KİŞİSEL VERİLERİN KORUNMASI İÇİN İDARİ TEDBİRLER
KİŞİSEL VERİLERİN KORUNMASI İÇİN İDARİ TEDBİRLER
Kişisel Verilerin Korunması İçin İdari Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden idari tedbirlerin neler olduğu özetlenmiştir.
Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.” ifadesi yer almaktadır.
Kişisel Verilerin Korunması İçin İdari Tedbirler aşağıdaki şekilde açıklanmıştır.
1.Mevcut Risk ve Tehditlerin Belirlenmesi:
Firmalar öncelikle işlenen tüm kişisel verilerin neler olduğunu belirlemeli ve bu kişisel verileri kullanırken ortaya çıkabilecek risklerin ve tehditleri belirlemesi gerekmektedir. Belirlenen risklerin azaltılması ya da ortadan kaldırılması için çözümler oluşturmalı, gerekli idari tedbirler planlanarak uygulamaya koymalıdır.
2.Çalışanların Eğitilmesi ve Farkındalık Çalışmaları:
Konu ile ilgili çalışanların eğitilerek farkındalıklarını arttırma çalışmaları yapılmalıdır. Özellikle bir siber saldırı anında çalışanların ilk müdahaleyi yapmaları çok önemlidir.
Kişisel verilerinin korunması ile ilgili dokümanlarda (prosedür, politika gibi) önemli değişiklikler oluşması durumunda yeni eğitimler verilmeli, personellerin bilgilerinin her zaman güncel tutulması sağlanmalıdır.
3.Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi:
Kişisel verilerin korunması hakkında bir politika hazırlanması gerekmektedir. Kişisel verilerin korunması için yapılacak uygulamalar prosedürlerde tanımlanmalıdır. Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir.
Politika ve prosedürlere göre kontroller yapılmalı, kontroller sonucunda geliştirilmesi gereken hususlar belirlenmelidir. Kontroller düzenli olarak yapılmalıdır. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.
4.Kişisel Verilerin Mümkün Olduğunca Azaltılması
Uzun süredir faaliyet gösteren firmalar, çok fazla kişisel veri toplamakta ve söz konusu kişisel verilerin bir kısmı zamanla güncelliğini yitirmiş veriler haline gelebilmektedir. Bunun önüne geçebilmek için, veri sorumlularınca işlenmek için alınan kişisel verilerin doğru olup olmadığı ve hala ihtiyaç olup olmadığının değerlendirilmesi gerekmekte ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir.
5.Veri İşleyenler ile İlişkilerin Yönetimi
Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Kişisel Verilerin Korunması Kanunu 12. maddesinin ikinci fıkrasında veri işleyenlerin de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu olduğu ifade edilmiştir. Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması önerilmektedir.
Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin İdari Tedbirler yer almaktadır.
İdari Tedbirler |
Kişisel Veri İşleme Envanteri Hazırlanması |
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) |
Gizlilik Taahhütnameleri |
Kurum İçi Periyodik ve/veya Rastgele Denetimler |
Risk Analizleri |
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Tüm bu süreci en doğru şekilde ve başarıyla yöneten uzman kadromuzdan yardım almak için hemen bizimle iletişime geçin!