiniz.

KVKK Arar Blog yazıları

KVKK Arar’ı ücretsiz dene