Skip to content

KVKK İdari ve Teknik Tedbir Analizi

Kuruluşunuzun Mevcut Yapısının 6698 Sayılı Kişisel Verilerin Korunması Kanunu' na ne kadar Uzak / Yakın Olduğunu Biliyormusunuz?

EVET: Oluşturduğunuz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin yapılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: Aydınlatma yükümlülüğünüzü yerine getirdiğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin hazırlanıp paylaşılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: En kısa sürede aydınlatma yükümlüğünüzü yerine getirmeniz gerekmektedir. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar, idari para cezası uygulanması söz konusu olacaktır.

EVET: İlgili kişiden açık rıza almanız gerekmektedir. Ancak aşağıdaki maddelerden biri söz konusu ise rıza almadan verileri aktarmanız mümkündür;
Kişisel Veri açısından; 4.1. madde yer alan istisnalar burada da geçerlidir.
Özel Nitelikli Kişisel Veri açısından; 4.2. maddede yer alan istisnalar burada da geçerlidir.

HAYIR: Verilerinizi kendi bünyenizde tuttuğunuzda dahi KVKK kapsamındaki tüm idari ve teknik tedbirlere uygun şekilde veri işlemek zorunda olduğunuzu unutmamalısınız.

EVET: Bu ihtimalde KVKK kapsamında rıza alma prosedürüne ihtiyaç duyulup duyulmamasından bağımsız olarak KVKK kapsamındaki tüm idari ve teknik tedbirlere uygun şekilde veri işlemek zorunda olduğunuzu unutmamalısınız.

HAYIR: KVKK 5. Madde kapsamında aşağıdaki hallerden biri söz konusu ise ilgili kişinin rızasına gerek olmaksızın veri işlemek mümkündür. Ancak rıza alınmasını gerektirmeyen bir hal olsa bile KVKK kapsamında tüm idari ve teknik tedbirlerin yerine getirilmesi zorunludur;
4.1. Kişisel Veri Açısından;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.2. Özel Nitelikli Kişisel Veri açısından;
Sağlık ve cinsel hayat dışındaki kişisel veriler (Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

EVET: Envanterinizi düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde envanter hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: Oluşturduğunuz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin yapılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.
 
HAYIR: KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

EVET: Kişisel veri ile muhatap olan tüm elemanlarınızın bu eğitimi aldığından emin olmalı ve eğitim tarihinden sonra istihdam olan personellerinize de bu eğitimi aldırmak zorunda olduğunuzu unutmamalısınız.

HAYIR: Şirket personellerinize Kanun kapsamında yapılaması gerekli işlemleri neler olduğunda ilişkin eğitimi aldırmanız gerekmektedir. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.idari para cezası uygulanması söz konusu olacaktır.

 

 

 

EVET: KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

HAYIR: Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.053 Türk lirasından 1.802.641 Türk lirasına kadar, idari para cezası verilmektedir.

EVET: Yetki Matrisi Şirketlerde paylaşılan her türlü dosya ve Database için kimin erişim yetkisi olduğu, kimin ne zaman ne şekilde hangi cihazdan erişim sağladığı yada erişimim yetkisinin olduğu yazılan tablolardır.

HAYIR: Yetki Matrisi oluşturulmadıysa, en kısa zamanda oluşturulması gereklidir, şirket bünyesinde var olan tüm dosyalara kimlerin erişim yetkisinin olduğu tablo şeklinde görülmeli KVVK kapsamında denetim olması halinde ilk sorulacak olan matris tablosu olacaktır.

EVET: Yetki Kontrol listeleri yetki matrisleri ile beraber oluşturulan, bir dosya üzerinde yetkilerinin kimin olduğunu gösteren tablolardır. Yetki matrisi listesinde bulunup Okuma, yazma, taşıma ya da değiştirme yetkilerinin kimde olduğunu gösteren yetki matrisi ile beraber oluşturulan tablolardır. Yetki Matrisinin olmadığı yerde yetki kontrol listesini oluşturmak olası değildir.

HAYIR: Yetki kontrol listesi elinizde yoksa, yetki matrisinin oluşturulmasında problemli bir süreç oluşmuştur. Yetki kontrol listesi oluşturmanız olası bir denetimde sorulacak olan bu database üzerinde ki yetkilileri görebilir miyiz? Sorusunun cevabı olacaktır.

EVET: Bu prosedürün amacı şirket bünyesinde veya yan kuruluşlarda çalışan ve network Alanı’na dahil olan kullanıcıların şifrelerinin azami ölçüde güvenlikli ve sağlam bir yapıda oluşturulmasını, korunmasını ve değiştirme sıklığının bir standartla belirlenmesidir.

HAYIR: Bu prosedür uygulamaya sokulmadığı taktirde, şirket bünyesinde ki kullanıcılar saldırganlar tarafından basitçe tahmin edilecek olan “12345” vb. şifreleri kullanabilme hakkı elde ederler, bu şirket bünyesinde kritik noktalarda çalışan personellerin basit, kırılabilir şifre oluşturulmasına yol açacaktır.

EVET: Bilgisayarın gerçekleştirdiği etkinliğin kayıtlarının tutulması anlamında kullanılır. Örneğin yerel bilgisayarınız karşılaştığı tüm hata olaylarını tanım ve tarih bilgisi ile bir dosyada saklar. Ya da web sitenizi barındırdığınız sunucu, olmayan bir sayfanın çağrılması, kodda bir hata olması vb. tüm gerekçelerle oluşan hataların tanım ve tarihlerini bir dosyada tutarken, başka dosyalarda da tüm başarılı işlemleri, ya da e-posta etkinliklerinin hatalarını tutar. Hangi bilgisayardan hangi işlemlerin yapıldığına dair liste tutmanızı sağlar olası bir denetimde erişim loğları talep edilmektedir.

HAYIR: Eğer şirketinizde Erişim Loğ kayıtları yoksa hemen aktif hale getirilmelidir. Şirket içerisinde yetkisiz bir erişimin ya da Kişisel bir verinin kim tarafından ne şekilde dışarı çıkıldığı bilgisi bu loğlar sayesinde bulunmaktadır. Üzerlerinde zaman mühürleri bulunduğundan dolayı hangi zamanda ihlalin gerçekleştiği bilgisi bu loğlar sayesinde öğrenilir.

EVET: IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur.
IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altına alan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi olası olmayan saldırıları tespit etmenizi sağlarlar.

HAYIR: IDS ve IPS sistemleriniz bulunmuyorsa, sistem üzerinde network üzerinde gezen yada ortamda ki herhangi bir bilgisayarda ki virüs, trojen vb. yazılımları keşfetmeniz olası değildir. Bu sistemler olmadığı durumda her makinenin manuel olarak işleme tabi tutulması gerekmektedir. Uzun mesailer sonrasında bile zararlı yazılımları ulaşamaya bilirsiniz.

Carnatech KVKK Uyum Danışmanlığı ile Tam Koruma Altındasınız!

Sahip olduğumuz uzmanlıkları birleştirerek, bütünleşik danışmanlık hizmetlerimiz ile Kişisel Verileri Koruma Kanunu yükümlülüklerinizi tam ve doğru şekilde yerine getirmenize yardımcı oluyoruz.

Carnatech Veri Danışmanlığı