- POLİTİKANIN AMACI, KAPSAMI ve VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
1.1 Amaç
1.2 Kapsam
1.3 Veri Sorumlusuna İlişkin Bilgiler
- TANIMLAR ve KISALTMALAR
2.1. Teknik ve İdari Tedbirler Tanımlar
2.2. Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar
- KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
- KİŞİSEL VERİSİ İŞLENEN GRUPLAR
- KİŞİSEL VERİ SAKLAMAYI GEREKTİREN HUKUKSAL SEBEPLER
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
- KİŞİSEL VERİ KAYIT ORTAMLARI
- KİŞİSEL VERİLERİN AKTARILMASI
- İŞLENEN KİŞİSEL VERİLER
- KİŞİSEL VERİ İMHASINI GEREKTİREN SEBEPLER
- PERİYODİK İMHA SÜRESİ
- VERİ ANALİZİ, VERİ ENVANTERİ, VERİ/MAHREMİYET ETKİ DEĞERLENDİRME VE RİSK ANALİZİ
13.1 Veri Envanteri / Veri Haritalama:
13.2 Veri Etki ve Mahremiyet Etki Değerlendirme:
13.3 Risk Analizi:
13.4 Risk Etki Değeri
- VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ
14.1. Veri Sahibi Tarafından Hakların Kullanılması
- VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ
15.1. Veri Sahibinin Aydınlatılması ve Açık Rıza;
- VERİ İŞLEYENİN HAK VE YÜKÜMLÜLÜKLERİ
- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAMA SÜRESİ SONU İŞLEMLER
- KİŞİSEL VERİLERİN KORUNMASI- İDARİ VE TEKNİK TEDBİRLER
18.1. Riskler:
18.2. İdari Tedbirler
18.3. Kurumsal Politikalar:
18.4. Departman Arşivleri, Departman İçi Çalışma Ortamları ve Departman Dolaplarının Güvenliği:
18.5. Özel Nitelikli Veri Transferleri ve Saklama:
18.6. Basılı Veri Sınıflandırmaya Yönelik Tedbirler:
18.7. Kamera Verilerinin İşlenmesine Yönelik İdari Tedbirler:
18.8. Yazıcı ve Tarayıcılara Yönelik Tedbirler:
Teknik Altyapı İle İlgili Tedbirler:
18.9. İnternet ve Özel Devre Sağlayıcıya Yönelik İdari Tedbirler:
18.10. Log/Siem Sistemine Yönelik Tedbirler:
18.11. Kimlik, Hesap, Parola-Şifre Yönetime ve Erişimlerin Kaydına Yönelik Tedbirler:
18.12. İnternet ve Özel Devrelere ve Hatlar İçin Gerekli Olan Cihazların Yönelik Teknik Tedbirler:
18.13. Firewall (Güvenlik Duvarı) Yönetimine Yönelik Tedbirler:
18.14. IDS/IPS (Saldırı Tespit ve Engelleme Sistemi)
18.15. Proxy/Web Gateway’ e Yönelik Tedbirler:
18.16. Antivirüs Yazılımına Yönelik Tedbirler:
18.17. Gelişmiş Antivirüs ve/veya DLP veya Alternatif Yazılımına Yönelik Ortak Tedbirler:
18.18. DLP Yönetimine Yönelik Tedbirler:
18.19. Veri Analiz/Keşif yönelik tedbirler:
18.20. Sınıflandırma ve Taglama Yönelik Tedbirler:
18.21. Mantıksal ve Fiziksel Erişim ve Yetkilendirmeye Yönelik Tedbirler:
18.22. Ağ Yönetimine Yönelik Tedbirler:
18.23. VPN, Özel Devre, FTP-SFTP, Web Service Yönetimine Yönelik Tedbirler:
18.24. Cihaz Yönetimine Yönelik Tedbirler:
18.25. Mobil Cihaz Yönetimine Yönelik Tedbirler:
18.26. Harici Ortam (USB, CD, Taşınabilir Disk, Hafıza Kartları, Cloud, Ftp ve Diğer Dosya Paylaşım Platformları) Kullanımına Yönelik Tedbirler:
18.27. Sistem Odası ve Yönetici Makinaların Korunması:
18.28. Veri İmha Metotları
18.29. Sızma ve Zafiyet Testleri:
18.30. Güncellemeler:
18.31. Yetki Matrisi
18.32. Silme, Yok Etme ve Anonim Hale Getirme Silme Yöntemleri:
18.33. Yok Etme Yöntemleri:
18.34. Anonimleştirme Yöntem ve Teknikleri
18.35. Uygulama Güvenliği
18.36. Yedekleme ve Yedekten Geri Dönme
18.37. Yazıcı Tarayıcı
- VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI
- KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ
- VERİ İHLAL OLAYI BİLDİRİMİ
- POLİTİKANIN GEÇERLİLİĞİ VE YÜRÜLÜKTEN KALDIRILMASI
1. POLİTİKANIN AMACI, KAPSAMI ve VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
1.1 Amaç
Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla Yangından Korunma Derneği Politikada “Dernek” olarak anılacaktır) tarafından kişisel veri işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.
1.2 Kapsam
Bu politika, aşağıda yer alan hususları kapsamaktadır;
- 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,
- Yangından Korunma Derneği tesislerini,
- Bu tesislerde gerçekleştirilen veri işlemle faaliyetlerini,
- Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,
- Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır.
1.3 Veri Sorumlusuna İlişkin Bilgiler:
Veri Sorumlusu: Yangından Korunma Derneği
Web Adresi: http://www.tuyak.org.tr/
Telefon: (+90) 212 320 2404 veya (+90) 541 617 9959
Elektronik Posta: tuyak@tuyak.org.tr
KEP: –
Posta Adresi: Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok Kat: 9 No: 1376 Şişli/İstanbul
Şahsen Başvuru Adresi: Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok Kat: 9 No: 1376 Şişli/İstanbul
Aydınlatma Metni Web Adresi: http://www.tuyak.org.tr/kvkk
2. TANIMLAR ve KISALTMALAR
Kavram / İfade | Kanundaki Tanım Kısaltmanın Açılımı |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Özel Nitelikli Kişisel Veri | Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. |
İlgili kişi / Veri Sahibi | Kişisel verisi işlenen gerçek kişi (Politika’ da “veri sahibi” şeklinde ifade edilmektedir) |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri Sorumlusu Temsilcisi | Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete ’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık rıza | Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddütte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay |
Aydınlatma Metni | Veri sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğünü yerine getirirken Veri sorumlusunun ve varsa temsilcisinin kimliğini bildirmelidir. Veri işleme amacını, toplama yöntemini, Hukuki sebebini ve Kanunun 11. maddesinde belirtilmiş olan haklar konusunda ilgili kişiyi bilgilendirmek için yazılmış olan metin. Sözlü de aktarılabilir |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Silme, Yok Etme ve Anonimleştirme | Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Maskeleme | Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortamlar | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Kurul | Kişisel Verileri Koruma Kurulu |
Politika | Kişisel Verileri Saklama ve İmha Politikası |
Sicil | Başkanlık tarafından tutulan Veri Sorumluları Sicili |
(VERBİS)Veri Sorumluları Sicil Bilgi Sistemi: | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
Yönetmelik | 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
2.1.Teknik ve İdari Tedbirler Tanımlar
Kavram / İfade | Tanım/Açıklama |
Ağ iletişimi | IPv4 ve IPv6 trafiği |
OTP | Bir seferlik parola |
Cihaz | Tüm Yazılımsal veya Donanımsal ürün ve yazılımlar. |
Firewall | Güvenlik Duvarı |
Misafir Ağı | Personel ve Sunucu ağlarından izole ve bu ağlara kontrolsüz geçiş izni olmayan ağ. |
Yönetici Makine | Switch, Router, Modem, Kablosuz yayın cihazı kontrol sistemi, Sunucu, Yedekleme üniteleri, Yazıcı, Bilgisayarla yönetilen ve log gönderme özelliği olan sistemler. |
Makine | Kişisel Bilgisayar, Kiosk |
Çalışan | Çalışanlar, stajyerler, ortaklar, hissedarlar, danışmanlar, denetçiler. |
Kullanıcı | Şirket içi ve dışı tüm çalışanlar. |
Veri işleme | Görüntüleme, Çoğaltma, çıktı alma, başka ortamlara aktarma, silme, değiştirme, erişilebilir hale getirme, erişimini engelleme, maskeleme, anonimleştirme, şifreleme, sınıflandırma |
Zafiyet Testi | Yasal hackleme denemesi ile zafiyetin belirlenmesi |
SIEM | SIEM (Security Information and Event Management) tehdit ve olay yönetimidir. Logların tek merkezde toplanıp analiz edilmesini sağlayan yazılım. |
Sızma Testi | Sistem güvenliği değerlendirmesi için yetkilendirilmiş temsili siber saldırı işlemi |
Yetki Matrisi | Elektronik ortamlarda hangi kişilerin, hangi sistem ve uygulamalara ne kadar süre ile erişebileceği yetkilerinin dokümante edilmesi |
Kriptolama | Yazının veya metnin bir yazılım aracılığıyla başkaları tarafından okunmasının önlenmesi için bir kurala bağlı olarak anlamsız bir şekle dönüştürülmesidir. |
Xdsl | Dijital abone hattı (DSL) üzerinden yayın yapan bütün teknolojilerin ortak adıdır. |
Hashleme | Elektronik ortamda bir metnin bir daha geri döndürülemeyecek bir şekilde şifrelenmesi |
Zaman Damgası | Elektronik bir verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıtların resmi olarak kanıtlanması. |
DLP | DLP (Data Loss/Leak Prevention: Veri Kaybı/Sızıntı Önleme) Yazılımı |
2.2. Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar
Kavram / İfade | Tanım/Açıklama |
Veri Analizi | “Kişisel ve özel nitelikli kişisel verilerin” tespiti için excel dosyası formatında hazırlanan Kişisel Veri Haritası üzerinden yapılan analiz. |
Veri Etki ve Mahremiyet Etki Değerlendirme | Olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi. |
Etki Değeri Analizi | Olası bir veri ihlali durumda veri sahibinin Kişisel verileri ile ilgili “Çok Yüksek, Yüksek, Orta, Düşük ve Etki Yok” ifade edecek şekilde 1 ile 5 arasında sayısal değer verilerek etki değerinin belirlenmesidir: · Finansal-Ekonomik Kayıp Etkisi · Bedensel ve fiziksel olumsuzluk etkisi · Mesleki Kariyer Olumsuzluk Etkisi · Aile ve Sosyal Çevre Olumsuzluk Etkisi · Yasal Cezai Yaptırım Etkisi · Dini inanç ve ibadet özgürlüğü olumsuz etki Hususlarında kişisel veriler için değerler verilir, bu 6 kategoride verilen değerlerden en yükseği Etki Değeri’ dir. |
Risk Analizi | Olası bir veri ihlalinin veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizinin birleştirilmesidir: “Düşük, Orta, Yüksek ve Çok Yüksek” ifade edecek şekilde 1 ile 4 arasında sayısal değer verilerek riskin oluşma ihtimali belirlenmesidir. |
Risk Etki Değeri | Etki Değeri ve Risk Analizinden elde edilen sayısal değerler çarpılarak risk etki değerine ulaşılmasıdır. Çıkan sonuca göre uygulanması gereken teknik ve idari tedbirler belirlenir. |
3. KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR
Dernek bünyesinde, Kanuna uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Komitesi (“Komite” olarak anılacaktır) kurulmuştur.
Kanuna ve Politikaya uygun olarak Kişisel verilerin saklaması ve imhası süreçlerinde yer alan kişilerin unvanları, birimleri ve görev tanımları
Komite Üyeleri ve Görevleri:
ÜNVAN | KİŞİ | GÖREVİ |
Komite Başkanı | Taner Kaboğlu | Komite başkanlığı, hukuksal sürecin yönetimi, proje önderliği, proje için finansman ve gerekli işgücünün sağlanmasından sorumludur. Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Komite Sözcüsü ve Üyesi | Şengül Çifçi | Çalışanların politikaya uygun hareket etmesinden ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. |
Bu Komite’ nin başlıca görevleri şöyledir;
- Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
- Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek, eksiklerin giderilmesini sağlamak ve bunun için gerekli birimlere gerekli desteği sağlamak.
- Kişisel verilerin politika ve hukuka aykırı olarak işlenmesini engellemek, kişisel verilerin işlendiği tüm ortamlarda ve tüm aşamalarda güvenliğini sağlamak.
- Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
- Kanuna uyulması için, Kişisel veri işleyen tüm personelin Kişisel Verileri Koruma Yasası ile ilgili gerekli eğitimleri almasından ve konunun anlaşılmasından,
- Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,
- Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
- Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,
- Veri ihlali durumlarında, kanunda belirtilmiş olan esaslara uygun olarak
- Kişisel Verileri Koruma Kurumuna bilgi vermek,
- Gerekli durumlarda Veri Sahibine bilgi vermek,
- Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.
Kişisel Verileri Koruma Kurumunun Kararlarına uyulmasından sorumludur.
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Veri sorumlusu konumunda olan Dernek 6698 KVKK’nın 4. maddesi gereğince kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir:
- Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.
- Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulanmalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem logları da tutulmaktadır.
- Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda, Dernek bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme amaçları belirtilmiştir. Bakınız: “Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme Metni”
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda, Dernek tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir.
İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, yürürlükte bulunan mevzuat, taraflarca imzalanan sözleşme gereksinimleri ve işleme amaçları ile doğrultusunda belirlenen süreler boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Sürelerin sona ermesinin ardından kişisel veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5. KİŞİSEL VERİSİ İŞLENEN GRUPLAR
Veri sorumlusu konumunda olan Dernek tarafından aşağıda belirtilmiş olan, ilişkide bulunduğu üçüncü kişilerin, kurumların ve kuruluşların çalışanlarına ait kişisel verileri Kanuna uygun olarak saklar ve imha eder.
Çalışan |
Çalışan Adayı |
Çalışanın Bakmakla Yükümlü Olduğu Kişi veya Çocuk |
Dernek Üye Adayı |
Dernek Üyesi |
Kamu Çalışanı |
Katılımcı |
Konuşmacı |
Referans Gösterilen Kişi |
Tedarikçi Çalışanı |
Tedarikçi Yetkilisi |
Tüm İnternet Kullanıcıları |
Yönetim Kurulu |
Ziyaretçi |
3. Şahıslar |
6. KİŞİSEL VERİ SAKLAMAYI GEREKTİREN HUKUKSAL SEBEPLER
1136 Sayılı Avukatlık Kanunu |
1593 Sayılı Umumi Hıfzıssıhha Kanunu |
2004 Sayılı İcra ve İflas Kanunu |
213 Sayılı Vergi Usul Kanunu |
3568 Sayılı SMMM ve YMM Kanunu |
4857 Sayılı İş Kanunu |
5187 Sayılı Basın Kanunu |
5253 Sayılı Dernekler Kanunu |
5411 Sayılı Bankacılık Kanunu |
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu |
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi |
6098 Sayılı Türk Borçlar Kanunu |
6102 Sayılı Türk Ticaret Kanunu |
6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu |
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu |
6698 Sayılı Kişisel Verilerin Korunması Kanunu |
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır:
- Kişilerin ırkı
- Etnik kökeni
- Siyasi düşüncesi
- Felsefi inancı
- Dini, mezhebi veya diğer inançları
- Kılık ve kıyafeti
- Dernek, vakıf ya da sendika üyeliği
- Sağlığı, cinsel hayatı
- Biyometrik ve genetik verileri
Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:
- Kanunlarda açıkça ön görülmesi.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:
- Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi.
- Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
Veri sorumlusu olarak Dernek öncelikli olarak veri sahiplerinden açık rıza alma yolunu seçmiştir. Bununla birlikte sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.
Veri sorumlusu olarak Dernek, bilgilendirme ve açık rıza almak için şu yöntemleri kullanmaktadır:
- Islak imzalı açık rıza beyanı alma: Ürün ve/veya hizmet talebinde bulunulduğunda ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Tedarikçi sözleşmeleri: Firma ile sözleşme imzalanırken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Çalışan ile İş Sözleşmeleri: Personel ile iş akdi yapılırken veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Dijital ortamda onay alınması: Hizmet talebinde bulunurken, sipariş verirken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
Veri sorumlusu olarak Dernek, VERBİS sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:
Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi |
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
Denetim / Etik Faaliyetlerinin Yürütülmesi |
Eğitim Faaliyetlerinin Yürütülmesi |
Finans ve Muhasebe İşlerinin Yürütülmesi |
Hukuk İşlerinin Takibi ve Yürütülmesi |
İletişim Faaliyetlerinin Yürütülmesi |
İş Faaliyetlerinin Yürütülmesi / Denetimi |
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
Organizasyon ve Etkinlik Yönetimi |
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi |
Sözleşme Süreçlerinin Yürütülmesi |
Üyelik İşlemlerinin Yürütülmesi |
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini |
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi |
Yönetim Faaliyetlerinin Yürütülmesi |
8. KİŞİSEL VERİ KAYIT ORTAMLARI
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Sunucular (Mail Server, Firewall, Server, Online Sunucu) | Kâğıt |
Yazılımlar (Anlık Mesajlaşma Uygulaması, Anydesk /Teamviewer, E-Arşiv, E-posta, Excel, Word, Firewall Yazılımı, Karspersky, Log Kaydı Uygulaması, Online Görüşme Platformu, Program, Vedubox, Yedekleme Yazılımı, ) | Manuel veri kayıt sistemleri (Talep ve şikayetleri, anket formları, Veri sahibi haklarına ilişkin yazılı başvurular, diğer yazılı başvurular, denetleme ve görev tutanakları …) |
Harici depolama üniteleri (Harici Disk, Hard Disk) | Tüm yazılı, basılı, görsel ortamlar |
Kişisel Bilgisayarlar (İş Bilgisayarı) |
|
Fotokopi Makinesi, Faks Makinesi |
|
Mobil Cihazlar (Cep Telefonu) |
|
Optik Diskler |
|
Kişisel Telefonlar |
|
Dosya Uzantısı (PDF, JPG, MP4) |
|
Web Siteleri (SGK E-Bildirge, Uygulamalar) |
|
9. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel veriler, veri sorumlusu sıfatıyla Yangından Korunma Derneği tarafından KVKK da belirtilen yükümlülükler ve 6.Madde de yer alan amaçlar için “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.
Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5. Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’inci maddede ve kanunun 5-6. Maddelerinde yer alan açık rıza ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.
Yangından Korunma Derneği tarafından YURT İÇİNDE aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:
Adli Merciler |
Anlaşmalı Avukat ve/veya Avukatlık Bürosu |
Anlaşmalı Banka |
Anlaşmalı Bilgi Güvenliği Firması |
Anlaşmalı Ofset/Matbaa Firması |
Anlaşmalı Web Tasarım Firması |
Cumhuriyet Başsavcılığı |
Dernek Üye Adayı |
Dernek Üyesi |
Dernekler Bilgi Sistemi (DERBİS) |
Eski Çalışan |
GIB |
Hedefmail |
İcra Dairesi |
İl Sivil Toplumla İlişkiler Müdürlüğü |
Kamu Kurum ve Kuruluşları |
Kamu ve/veya Özel Hastane |
Katılımcı, Konuşmacı ve Ziyaretçiler |
KVKK Danışman Firması |
Lookus Online Bildiri Sistemi |
Mülki İdari Amir |
Noter |
Online Görüşme Platformu (Google Meet, Skype, Teams, Zoom) |
Online Konferans Moderatörü |
Posta ve Telgraf Teşkilatı (PTT) |
Sektör Birlikleri |
SGK |
Sodexo Avantaj ve Ödüllendirme Hizmetleri Anonim Şirketi |
Toplu E-posta Gönderim Sağlayıcı Firma |
Türkiye Yangından Korunma ve Eğitim Vakfı |
Türkiye Yangından Korunma ve İtfaiye Eğitim Vakfı İktisadi İşletmesi |
Ürün veya Hizmet Veren Kişi veya Firma |
Vedubox |
Web Sayfası Ziyaretçileri |
Yangın Mühendisliği Yangın Güvenliği ve Teknolojileri Dergisi Okuyucuları |
Yeminli/Serbest Mali Müşavir |
Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart beklemektedir:
- Veri sahibinin açık rızasının bulunması veya açık rıza istisnaları şartlarından birinin veya birkaçının karşılanması halinde,
- Verilerin aktarıldığı ülkede yeterli koruma* bulunması halinde,
- Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla Dernek ilgili yabancı ülkedeki veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir.
(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir.
Dernek tarafından YURT DIŞINDA aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:
Anlık Mesajlaşma Uygulaması (Whatsapp, Telegram) |
Dernek Üye Adayı |
Dernek Üyesi |
Google Groups |
Güvenlik Duvarı Yazılımı Firması |
Online Görüşme Platformu (Google Meet, Skype, Teams, Zoom) |
Sosyal Medya Platformu (Facebook, Instagram, Twitter, Linkedin, Youtube) |
Uzak Masaüstü Bağlantı Programı (Teamviwer, Anydesk) |
Ziyaretçi |
10. İŞLENEN KİŞİSEL VERİLER
Dernek tarafından, 6.Maddede belirtilen amaçlar doğrultusunda aşağıda yer alan kişisel veri kategorilerindeki kişisel ve özel nitelikli kişisel veriler paylaşılmaktadır:
Veri Kategorisi | Kişisel Veri Kategorizasyonu Açıklama | İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri |
Kimlik Bilgileri | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı | Ad Soyad, Kimlik ve Seri No, Anne ve Baba Adı, Medeni Hal, Cinsiyet, Doğum Yeri ve Tarihi, Uyruk, İmza, Görevi ve Unvan, İlk Soyad, Milliyet, Nüfusa Kayıtlı Olduğu Yer, Fotoğraf, “Sürücü Belgesi; Belge Veriliş ve Geçerlilik Tarihi, Sürücü Sicil No, Sınıf Veriliş ve Geçerlilik Tarihi”, Vergi Dairesi ve Numarası, Doğum Yılı, Yaş, “Kullanıcı, Bilgisayar ve Makine Adı”, “Google, Online Görüşme Platformu, Anlık Mesajlaşma Uygulaması, Sosyal Medya Kullanıcı Adı” |
İletişim Bilgileri | Kişiyle iletişim kurulması amacıyla kullanılan bilgileri | Firma Unvanı, Dernek Adı, Telefon No, Adres, E-posta, Dernek Unvanı, Telefon ve Faks No, Kişisel E-posta, Çalıştığı Kurum, Yakınlık Derecesi, Sektör, “İkametgâh Bilgileri ve Adresi” |
Lokasyon Bilgileri | Veri sahibinin konumunu tespit etmeye yarayan veriler | İş Kazası Lokasyonu |
Özlük Bilgileri | Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler | Askerlik Durumu, Muafiyet Nedeni, Sürücü Belgesi Bilgisi, Banka Adı ve Şubesi, İban ve Hesap No, Maaş ve Tutarı, Dekont ve Açıklaması, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Departman, Görevi ve Görev Kodu, SGK No, Giriş Çıkış Tarihi, Çalışma Gün Saat, Meslek Adı ve Kodu, Prime Esas Kazanç Tutarı, Çalıştığı ve Çalışılmayan Gün Sayısı, İzne Hak Kazandığı Tarih, İşyerindeki Kıdem, “Yıllık İzin; Tarihi, Süresi, Başlangıç ve Bitiş Tarihi”, Dernek Faaliyetleri Özeti, Evrak İmha Tutanak Bilgileri, Fazla Mesai Ücreti ve Tutarı, Maaş ve Ücret Bilgisi, İşe Giriş ve İşten Çıkış Tarihi, İmza, İşe Başlama Tarihi, SGK Fesih Kodu, “İşe Giriş ve İşten Çıkış Bildirgesi”, Sigortalılık Türü, ÇSGB İş Kolu, Mezuniyet Durumu, Yılı ve Bölümü, SGK Sicil Numarası, Ek Kazançlar, AGİ, SGK Dökümü, Ücret Hesap Pusulası, Kesinti Tutarı, İşten Çıkış Nedeni, Ödeme ve Tazminat Tutarı, Raporlu Olunan Tarih, Rapor Süresi, İşten Ayrılış Şekli, Hakkedilmiş Ücret, Kullanılmayan İzin Ücreti, Sosyal Haklar, İhbar ve Kıdem Tazminatı, “Sodexo; Yükleme Tutarı, Kart No ve Sodexo Kullanıcı Adı”, Sözleşme Şartları, Ürün/Hizmet, Tutar, Para Birimi, Açık Rıza Bilgisi, Unvan, İstifa Tarihi ve Nedeni, Vekalet Türü ve Geçerlilik Süresi, Yazı Kayıt Numarası ve Tarihi, Tarih, Gün, Saat |
Hukuki İşlem Bilgileri | Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri | Tebligat, Dava Dosyası ve Numarası |
İşlem Güvenliği Bilgileri | Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler | Dernek hesabı ile kurulan iletişime ait; “Eski E-posta Verileri”, Geçici Şifre ve Şifre, IP ve MAC Adresi, Makine ve Kullanıcı Adı, Uygulama ve Web Kullanımı, “Gönderilen ve Alınan Dosya Tipleri ve İçerikleri”, Risk Durum Değerlendirmesi, İnternet Aktivitesi, Yüklü Olan Güvenlik Servisleri ve Durumu, Güvenlik Politikaları, “Engellenen Uygulamalar, Web Sayfaları ve Kategorileri, PC Bileşenleri, Dosya İndirme Eylemleri, İçerikteki Sakıncalı Kelimeler”, URL, Erişeceği Kaynaklar, Departman, Görev, Erişim Sağlanan İnternet IP Adresi, Log Kaydı, Uzak Bağlantı ID, DERBİS Şifresi ve Kullanıcı Adı, veri güvenliği denetiminden geçen; “Tüm Veriler”, Tarih, Gün, Saat |
Risk Yönetimi Bilgileri | Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler | Alınan Kararlar, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Derneğin Mali Bilgileri, Karar Tarihi ve Sayısı, Dernek Faaliyetleri Özeti, Dernek Tüzüğü, Dernek Üyeliğine Giriş ve Üyelikten Çıkış Tarihi, Evrak İmha Tutanak Bilgileri, “Karar Konusu, Tarihi ve Sayısı”, Tarih, Açık Rıza Bilgisi, Üye Türü ve Sayısı, “Gönüllü ve Ücretli Çalışan Sayısı ve Çalışma Türü”, Vekalet Türü ve Geçerlilik Süresi, “Yayının Türü, Yayın Aralığı, İçeriği, Dili ve Yayın Tarihi”, Yazı Kayıt Numarası ve Tarihi |
Finans Bilgileri | Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler | Alındı Makbuzu, Mail Order Formu, Dekont ve Açıklaması, “Ödeme Açıklaması, Bilgisi, Şekli ve Tutarı”, Banka Adı ve Şubesi, İban ve Hesap No, Para Birimi, “Dernek; Gelir Gider ve Taşınır Taşınmaz Bilgileri”, Fatura, Fiş, İrsaliye, Slip, Ürün, Hizmet, Tutar, Muhasebe Kaydı, “Çek ve/veya Senet, Çekin ve/veya Senedin; Vadesi, Tutarı, Keşide Yeri, Para Birimi”, “Gelir Bilgileri; Gönderilen Fatura Numarası Tarihi ve Açıklaması, Alınan Ücret ve Diğer Hasılat, Hesaplanan KDV Tutarı”, “Gider Bilgileri; Alınan Fatura Numarası Tarihi ve Açıklaması, Ödenen Ücret, Satın Alınan Mal Bedeli, İndirilecek KDV Tutarı”, “Hesap Bilgileri; Hesap Adı, Borç ve/veya Alacak Tutarı”, “Kredi Kartı Banka Adı, Kredi Kartı Numarası, Geçerlilik Tarihi, Güvenlik Kodu”, Matrah ve Vergi Bildirimi, Tahakkuk Eden, Mahsup Edilen, Ödenecek Tutar, Vadesi, Tahsilat veya Tediye Makbuzu, Sözleşme Şartları, Şirket Sermaye Ortaklık Bedeli, Taşınır ve Taşınmaz Bilgileri, Tazminat Tutarı, Üye Aidatı, Üyelik ve Aidat Bilgisi, Tarih, Gün, Saat |
Mesleki Deneyim Bilgileri | Kişinin edindiği kişisel donanım bilgileri | Derneğin; Üye Sayısı, Toplantının Niteliği, Toplantı ve Bildirim Tarihi, Toplam ve Katılan Üye Sayısı, Diploma, Sertifika, Eğitime Katılım ve Tamamlama Tarihi, Eğitimin Adı, Tarihi, Konusu ve İçeriği, Faaliyet Konusu ve Şekli, Teknik Eleman Sayısı, Yurt Dışı Temsilcilik Bilgisi, Sahip Olunan Standart/Kalite Belgeleri, İhtisas Konusu, Mezun Olunan Okul ve Tarihi, İş Tecrübesi, Kısa Özgeçmiş, Meslek, Öğrenim Durumu, Verilen Eğitimin Adı ve Eğitim Tarihi, Yabancı Dil Bilgisi ve Seviyesi, Eğitim Bilgileri, Katıldığı Staj, Kurs, Mesleki Kurs ve Eğitim Bilgileri, Kullanılan Programlar, Bilgisayar Bilgisi ve Seviyesi, Yabancı Dil Bilgisi, Sektördeki İş Tecrübesi |
Pazarlama Bilgileri | Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler | Çerezler |
Görsel ve İşitsel Kayıt Bilgileri | Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri | Anlık Mesajlaşma Uygulaması Fotoğrafı, Fotoğraf, Görüntü ve Ses Kaydı, Masaüstü Fotoğrafı |
Dernek Üyeliği | Dernek üyeliği bilgileri | Derneğe Üye Olma İstek Sebebi, Dernek Adı, Dernek Üyelik Talebi, Üye Olunan Dernek ve Adı |
Sağlık Bilgileri | Kişinin sağlığıyla ilgili olan tüm verileri | Ateş Ölçümü, HES Kodu, Kan Grubu, Sağlık Raporu, Teşhis, Tedavi, Sonuç, Yaranın Türü ve Vücuttaki Yeri, Uzuv Kaybı |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Kişilerin adli makamlarla ilgili olan verileri | Adli Sicil Kaydı, Tebligat, Dava Dosyası ve Numarası, Mahkeme Kararı, İcra Dairesi ve Dosya Numarası |
11. KİŞİSEL VERİ İMHASINI GEREKTİREN SEBEPLER
Kişisel veriler;
- İşlenmesini gerektiren ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
- İşlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Dernek tarafından kabul edilmesi,
- Dernek ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya f. Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kişisel Verileri Koruma Kurumuna bulunması sonrası talebin Kişisel Verileri Koruma Kurumu tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin dolmasından sonra ilgili kişinin başvurusu ile ve/veya ilk periyodik silme işleminde silinir, yok edilir veya anonim hale getirilir.
Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi gerekir.
12.PERİYODİK İMHA SÜRESİ
Periyodik imhalar her yıl ARALIK aylarında yapılacaktır.13. VERİ ANALİZİ, VERİ ENVANTERİ, VERİ/MAHREMİYET ETKİ DEĞERLENDİRME VE RİSKANALİZİ
Dernek tarafından, iş süreçlerinde kullanılan “kişisel ve özel nitelikli kişisel verilerin” tespiti için veri analizi çalışması yapılmıştır. Kişisel verileri, özel nitelikli kişisel verileri ve bu verilere ilişkin işleme faaliyetleri bilgileri, oluşturulan “Veri Envanterinde (Veri Haritası)” yer almaktadır. Veri envanteri şu amaçlarla kullanılmak için oluşturulmaktadır:
- İşlenen veri ve veri kategorilerini tespit etmek.
- İşleme faaliyetlerini (otomatik-manuel ve işleme tipi) tespit etmek.
- Veri işlemenin kişisel mahremiyete etkisini değerlendirmek.
- Veri güvenliğine ilişkin riskleri değerlendirmek.
- Veri güvenliğine yönelik idari ve teknik tedbirlerin belirlenmesi için girdi sağlamak.
- Veri sahibi ve ilgili mercilerden gelen veri işlemeye yönelik taleplerin karşılanmasında kılavuzluk yapmak.
- Veri silme, yok etme ve anonimleştirme için dayanak oluşturmak.
Gereksiz veri işleme faaliyetlerini tespit ederek, süreçlerde veri işlemeye dayalı verimsizlikleri ve etkinsizlikleri ortadan kaldırmak.
13.1 Veri Envanteri / Veri Haritalama:
Veri işleme envanteri aşağıda yer alan bilgi alanlarını içermektedir:
- Şirket
- Lokasyon
- Departman / Birim
- Ana Süreç
- Alt Süreç
- Sürecini İşlem Adımları
- İşlenen Kişisel Veri
- İşlenen Kişisel Veri Kategorisi
- İşlenen Veri Tipi (KV/ÖNKV)
- Veri İşleme Amacı
- İşlenen Kişisel Veri Sahibi
- Veri Nerden Geliyor
- Verinin Toplama Metodu
- İşlenen Verinin Tutulduğu Doküman Adı
- İşlenen Verinin Basılı Olarak Tutulduğu Dokümanın Saklandığı Yer
- İşlenen Verinin Dijital Olarak Tutulduğu (Sürecin İşletildiği) Sistem/Uygulama Adı
- İşlenen Verinin Dijital Olarak Tutulduğu Sistemin/Uygulamanın Bulunduğu Yer
- İşlenen Kişisel Verinin İletildiği İç Birim
- İşlenen Kişisel Verinin İç Birim/Departmana İletim Yöntemi
- İşlenen Kişisel Verinin İletildiği Dış Kurum
- İşlenen Kişisel Verinin Dış Kurum/Kuruluşa İletim Amacı
- İşlenen Kişisel Verinin Dış Kurum/Kuruluşa İletim Yöntemi
- Yurt İçi/Yurt Dışı
- Veri İşleme Şartı
- İşlenen Verinin Korunması İçin Yasal Dayanak
- Arya Not
- İşlenen Verinin Saklama Süresi
- İşlenen Verinin Saklama Süresi Sonunda Uygulanan İşlem
- İşlendiği Platform
- İdari Tedbir
- Teknik Tedbir
- Finansal-Ekonomik Kayıp Etkisi
- Bedensel ve Fiziksel Olumsuzluk Etkisi
- Mesleki Kariyer Olumsuzluk Etkisi
- Aile ve Sosyal Çevre Olumsuzluk Etkisi
- Yasal Cezai Yaptırım Etkisi
- Dini İnanç ve İbadet Özgürlüğü Olumsuz Etki
- Etki Değeri
- Risk Analizi
- Risk Etki Değeri
- Değişiklik Talebi
13.2 Veri Etki ve Mahremiyet Etki Değerlendirme:
Mevcut süreçler ve yeni devreye alınacak süreçlerde olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi yapılır. Bu analiz ile;
- Ana süreç ve alt süreç,
- Süreçte işlenen veri kategorisi ve işlenen veri,
- Veri kategorisinin etki değeri,
- Veri kategorisi etki değerine göre, temel veri koruma idari ve teknik tedbirleri belirlenir.
Bu çalışma ile amaç, olası veri ihlali durumunda hangi süreçlerin kişi hak ve özgürlüklerine daha fazla etki edeceğini belirleyerek, veri güvenliğini sağlamak için gerekli idari ve teknik tedbirleri öncelikli olarak bu süreçlerde almak suretiyle kaynakları ve riskleri daha etkili yönetmektir.
Etki Düzeyleri | ||
Çok Yüksek | 5 | Çok Yüksek- Maksimum Etki: Veri sahipleri, üstesinden gelememe ihtimalleri olan çok ciddi sonuçlarla karşılaşabilir (ödenemeyecek borç ya da çalışamama gibi finansal sıkıntı, uzun vadeli fiziksel ya da psikolojik sorunlar, ölüm, vb.) |
Yüksek | 4 | Yüksek- Önemli Etki: Veri sahipleri, ancak ciddi zorluklarla üstesinden gelebilecekleri önemli sonuçlarla karşılaşabilir (mülkiyet hasarı, bankalar tarafından kara listeye alınma, mahkemeye çağırılma, sağlığın kötüye gitmesi, vb.) |
Orta | 3 | Orta- Sınırlı Etki: Veri sahipleri, biraz zorluk yaşayarak da olsa üstesinden gelebilecekleri önemli sorunlarla karşılaşabilir (ilave masraf, erişimin reddedilmesi, stres, küçük fiziksel sıkıntılar, vb.) |
Düşük | 2 | Düşük- Göz ardı edilebilir Etki: Veri sahipleri etkilenmez veya sorunsuzca üstesinden gelebilecekleri birkaç olumsuzluk la karşılaşabilir (bilgileri yeniden girmeye vakit harcamak, rahatsız olmak, vb.) |
Etki yok | 1 | Etki yok: Veri sahipleri etkilenmez |
KİŞİSEL VERİ KATEGORİSİ /VERBİS | Veri Kategorizasyon Açıklama | KİŞİSEL VERİ | Veri Tipi | Veri İhlalinin Veri Sahibine Etkisi | Etki Değeri | |||||
| ||||||||||
Finansal-Ekonomik Kayıp Etkisi | Bedensel ve fiziksel olumsuzluk etkisi | Mesleki Kariyer Olumsuzluk Etkisi | Aile ve Sosyal Çevre Olumsuzluk Etkisi | Yasal Cezai Yaptırım Etkisi | Dini inanç ve ibadet özgürlüğü olumsuz etki |
| ||||
Kimlik Bilgileri | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı | Ad Soyad, Kimlik ve Seri No, Anne ve Baba Adı, Medeni Hal, Cinsiyet, Doğum Yeri ve Tarihi, Uyruk, İmza, Görevi ve Unvan, İlk Soyad, Milliyet, Nüfusa Kayıtlı Olduğu Yer, Fotoğraf, “Sürücü Belgesi; Belge Veriliş ve Geçerlilik Tarihi, Sürücü Sicil No, Sınıf Veriliş ve Geçerlilik Tarihi”, Vergi Dairesi ve Numarası, Doğum Yılı, Yaş, “Kullanıcı, Bilgisayar ve Makine Adı”, “Google, Online Görüşme Platformu, Anlık Mesajlaşma Uygulaması, Sosyal Medya Kullanıcı Adı” | KV | 1 | 1 | 3 | 3 | 2 | 4 | 4 |
Kimlik Bilgileri | Kimlik bilgileri Ad Soyad, İmza | Ad Soyad, İmza | KV | 2 | 1 | 2 | 2 | 2 | 1 | 2 |
İletişim Bilgileri | Kişiyle iletişim kurulması amacıyla kullanılan bilgileri | Firma Unvanı, Dernek Adı, Telefon No, Adres, E-posta, Dernek Unvanı, Telefon ve Faks No, Kişisel E-posta, Çalıştığı Kurum, Yakınlık Derecesi, Sektör, “İkametgâh Bilgileri ve Adresi” | KV | 1 | 1 | 1 | 2 | 1 | 1 | 2 |
Lokasyon Bilgileri | Veri sahibinin konumunu tespit etmeye yarayan veriler | İş Kazası Lokasyonu | KV | 3 | 1 | 1 | 3 | 1 | 1 | 3 |
Özlük Bilgileri | Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler | Askerlik Durumu, Muafiyet Nedeni, Sürücü Belgesi Bilgisi, Banka Adı ve Şubesi, İban ve Hesap No, Maaş ve Tutarı, Dekont ve Açıklaması, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Departman, Görevi ve Görev Kodu, SGK No, Giriş Çıkış Tarihi, Çalışma Gün Saat, Meslek Adı ve Kodu, Prime Esas Kazanç Tutarı, Çalıştığı ve Çalışılmayan Gün Sayısı, İzne Hak Kazandığı Tarih, İşyerindeki Kıdem, “Yıllık İzin; Tarihi, Süresi, Başlangıç ve Bitiş Tarihi”, Dernek Faaliyetleri Özeti, Evrak İmha Tutanak Bilgileri, Fazla Mesai Ücreti ve Tutarı, Maaş ve Ücret Bilgisi, İşe Giriş ve İşten Çıkış Tarihi, İmza, İşe Başlama Tarihi, SGK Fesih Kodu, “İşe Giriş ve İşten Çıkış Bildirgesi”, Sigortalılık Türü, ÇSGB İş Kolu, Mezuniyet Durumu, Yılı ve Bölümü, SGK Sicil Numarası, Ek Kazançlar, AGİ, SGK Dökümü, Ücret Hesap Pusulası, Kesinti Tutarı, İşten Çıkış Nedeni, Ödeme ve Tazminat Tutarı, Raporlu Olunan Tarih, Rapor Süresi, İşten Ayrılış Şekli, Hakkedilmiş Ücret, Kullanılmayan İzin Ücreti, Sosyal Haklar, İhbar ve Kıdem Tazminatı, “Sodexo; Yükleme Tutarı, Kart No ve Sodexo Kullanıcı Adı”, Sözleşme Şartları, Ürün/Hizmet, Tutar, Para Birimi, Açık Rıza Bilgisi, Unvan, İstifa Tarihi ve Nedeni, Vekalet Türü ve Geçerlilik Süresi, Yazı Kayıt Numarası ve Tarihi, Tarih, Gün, Saat | KV | 2 | 2 | 3 | 2 | 1 | 2 | 3 |
Hukuki İşlem Bilgileri | Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri | Tebligat, Dava Dosyası ve Numarası | KV | 3 | 2 | 4 | 4 | 1 | 4 | 4 |
İşlem Güvenliği Bilgileri | Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler | Dernek hesabı ile kurulan iletişime ait; “Eski E-posta Verileri”, Geçici Şifre ve Şifre, IP ve MAC Adresi, Makine ve Kullanıcı Adı, Uygulama ve Web Kullanımı, “Gönderilen ve Alınan Dosya Tipleri ve İçerikleri”, Risk Durum Değerlendirmesi, İnternet Aktivitesi, Yüklü Olan Güvenlik Servisleri ve Durumu, Güvenlik Politikaları, “Engellenen Uygulamalar, Web Sayfaları ve Kategorileri, PC Bileşenleri, Dosya İndirme Eylemleri, İçerikteki Sakıncalı Kelimeler”, URL, Erişeceği Kaynaklar, Departman, Görev, Erişim Sağlanan İnternet IP Adresi, Log Kaydı, Uzak Bağlantı ID, DERBİS Şifresi ve Kullanıcı Adı, veri güvenliği denetiminden geçen; “Tüm Veriler”, Tarih, Gün, Saat | KV | 4 | 2 | 4 | 4 | 3 | 4 | 4 |
Risk Yönetimi Bilgileri | Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler | Alınan Kararlar, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Derneğin Mali Bilgileri, Karar Tarihi ve Sayısı, Dernek Faaliyetleri Özeti, Dernek Tüzüğü, Dernek Üyeliğine Giriş ve Üyelikten Çıkış Tarihi, Evrak İmha Tutanak Bilgileri, “Karar Konusu, Tarihi ve Sayısı”, Tarih, Açık Rıza Bilgisi, Üye Türü ve Sayısı, “Gönüllü ve Ücretli Çalışan Sayısı ve Çalışma Türü”, Vekalet Türü ve Geçerlilik Süresi, “Yayının Türü, Yayın Aralığı, İçeriği, Dili ve Yayın Tarihi”, Yazı Kayıt Numarası ve Tarihi | KV | 2 | 2 | 2 | 2 | 1 | 1 | 2 |
Finans Bilgileri | Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler | Alındı Makbuzu, Mail Order Formu, Dekont ve Açıklaması, “Ödeme Açıklaması, Bilgisi, Şekli ve Tutarı”, Banka Adı ve Şubesi, İban ve Hesap No, Para Birimi, “Dernek; Gelir Gider ve Taşınır Taşınmaz Bilgileri”, Fatura, Fiş, İrsaliye, Slip, Ürün/Hizmet, Tutar, Muhasebe Kaydı, “Çek ve/veya Senet, Çekin ve/veya Senedin; Vadesi, Tutarı, Keşide Yeri, Para Birimi”, “Gelir Bilgileri; Gönderilen Fatura Numarası Tarihi ve Açıklaması, Alınan Ücret ve Diğer Hasılat, Hesaplanan KDV Tutarı”, “Gider Bilgileri; Alınan Fatura Numarası Tarihi ve Açıklaması, Ödenen Ücret, Satın Alınan Mal Bedeli, İndirilecek KDV Tutarı”, “Hesap Bilgileri; Hesap Adı, Borç ve/veya Alacak Tutarı”, “Kredi Kartı Banka Adı, Kredi Kartı Numarası, Geçerlilik Tarihi, Güvenlik Kodu”, Matrah ve Vergi Bildirimi, Tahakkuk Eden, Mahsup Edilen, Ödenecek Tutar, Vadesi, Tahsilat veya Tediye Makbuzu, Sözleşme Şartları, Şirket Sermaye Ortaklık Bedeli, Taşınır ve Taşınmaz Bilgileri, Tazminat Tutarı, Üye Aidatı, Üyelik ve Aidat Bilgisi, Tarih, Gün, Saat | KV | 3 | 2 | 3 | 3 | 1 | 1 | 3 |
Mesleki Deneyim Bilgileri | Kişinin edindiği kişisel donanım bilgileri | Derneğin; Üye Sayısı, Toplantının Niteliği, Toplantı ve Bildirim Tarihi, Toplam ve Katılan Üye Sayısı, Diploma, Sertifika, Eğitime Katılım ve Tamamlama Tarihi, Eğitimin Adı, Tarihi, Konusu ve İçeriği, Faaliyet Konusu ve Şekli, Teknik Eleman Sayısı, Yurt Dışı Temsilcilik Bilgisi, Sahip Olunan Standart/Kalite Belgeleri, İhtisas Konusu, Mezun Olunan Okul ve Tarihi, İş Tecrübesi, Kısa Özgeçmiş, Meslek, Öğrenim Durumu, Verilen Eğitimin Adı ve Eğitim Tarihi, Yabancı Dil Bilgisi ve Seviyesi, Eğitim Bilgileri, Katıldığı Staj, Kurs, Mesleki Kurs ve Eğitim Bilgileri, Kullanılan Programlar, Bilgisayar Bilgisi ve Seviyesi, Yabancı Dil Bilgisi, Sektördeki İş Tecrübesi | KV | 2 | 1 | 2 | 2 | 1 | 2 | 2 |
Pazarlama Bilgileri | Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler | Çerezler | KV | 1 | 1 | 1 | 1 | 1 | 1 | 1 |
Görsel ve İşitsel Kayıt Bilgileri | Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri | Anlık Mesajlaşma Uygulaması Fotoğrafı, Fotoğraf, Görüntü ve Ses Kaydı, Masaüstü Fotoğrafı | KV | 4 | 2 | 4 | 4 | 4 | 4 | 4 |
Dernek Üyeliği | Dernek üyeliği bilgileri | Derneğe Üye Olma İstek Sebebi, Dernek Adı, Dernek Üyelik Talebi, Üye Olunan Dernek ve Adı | ÖNKV | 4 | 2 | 4 | 4 | 5 | 5 | 5 |
Sağlık Bilgileri | Kişinin sağlığıyla ilgili olan tüm verileri | Ateş Ölçümü, HES Kodu, Kan Grubu, Sağlık Raporu, Teşhis, Tedavi, Sonuç, Yaranın Türü ve Vücuttaki Yeri, Uzuv Kaybı | ÖNKV | 4 | 2 | 4 | 4 | 2 | 5 | 5 |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Kişilerin adli makamlarla ilgili olan verileri | Adli Sicil Kaydı, Tebligat, Dava Dosyası ve Numarası, Mahkeme Kararı, İcra Dairesi ve Dosya Numarası | ÖNKV | 4 | 2 | 5 | 5 | 4 | 5 | 5 |
13.3 Risk Analizi:
Mevcut ve yeni devreye alınacak süreçlerde veri ihlalinin oluşma ihtimali analiz edilir.
Verinin ihlali durumunda, Veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizi birleştirilmiştir.
Bu analizlerde aşağıdaki ana başlıklar göz önünde bulundurulmuştur.
- Ana Süreç ve Alt Süreç
- Veri Kategorisi
- Verinin bulunduğu ortamlar ve bu ortamların güvenlik analizleri
- Verinin paylaşıldığı iç ve dış kurumlar ile paylaşımla şekli
- Zafiyet testi sonuçları
Bu analiz sonuçlarına uygun olarak Teknik ve İdari tedbirler güncellenir.
Olasılıklar | Değer | Açıklama |
Yangın, Doğal Afetler, Kaybolma, Unutma, Hırsızlık, Gasp, Hacklenme, Kötü niyetli yazılıma maruz kalma, Görevin kötüye kullanılması durumlarının çok olası olması
| 0 | Risk Yok |
1 | Düşük | |
2 | Orta | |
3 | Yüksek | |
4 | Çok Yüksek |
13.4 Risk Etki Değeri
Veri haritası üzerinde süreç bazında, sürecin işlem adımlarına ve işlenen kişisel veriye göre bu veride oluşabilecek bir veri ihlal durumunda veri sahibinin nasıl etkileneceği 6 ana kategoride değerlendirilir. Süreç bazında veri ihlal olasılığını Risk Analizi kısmında değerlendirilir. Etki değeri ve Risk analizini çarparak Risk Etki Değerini bulunur. Bu sayede Risk etki değeri en yüksek olan süreçler ve/veya Etki değeri yüksek olan süreçler için hızlıca önlem alınması sağlanmaktadır.
ÖRNEK GDPR VERİ ETKİ DEĞERLENDİRME | ||||
KİŞİSEL VERİ KATEGORİSİ /VERBİS | VERİNİN | Etki Değeri | Risk Analizi | Risk Etki Değeri |
Kimlik Bilgileri | KV | 4 | 1 | 4 |
İletişim Bilgileri | KV | 2 | 2 | 4 |
Lokasyon Bilgileri | KV | 2 | 2 | 4 |
Özlük Bilgileri | KV/ÖNKV | 4 | 3 | 12 |
Hukuki İşlem Bilgileri | KV/ÖNKV | 5 | 3 | 15 |
Dernek Üyeliği | ÖNKV | 4 | 3 | 12 |
14. VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ
Veri Sahibi, Kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir:
- Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
- Kendisi ile ilgili kişisel veri işlenmiş ise buna ilişkin bilgi talep etme.
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
- İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
- Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Aşağıda belirtilen maddeler ve hususlara göre, bu kanun uygulanmayacağından, veri sahibin hakları belirtilen durumalar çerçevesinde işleme alınmayacaktır. Kanun’un 28. Maddesinin 2. Fıkrasında, kanunun 11.Maddesinde belirtilen veri sahibinin uğradığı zararın giderilmesi hakkı hariç, aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
Kanun’un 28. Maddesinin 1. Fıkrasına göre aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
14.1.Veri Sahibi Tarafından Hakların Kullanılması
Veri sorumlusu sıfatıyla Dernek tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir.
Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte bulunabilir:
- https://www.tuyak.org.tr/ adresinde yer alan elektronik formu doldurarak,
- tuyak@tuyak.org.tr E-posta adreslerinden birine talebini E-posta ile ileterek,
- Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok K: 9 No: 1376 Şişli/İstanbul adresine fiziki posta göndererek,
- Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok K: 9 No: 1376 Şişli/İstanbul adresine fiilen gelerek yazılı başvuruda bulunarak,
- (+90) 212 320 24 04 veya (+90) 541 617 99 59 no’ lu telefonu arayarak.
Kanunda öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir.
15.VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ
Kanunun 10, 12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan sorumluluk, hak ve yükümlülüklere sahiptir:
- Aydınlatma yükümlülüklerini yerine getirmek.
- Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.
- Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.
- Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.
- Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyor ise, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.
- Kanunda belirtilen hükümlerin uygulanmasını sağlamak amacıyla belirli periyotlarda denetimler yapmak veya yaptırmak.
- Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla bildirmek.
- Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’ e (sicile) kayıt yaptırmak.
- Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi biten verilerin imhasını gerçekleştirmek.
- Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.
15.1.Veri Sahibinin Aydınlatılması ve Açık Rıza;
Veri sahibi, web sayfamızı ziyaretinde ve ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve açık rıza beyanları alınmaktadır. Bunların yanı sıra tesisin muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.
16. VERİ İŞLEYENİN HAK VE YÜKÜMLÜLÜKLERİ
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.
Veri işleyen kapsamında şunlar değerlendirilmektedir:
- Ürün ve hizmet alınan tedarikçiler ve iş ortakları,
Veri isleyenler öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri işleyenin görevinden ayrılmasından sonra da devam etmektedir.
Kişisel verilerin hukuka aykırı olarak islenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesinin önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü̈ teknik ve idari tedbirlerin alınması hususunda veri işleyen, veri sorumlusu ile müştereken sorumludur.
Veri işleyen ihmal, hata veya kasıtlı olarak veri ihlali gerçekleştirmesi durumunda kanuni çerçevede cezai yaptırımla karşı karşıya kalacaktır. Veri işleyen sıfatıyla;
Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.
17. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAMA SÜRESİ SONU İŞLEMLER
Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir.
Faaliyet / Süreç | Saklama Süresi | İlgili Kanun | İmha Süreleri |
Ateş Ölçümü Süreci | Saklanmaz | 1593 Sayılı Umumi Hıfzıssıhha Kanunu | ● Saklanmaz |
Antivirüs, Yetki Matrisi, Çerezler Süreçleri | 2 yıl | 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İşletme Hesabı/Yevmiye Defter, Mutabakat Gönderme/Yanıtlama, “Kıdem/Tazminat ve Hacizli Maaşlar Ödeme, “DERBİS Başvurusu, Beyanname, Bildirimler, Üye İşlemleri”,Dernek Beyanname, Üye Aidatları, Tahsilat/Tediye Makbuzları, Ödemesi Yapılacak Faturalar ve E-posta, Ödeme Nakit ve Havale/EFT ile, Süreçleri | 5 yıl | 213 sayılı Vergi Usul Kanunu, 4857 Sayılı İş Kanunu, 5253 sayılı Dernekler Kanunu, 5411 sayılı Bankacılık Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Banka Hesaplarının İşlenmesi, Beyannamelerin Verilmesi,Gelen Basılı Fatura/Fiş ve E-Fatura, Resmi Kurum Denetleme/Evrak Talebi, Çıkış İşlemleri SGK ve Bildirim, Çalışma Belgesi, İbraname,İstifa Eden ve İşten Çıkarılan Personel, Dergi Yayın İzni,Dernek Denetim Kurulu -İç Denetim ve Faaliyet Raporu, Dernek Mali Gelir Gider Tablosu, Dernek Üyelik Talebi, Karar Defteri Noter Onayı, Mail Order ile, “Olağan/Olağanüstü Genel Kurul; Seçim, Sonuç Bildirim, Toplantı Tutanağı ve Üye Listesi”, Ödemeler Karar Defterine İşlenmesi, Resmi Yazışmalar, Şahıs ve Tüzel Üye Bilgi Formu Paylaşımı, Şahıs ve Tüzel Üye Kabulü, Üye Kayıt Defteri, Banka Talimatı, Bankadan Nakit Çekme/Yatırma, Maaş Ödemesi, E-posta Adresi Kapama, Aydınlatma/Açık Rıza, Veri İmha Süreçleri | 11 yıl | 213 sayılı Vergi Usul Kanunu, 3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu, 5187 sayılı Basın Kanunu, 5253 sayılı Dernekler Kanunu, 5411 sayılı Bankacılık Kanunu,5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi, 6698 Kişisel Verilerin Korunması Kanunu,6098 Sayılı Türk Borçlar Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İş Göremezlik Raporu Süreci | 15 yıl | 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Sodexo Kart ve Yükleme, Ücret Hesap Pusulası Süreçleri | Çalışan işten ayrıldıktan sonra 5 yıl | 4857 Sayılı İş Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Hacizli Maaşlar, Aile Durumu Bildirimi, “SGK; Tahakkuk, Giriş ve Bilgi Paylaşımı”,Hacizli Maaşlar Mali Müşavir, Adli Sicil Kaydı,Belirli/Belirsiz Süreli İş Sözleşmesi, Devamsızlık, İhmal/Vukuat, İhtarname, İşe Başlatma, Yatay Bordro, Ücret Hesap Pusulası Süreçleri | Çalışan işten ayrıldıktan sonra 11 yıl | 2004 Sayılı İcra ve İflas Kanunu, 213 sayılı Vergi Usul Kanunu,3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İş Göremezlik Raporu Mali Müşavir, İş Göremezlik Raporu, İş Kazası Bildirimi ve Mali Müşavir, Sağlık Raporu | Çalışan işten ayrıldıktan sonra 15 yıl | 3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Ticari Anlaşmazlık, İş Mahkemesi, Arabuluculuk Süreçleri | Dava kesinleştikten sonra 11 yıl | 2004 Sayılı İcra ve İflas Kanunu, 4857 Sayılı İş Kanunu, 1136 Sayılı Avukatlık Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Mal/Hizmet Alım Sözleşmesi Süreci | Ticari ilişki sona erdikten sonra 11 yıl | 6102 Sayılı Türk Ticaret Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Yetki Belgeleri Süreci | Vekalet süresince | 1136 Sayılı Avukatlık Kanunu, 3568 sayılı SMMM ve YMM Kanunu, 6102 Sayılı Türk Ticaret Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Dernek Kuruluş, Dernek Tüzüğü, Dernek Yönetim Kurulu Süreçleri | Dernek var olduğu sürece | 5253 sayılı Dernekler Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Loglama Süreci | Eski verinin üzerine yenisi yazılır | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi | ● Eski verinin üzerine yenisi yazılır ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Bilgisayar Periyodik Bakımları, Firewall Güvenlik Ayarları ve Yazılımsal Arıza, Referans Araştırması, Uzak Masaüstü Bağlantısı, Yetki Matrisi E-posta | 2 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Dernek Alındı Makbuzu Basımı, Dernek Bilgilendirme Mailing, Fiyat Araştırması ve E-posta, İş Başvurusu, Kasa Hesabı, Mutabakat Gönderme/Yanıtlama E-posta,Ödemesi Yapılacak Faturalar ve E-posta, Teklif ve Sözleşmeler ve E-posta, İş Görüşmesi Onaylanan Süreçleri | 5 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Aydınlatma/Açık Rıza E-posta, Banka Hesaplarının İşlenmesi E-posta, Bilgilendirme ve Talep Alımı ve E-posta, Çıkış İşlemleri SGK ve Bildirim E-posta, Dernek Üyelik Talebi ve E-posta, Eğitim Kayıt ve Kaydı, İbraname E-posta, Konuşmacı CV Talebi ve E-posta, Maaş Ödemesi E-posta, Mail Order E-posta, Moderatör ile Konuşmacı CV Paylaşımı ve E-posta, Online Eğitim ve Link Paylaşımı, Online Sempozyum Kaydı, Online ve Matbu Dergi Yayını, Sempozyum Bildiri Sistemi, Sempozyum Kaydı,Sempozyum/Eğitim/Webinar,SGK Giriş ve Bilgi Paylaşımı E-posta, Toplantı Ses Kaydı, TÜYAK Kuruluşları İletişim, Ücret Hesap Pusulası E-posta, Üyelikten Çıkarma ve Ödenmemiş Aidat Talebi, Webinar Duyuruları ve E-posta, Webinar Kaydı ve Link Paylaşımı, Yüz yüze Eğitim Kaydı ve Konuşmacı CV Talebi, Online Eğitim Kaydı Süreçleri | 11 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
E-posta Açma Süreci | Çalışan işten ayrıldıktan sonra 1 hafta | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Hacizli Maaşlar Mali Müşavir E-posta, Yatay Bordro, Ücret Hesap E-posta, SGK Giriş E-posta Süreçleri | Çalışan işten ayrıldıktan sonra 11 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İş Göremezlik Raporu Mali E-posta Süreci | Çalışan işten ayrıldıktan sonra 15 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İş Mahkemesi E-posta, Ticari Anlaşmazlık E-posta Süreçleri | Dava kesinleştikten sonra 11 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Mal/Hizmet Alım Sözleşmesi E-posta Süreci | Ticari ilişki sona erdikten sonra 11 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Kartvizit Paylaşımı, Alan Adı Yönetimi Süreçleri | Ticari ilişki süresince | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve yok etme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Yetki Belgeleri E-posta Süreci | Vekalet süresince | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Online Eğitim Kaydı Sosyal Medya, Sempozyum Kaydı Sosyal Medya, Sosyal Medya Yönetimi, Webinar Kaydı Sosyal Medya Süreçleri | Hesap kullanıldığı paylaşım silinmediği sürece | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Mailing Liste Gönderimi Süreci | Açık rıza süresince | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
E-posta Periyodik Yedek Süreci | 3 ay | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Eski verinin üzerine yenisi yazılır ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Uygulamalar ve Yazıcı Kurulumu Süreci | Eski verinin üzerine yenisi yazılır | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Eski verinin üzerine yenisi yazılır ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Çerezler Süreci | Oturum süresince, 1 gün, 2 yıl | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Kullanıcının kendi cihazındadır. |
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.
- Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
- Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
- Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hale getirilmesi gerekir.
18. KİŞİSEL VERİLERİN KORUNMASI- İDARİ VE TEKNİK TEDBİRLER
Veri sorumlusu sıfatıyla Dernek tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.
Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hata ile veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır.
İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları aşağıdaki gibi kategorize edilmiştir:
18.1. Riskler:
- Bilgi sistemlerine yönelik riskler:
Sistem, sunucu, uygulama, web platformu, dış-iç network, ses, kamera, yazıcı, tarayıcı, kişisel bilgisayar, cep telefonu, tablet, veri depolama üniteleri ve veri merkezi gibi tüm bilgi sistemleri varlıklarına/unsurlarına yönelik riskler.
- Bina, ofis, oda ve hizmet gerçekleştirme ortamlarına yönelik riskler:
Hizmetlerin sunulduğu ve iş süreçlerinin gerçekleştirilerek kişisel verilerin işlendiği fiziksel ortamlara yönelik riskler.
- Arşiv ortamlarına yönelik riskler:
Bilgilerin fiziksel dokümanlarda saklandığı ortamlara ve verinin bu ortamlara/ortamlardan olan transfer süreçlerinin güvenliğine yönelik riskler.
- İş süreçlerinin işleyişine yönelik riskler:
Süreçlerin işletilmesinde erişim, yetki ve iş kurallarına yönelik riskler.
- Personele yönelik riskler:
Hizmet gerçekleştiren ve veri işleyen tüm personele ilişkin görev, yetki ve yetkinliğe yönelik veri güvenliği riskleri. KVK Kanunu hakkında bilgi eksikliği nedeni ile oluşabilecek riskler.
- Tedarikçi ve sağlanan girdilere yönelik riskler:
Tedarikçiler ve bunlardan sağlanan ürün ve hizmetlere yönelik veri güvenliği riskleri. KVK Kanunu hakkında bilgi eksikliği nedeni ile oluşabilecek riskler.
- Ürün ve Hizmet alan kişilerin verilerine yönelik riskler:
Ürün ve hizmet alan kişilerden alınan verilere ilişkin veri güvenliği hizmetleri.
- Ziyaretçi verilerine yönelik riskler:
Kanunen ve fiziki güvenliğimiz için ziyaretçilerden alınan verilere ilişkin veri güvenliği hizmetleri.
Dernek tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan idari tedbirler aşağıdaki gibidir:
18.2. İdari Tedbirler
- Personel farkındalık ve yetkinliğine yönelik tedbirler:
- Belirli (senede 2 uygun mudur) periyotlarda eğitim ve farkındalık çalışmaları yapılmaktadır. Sınav ile desteklenmektedir.
- Sınavda başarı sağlayamayan kişiler, başarısız oldukları bölümlerle ilgili olarak tekrar eğitime alınır ve başarı sınav ile belgelenmektedir.
- İşe yeni başlayan personeller mutlaka iş başı yapmadan önce KVKK eğitimi almaktadırlar.
- Özel Nitelikli kişisel Veri işleyen çalışan eğitimlerde %90 üzeri başarı elde etmeden çalışmaya başlamamaktadır.
- Kurum içi Kişisel Verileri Korunması için el kitapçığı elektronik ve basılı olarak dağıtılmaktadır. Güncelliği takip edilmektedir.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Kişisel veri işleme envanteri (Veri Haritası):
Kişisel verilerin işleme envanteri hazırlanmıştır. Senede 2 defa kalite departmanı tarafından denetlenmektedir. Yeni bir sürece başlanacak ise sürece başlanmadan önce envantere işlenir. Veri ve Mahremiyet etki, Etki değeri, Risk analizi ve Risk değerine göre gerekli önlemler alınmaktadır.
18.3. Kurumsal Politikalar:
- Sözleşmeler:
Veri sorumluları arasında ve Veri sorumlusu ile Veri işleyen arasında KVKK kapsamında hak sorumlulukları tanımlayan sözleşmeler yapılmaktadır.
- Gizlilik Sözleşmesi:
Veri aktarılan taraflarla gizlilik sözleşmesi imzalanmaktadır.
- İç / Dış Denetim:
Kurum içi Periyodik ve/veya Rastgele Denetimler yapılmaktadır.
- VED, MED, Risk Analizi:
Veri Etki değerlendirme, Mahremiyet etki değerlendirme ve Risk Analizleri yapılmıştır. Bu analizlere uygun gerekli teknik ve idari tedbirler alınmıştır. Yeni bir sürece başlamadan önce Veri Etki değerlendirme, Mahremiyet etki değerlendirme ve Risk Analizleri yapılacaktır. Bu analizlere uygun gerekli teknik ve idari tedbirler alınacaktır.
- Kurumsal İletişim:
Veri ihlal durumlarında Kurul ve ilgili kişi bilgilendirilecek, Veri Sahibinin taleplerinde ise veri sahibine karşı sorumluluklarımızın yerine getirilecektir. Kriz ve itibar yönetimi uygulanmaktadır.
- Aydınlatma:
Kişisel verilerin işlemeden önce veya ilk fırsatta Veri Sahibine karşı aydınlatma yükümlülüğü yerine getirilmektedir. Web sayfası, Çağrı merkezi, E-posta, Fiziksel mekanlarımızdaki bilgilendirme yazıları/görselleri ve benzeri metotlar (lütfen belirtin) kullanılmaktadır. Görme engelli Veri Sahiplerinin aydınlatılma yükümlülüğünün yerine getirilmesi için gerekli işlemler yapılmaktadır.
- Açık Rıza:
Veri işlemek için Hukuksal bir sebep olmadığı durumlarda Açık Rıza alınmaktadır ve açık rıza sonrası Kişisel Veri işlenmektedir.
- Kişisel Verilerin Azaltılması:
Kişisel veriler mümkün olduğunca azaltılmaktadır. Bu konuda senede 1 defa çalışma yapılmaktadır. Bu çalışmalarda VED ve MED ile RİSK Analizleri göz önünde bulundurulmaktadır.
- Politika Yayınlama ve Güncelleme:
Politikada politikanın yürürlüğe girdiği tarih belirtilmiştir. Politika güncellendiğinde, yürürlüğe girdiği tarih belirtilir ve eski politikaya hangi tarihler arasında geçerli olduğu bilgisi eklenerek arşive alınır.
- Bilgilendirmeye ve Güncelliğe Yönelik Tedbirler:
Kişisel veri işleme faaliyeti ve amacı değiştiğinde, veri işleme faaliyetinden önce süreç veri haritasına işlenir, risk değerlendirmesi yapılır, olası riskler hesaplanıp riski azaltıcı önlemler belirlenir, teknik ve idari tedbirler güncellenerek devreye alınır, politikaya işlenir bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmektedir.
Veri sahibinin iletişim bilgilerinin güncelliği, veri sahibinin iletişim için izin verdiği kanallardan senede bir kere kontrol edilir, güncel olmayan bilgiler güncellenmektedir. Bu işlemlerin yapıldığı ispat yükümlülüğü için kayıt altına alınıp saklanmaktadır.
- Kurum İçi Denetlemeler:
- Her ay tüm basılı evrak bulunan mekanlar, imha işlemleri ve evrakların transferleri en az iki kişi tarafından denetlenmektedir. Kişisel ve Özel nitelikli verilerin uygun koşullarda işlendiği, uygun güvenlik önlemleri ile transfer edildiği ve uygun güvenlik önlemleri ile imha edildiği kontrol edilmektedir. Bulgular yönetime raporlanmaktadır. Eksikler en kısa sürede tamamlanmaktadır. Eksiklerin veya uygunsuzlukların gözlemlendiği departman çalışanlarına eğitimler verilmektedir. Kötü niyetli hareketlerde disiplin cezası uygulanmaktadır.
- Her hafta tüm elektronik bilgi bulunan mekanlar ve cihazlar en az iki kişi tarafından denetlenmektedir. Veri işleme ile ilgili tüm aşamalar denetlenmektedir. Bulgular yönetime raporlanmaktadır. Eksikler en kısa sürede tamamlanmaktadır. Eksiklerin veya uygunsuzlukların gözlemlendiği departman çalışanlarına eğitimler verilmektedir. Kötü niyetli hareketlerde disiplin cezası uygulanmaktadır.
- Her yıl bir defa veri envanteri denetlenmektedir. Eksikler varsa giderilmektedir. Politika, aydınlatma ve açık rıza metinleri ve Verbis kaydı buna uygun olarak güncellenmektedir.
- Senede en az 2 defa zafiyet testi yapılmaktadır.
- Kişisel veri işlenmesi ile ilgili SIEM veya Alarm Özellikli Log sunucusuna özel kurallar yazılmaktadır. Yetkisiz girişlerde alarmlar oluşturulmakta ve ivedilikle kontrol edilmektedir. Gerektiğinde hangi verilere kimlerin eriştiği loglardan kontrol edilebilmektedir. Tüm cihazların yetkisiz giriş alarmları mümkün olan en kısa sürede (10 dakika önerilir) kontrol edilmekte ve gerekli önlemler alınmaktadır.
- Yeni bir sürece başlanacağı veya mevcut süreçte bir değişiklik yapılacağı zaman, mutlaka öncesinde kalite departmanı (sorumlu departmanı lütfen belirtin) süreci dokümante etmektedir. KVKK açısından VED ve MED göz önünde bulundurularak RISK Analizi ile süreç analiz edilmektedir. Bu analize uygun gerekli süreç güncellemeleri ile teknik ve idari tedbirlerin uygulanmasından sonra süreci işletecek kişilere eğitimler verilmektedir. Uyulup uyulmadığı denetlenmektedir.
- Kurum Dışı Denetlemeler:
- Senede bir defa basılı dokümanların bulunduğu ortamlarda denetleme yapılmaktadır.
- Senede bir defa zafiyet testi yapılmaktadır.
- Senede bir defa sızma testi yapılmaktadır.
- Senede bir defa teknik ve idari tedbirler denetlenmektedir.
- Senede bir defa yetki matrisleri denetlenmektedir.
- Senede bir defa ilgili kişi talebi, KVK Kurumu talebi, Veri Sızıntısı durumu tatbikatı yapılmaktadır.
- Senede bir defa, önceden haber verilmeksizin tüm personel denetlenmektedir.
18.4. Departman Arşivleri, Departman İçi Çalışma Ortamları ve Departman Dolaplarının Güvenliği:
- Kişisel veri ve özel nitelikli veri içeren elektronik ortam veya basılı evrakların bulunduğu departman dolapları kilit altında tutulmaktadır. Kilit anahtarı sadece veriye erişme yetkisi olan kişilerin erişebileceği yerde saklanmaktadır. Yetki matrisinde belirtilmektedir. Yetkiler özel izinlere tabidir.
- Özel Nitelikli Kişisel Veri içeren elektronik ortam veya basılı evraklar özel nitelikli veri içerdiğini belli eden dosya / klasör veya kutular içerisinde saklanmaktadır. Üzerlerine gizlilik derecesini belirten kaşe veya damga kullanılmaktadır.
- Özel Nitelikli Kişisel Veri içeren elektronik ortam veya basılı evrakların bulunduğu dolapların güvenliği için ek tedbirler alınmaktadır. Kilitli çelik dolapta tutulmakta ve anahtarla açılmaktadır. Farklı odalarda / dolaplarda bulundurularak departmandaki herkesin erişimi engellenmektedir, harekete duyarlı kamera ile dolaplara erişimler izlenmekte ve daha uzun süre bu kayıtlar saklanabilmektedir.
- Kişisel veriler, içeren elektronik ortam veya basılı evrakların departman içerisinde herkesin kolayca erişebileceği şekilde bulundurulmamaktadır. En kısa sürede kilit altına alınmaktadır.
- Departmanlardaki basılı evrakların imhası kâğıt öğütme makinaları ile yapılmaktadır.
- Departman çalışanları masalarının çekmecelerinde kişisel veri içeren basılı veya elektronik ortam bulunduruyorlarsa kilit altında tutmaktadırlar.
- Departmanlara ait her türlü elektronik ortam imhasında veriler kalıcı ve geri kurtarılamaz şekilde silinmektedir.(Bu işlem yapılamıyorsa ortam türüne göre,) Yakma, manyetik veri silme (veya bu iş için teknik altyapı müsait değilse dış kaynak kullanımı) ile yapılmaktadır.
- Departman arşivleri ortak kullanımda değildir. Her departman yetkilisi sadece kendi departmanına ait arşive girebilmektedir. Arşivlerde harekete duyarlı kamera bulunmakta ve en az 10 yıl boyunca kayıtlar saklanmaktadır. Kameraların açısı evraklarla iletişim içerisinde olan kişinin yaptıklarını görecek şekilde ayarlanmıştır. Departman arşivlerine girişler özel izinlere tabidir ve yetki matrisinde belirtilmiştir. Gerekmedikçe bir kişinin tek başına departman arşivine girmesine izin verilmemektedir.
- Yangın, sel, iklim değişiklikleri, rutubet, zararlı haşerelere ve kemirgenlere, voltaj kesintileri/dalgalanmalarına ve yetkisiz girişlere karşı önlemler alınmaktadır.
- Arşiv odaları çelik kapılıdır.
- Arşiv odaları yanmaz boya ile boyanmıştır.
18.5. Özel Nitelikli Veri Transferleri ve Saklama:
- Özel nitelikli kişisel verilerin elektronik ortamda transferleri kriptolanarak yapılmaktadır. Kripto anahtarı farklı ortamdadır. Böylelikle ikisinin de aynı anda ele geçme riskine karşı önlem alınmaktadır.
- Özel nitelikli kişisel veriler elektronik posta ile gönderilecekse şifreli olarak, kurumsal elektronik posta veya KEP ile yapılmaktadır.
- Sunucular üzeri haberleşmelerde ağ güvenliği için ek tedbirler alınmaktadır. Şifreli ortamlarda veri alışverişi yapılmaktadır. SSL VPN, IPSEC VPN, SFTP, HTTPS vb. gibi.
- Veriler basılı evrak veya dosya ile transfer ediliyorsa çok gizli ibaresi ile transfer edilmektedir. Gerekli fiziksel önlemler alınmaktadır.
- Özel nitelikli kişisel veriler başka kurumlara iletileceği zaman bilgilendirme ve gizlilik sözleşmesi yapılmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu (basılı veya elektronik) ortamlar kilitlidir. Kilit anahtarına erişim sadece yetkili kişilerde bulunmaktadır. Erişim yetkileri yetki matrisinde belirtilmektedir ve erişim izinleri özel izne tabidir. Kamera ile izlenmektedir.
- Özel nitelikli kişisel verilerin bulunduğu basılı dokümanların veya klasörlerin üzerinde gizlilik derecesini belli eden ibareler bulunmaktadır.
- Özel nitelikli kişisel verileri içeren elektronik dokümanlar sınıflandırılmakta ve gizlilik derecesini belirten bir TAG’lama (etiketleme) (hassasiyete göre sınıflandırmış) ile saklanmaktadır.
- Özel nitelikli kişisel veri içeren bilgilerin bulunduğu odaların kapıları çelik ve kilitlidir. Kamera ile izlenmektedir.
- Özel nitelikli kişisel veri içeren dolapların üzerinde gerekli uyarı yer almaktadır. Dolaplar çelik ve kilit altındadır. Kamera ile izlenmektedir.
18.6. Basılı Veri Sınıflandırmaya Yönelik Tedbirler:
- Kişisel veri içeren belgeler (basılı evrak, notlar, elektronik postalar, fakslar ve benzeri) ve dosyalar üzerinde bunu belirten ibareler ile korunarak saklanmaktadır.
- Özel nitelikli kişisel veriler içeren belgeler (basılı evrak, notlar, fakslar ve benzeri) ve dosyalar üzerinde bunu belirten ve dikkat çekecek ibareler bulunmaktadır.
- Ek olarak eğer bir kişi bu bilgileri içeren bir belgeyi yanlışlıkla elde etmiş ise, belge üzerinde okumaması ve derhal imha etmesi gerektiği belirtilmektedir.
- Özel nitelikli Kişisel verileri barındıran saklama dolapları üzerine gerekli uyarılar asılmıştır.
18.7. Kamera Verilerinin İşlenmesine Yönelik İdari Tedbirler:
- Kameralara erişimler özel izne tabidir ve yetki matrisine işlenmektedir.
- Savcılık kararı olmadan kimse ile paylaşılmamaktadır.
18.8. Yazıcı ve Tarayıcılara Yönelik Tedbirler:
- Kişisel verilerin yetkisiz kişilerin eline geçmemesi için ortak alan yazıcılarına özellikle ÖNKV içeren dosyalar gönderilmemektedir. Gönderilmesi gerekiyorsa ek tedbirler alınmaktadır.
- Özel nitelikli kişisel veriler için departman ve/veya kişisel yazıcı/tarayıcı kullanılmaktadır.
Teknik Altyapı İle İlgili Tedbirler:
18.9. İnternet ve Özel Devre Sağlayıcıya Yönelik İdari Tedbirler:
- İnternet ve özel devre ekipmanlarına (switch, router, radyo üzerinden ağ iletişimi sağlayan cihazlar vb.) erişim izinleri hizmet sağlayıcıların sorumluluğundadır ve erişim kayıtları hizmet sağlayıcılar tarafından zaman damgası ile imzalı olarak loglanmakta ve saklanmaktadır.
- Erişim izinleri sorumluluğu Dernek’de olan xdsl vb. cihazların erişim kayıtları imzalı olarak loglanmakta ve saklanmaktadır.
- İnternet sağlayıcı/sağlayıcılarla KVKK teknik ve idari şartlarını karşılayacak şekilde gizlilik sözleşmeleri imzalanmaktadır.
Dernek tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan teknik tedbirler aşağıdaki gibidir:
- Güvenlik tedbirleri misafir ağı için değildir.
18.10. Log/Siem Sistemine Yönelik Tedbirler:
- Hangi kullanıcının, ne zaman, hangi kaynaktan, hangi hedefe eriştiğinin bilgisi log içerisinde bulunmaktadır. Başarılı ve başarısız girişimleri içermektedir.
- Erişilen hedefte yapılan işlemlerin detayları log kaydını gönderen sistemin yetenekleriyle sınırlı olarak mümkün olduğunca detaylı ve eksiksizdir.
- Yönetici Makinaları tüm olayları log sunucusuna log olarak göndermektedir.
- Kullanıcılar ve yöneticiler bu olay kayıtlarına müdahale edememektedir.
- Loglar, log sunucusuna şifreli olarak transfer edilmektedir.
- Logların farklı sunucu üzerinde yedeği bulunmaktadır. Yedek, aktif log sunusundan farklı bir ağda ve farklı bir makina üzerinde bulunmaktadır. Farklı lokasyonda tutulmaktadır. Hizmet sağlayıcıların sorumluluğunda olan sistemlerin logları hizmet sağlayıcıların sorumluluğunda olduğu için yedekleme politikaları da hizmet sağlayıcılar tarafından belirlenmektedir.
- Loglar en fazla 25 saat içerisinde hashlenmekte veya zaman damgası ile imzalanmaktadır.
- Loglar içerisinde arama yapılabilmektedir.
- Loglar 2 yıl boyunca saklanmaktadır.
- Gelen loglar için korelasyon kuralları uygulanmaktadır ve olası güvenlik ihlallerine veya tehditlerine karşı kuruma özel uyarı mekanizmaları geliştirilmiştir. Uyarılar E-posta ile ilgili kişilere hızlıca iletilmekte ve 7/24 takip
- Alarmların kritiklik seviyesi belirlenmektedir. Uyarıların da kritiklik seviyesi belirlenmektedir. Mesajlar özelleştirilmektedir.
- Log sunucusu farklı tip alarmları farklı kullanıcılara iletmektedir.
- Bilgi işlem departmanından en az 2 kişiye alarmlar E-posta ile ulaşmaktadır. (Bilgi işlem personelinin mesai dışında olduğu zamanlarda alarmlar mesaisi devam eden bir departmana ulaşır.) Bu departmanlara alarm seviyelerinin önemini ve bu durumda ne yapılacağının eğitimi ve talimat dokümanları verilmektedir. Talimat dokümanları yazılı ve görsel olarak hazırlanmıştır. Eğitimler ve tatbikatlar her sene yapılmaktadır. İşe başlayan yeni personel 1 hafta içinde eğitilmektedir ve tatbikata katılmaktadır. Mevcut prosedürler değiştiğinde dokümanlar ve tatbikat aynı gün yenilenmektedir.
- Birinci seviye kritik alarmlarda 24 saat boyunca aşağıdaki kişilere telefon üzerinden ulaşmaktadır. Bu kişilere ulaşılamadığında en geç 5 dakika içerisinde …………………. ve …………… sistem odasına giderek tatbikata uygun olarak kırmızı renkli data kablolarını söker ve sızma tehdidini engelleyici faaliyette bulunurlar.
Departman | Ad Soyad | Telefon | Ulaşmayı deneme süresi |
Bilgi İşlem |
|
| 5 dakika |
|
|
| 5 dakika |
|
|
| 5 dakika |
- Ayrıca tüm loglar 7 gün 24 saat, siber olaylara müdahale ekibi tarafından da izlenmektedir.
18.11. Kimlik, Hesap, Parola-Şifre Yönetime ve Erişimlerin Kaydına Yönelik Tedbirler:
- Tüm erişimler 18.11. nolu Teknik tedbir olan “Log/Siem Sistemine Yönelik Tedbirlere” uygun olarak loglanmaktadır.
- Personel veya Danışmanlara ait hesaplar iş anlaşması son bulduğunda derhal silinmektedir ve yetki matrisine işlenmektedir. Müşteri hesabı devre dışı bırakmayı tercih ediyorsa şifresini değiştirip hesabı pasif konuma alır ve tüm verilere erişim izinleri kaldırılır. Ayrıca hesapta yönetici hakkı varsa bu haklar alınır. Yetki matrisinde belirtilir.
- Hesap adı ve Şifreler en az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Azami 90 günde bir değiştirilmektedir. Doğum tarihi ve ardışık rakamların kullanılması engellenmektedir.
- Ayrıcalıklı haklara sahip kullanıcıların erişimleri yazılımlar (Centrify, Cyberark, Password Manager, Keepass vb. leri) ile yapılmaktadır. Bu yazılımlar için kullanılacak veri tabanı makina üzerindedir ve asgari AES-256 bit (Advanced Encryption Standard: Gelişmiş Şifreleme Standardı) ile şifrelenmektedir. Parolalar en az 12 karakterdir ve OTP kullanılmaktadır.
- Hassas yetkilere sahip hesapların ve/veya hassas sistemlere erişimlerin logları için alarmlar oluşturulmaktadır. SİEM kullanılmaktadır. Her durumda bu erişimler için kaynak ve hedef bazlı değişik senaryolar için alarmlar oluşturulmaktadır. Alarmlar saldırı tespit ve engelleme sistemini veya NAC (Network Access Control: Ağ Erişim Kontrolü) cihazını gerektiğinde olası bir saldırıyı engelleyecek şekilde uyarabilmektedir.
- Kullanıcıların ve otomatik kayıtlı hesapların, cihazlara erişim için kullandıkları hesaplar sadece ihtiyaca ve verilmiş yetkilere uygun haklara sahiptir. Yetkiler yetki matrisinde belirtilmekte ve onay mekanizmasından geçmektedir.
- Her cihazda parola koruması bulunmaktadır. Kabul edilen güvenli parola politikaları uygulanmaktadır (En az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Parolalar en fazla 90 günde bir değiştirilir ve son 3 parola ile aynı olamaz. Hesap ismi, doğum tarihi ve ardışık sayılar içeremez. (Ayrıca neleri içermeyeceği de belirtilmelidir.)
- Kullanıcılar bilgisayarlarından uzaklaştıklarında ekranlarını kilitlemeleri konusunda uyarılmaktadır ve cihazlar parola ile korunmaktadır. Kullanıcılar parolalarını kimseyle paylaşmamaları konusunda uyarılmaktadır.
- Unutma durumları için 3 dakika boyunca klavye ve mouse aktivitesi olmayan bilgisayarlar otomatik olarak ekranı kilitlemektedir. Kilit parola ile açılmaktadır.
- Kritik sistemlere artarda 3 kere başarısız hesap erişimi denemesi olursa en az 10 dakika boyunca erişim engellenmektedir. Alarm sistemi ile yöneticilere E-posta yolu ile haber verilmektedir.
- Personel ve danışmanların görev ve yetkilerinde değişiklik olduğunda erişim yetkileri yetki matrisine göre güncellenmektedir.
- Her 3 ayda bir tüm cihazlarda kullanıcı yetkilerinin yetki matrisine uygun olup olmadığı denetlenmektedir, uygunsuzluklar giderilmektedir. Raporlar saklanmaktadır.
18.12. İnternet ve Özel Devrelere ve Hatlar İçin Gerekli Olan Cihazların Yönelik Teknik Tedbirler:
- İnternet ağları (switch, router, xdsl veya gsm modem, radyo frekansı üzerinden ağ iletişimi sağlayan cihazlar vb.) güvenlik duvarına farklı bir zone (bölge, ağ) olarak tanımlanmaktadır ve bu ağlardan yerel ağlara erişimler güvenlik duvarı tarafından denetlenmektedir ve izin verilenlerin dışındaki tüm ağ iletişimi engellenmektedir.
- MPLS- VPN (IPSEC-Tunnel Interface) Ağları (switch, router, güvenlik duvarı, VPN Gateway, xdsl veya gsm modem, radyo üzerinden ağ iletişimi sağlayan cihazlar vb.) güvenlik duvarına farklı bir zone (bölge) olarak tanımlanmaktadır. Bu ağlar üzerinden yerel ağlar arası erişimler güvenlik duvarı tarafından denetlenmektedir ve izin verilen kaynak ağa ip adresi veya ip adres aralığı veya ip adresi grubu veya kullanıcı kimliği ile kullanılacak hedef port veya port grubu denetlemesi ve izin verilen hedef ağa; ip adresi veya ip adres aralığı veya ip adresi grubu ile haberleşmede kullanılacak kaynak port bazında kısıtlama yapılmaktadır bunun dışındaki tüm ağ iletişimi engellenmektedir.
- Yönetimi Dernek sorumluluğunda olan Mpls router, switch, router, xdsl veya gsm modem, radyo üzerinden ağ iletişimi sağlayan cihazlar 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur. Dernek sorumluluğunda olmayan cihazların yöneticileri ile 18.11. ve 18.12. numaralı teknik tedbirlere uygun sözleşme yapılmaktadır.
- Dernek kontrolünde olan cihazlara erişimler internet üzerinden direkt olarak yapılmamaktadır. İnternet üzerinden gelecek bağlantılar SSL VPN ile sağlanmaktadır. OTP kullanılmaktadır. Bunun dışında Adminler bu cihazlara yerel ağ üzerinden ayrı bir yönetim ağından erişmektedirler. Girişler Loglama yazılımı tarafından kontrol edilmektedir. Başarısız erişimler için alarm oluşturulmaktadır.
- Bu cihazların yönetimi için yapılacak bağlantılar şifreli türde yapılmaktadır. (HTTPS/SSH gibi).
- Yönetim için bilinen ön tanımlı portların değiştirilmektedir. (Örneğin HTTPS için 443 yerine 12443 gibi)
18.13. Firewall (Güvenlik Duvarı) Yönetimine Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
- Web ve Uygulama Filtreleme, Antivirüs- Malware, Anti Spyware, Botnet Filter, IDS/IPS (saldırı tespit ve engelleme), ATP (gelişmiş tehdit engelleme sistemi), DoS korumaları aktif olarak çalışmaktadır. Bu hizmetlerin bazılarının başka ürünler tarafından yerine getirildiği durumlar haricinde Firewall üzerinde bu güvenlik lisansları bulunur ve özellikler aktiftir. Kullanıcılara ve cihazlara atanan güvenlik politikaları yetki matrisinde belirtilmektedir ve mekanizmasından geçmektedir. Sadece Misafir ve IP üzerinden ses taşıyan ağlara 5651 yasasına uymak kaydı ile ayrıcalık tanımlanabilmektedir. Misafir ağları hariç Geo-IP filter çalıştırılmaktadır.
- Ses paketlerinde sorun yaşanması durumunda, sadece bu protokoller veya sadece ses ağı için antivirüs, şifreli trafiğin analizi ve saldırı tespit ve engelleme, DOS, spyware ve botnet filter sistemleri devre dışı bırakılabilmektedir. Ses ağının sadece haberleşeceği internet ip adresleri ile ve ihtiyaç duyacağı portlar vasıtası ile haberleşmesine izin verilmektedir. Ayrıca risk analizi yapılmakta ve onay mekanizması bulunmaktadır. Riskleri azaltıcı tedbirler alınmaktadır.
- Firewall, misafir ve ses trafiği olan ağlar hariç tüm yerel ağlarda gelen ve giden trafikte antivirüs kontrolü yapmaktadır. Tüm portlar, web, dosya transferi, video transferi, ses ve video dosyaları antivirüs kontrolünden geçirilmektedir. Şifreli trafiğin de analizi yapılmaktadır. Sadece finans kategorisinde bu kontrol yapılmamaktadır.
- (Bir proxy sunucusu yoksa) Firewall tüm ağ haberleşme tiplerinde, protokollerinde, web ve uygulama kategorilerinde yetkilendirme ve yasaklama yapmakta, internet üzerinden yerel ağlara, yerel ağlardan internet yönüne (misafir ağı hariç) istenmeyen dosya tiplerinin transferini engellemektedir.
- Firewall HTTP, FTP, SMTP, POP3, IMAP, NETBIOS, TCP Streaming trafiğine ve bunların şifreli olanlarına da dosya büyüklüğünden bağımsız virüs taraması yapmaktadır.
- Sıfırıncı gün saldırılarına karşı sandbox teknolojisi ile internet üzerinden gelen çalıştırılabilir kodlar son kullanıcı makinasına gelmeden önce test edilip test sonucunda istenmeyen bir durum varsa veri son kullanıcıya iletilmemektedir.
- Birden fazla antivirüs veri tabanı kullanılmaktadır.
- Misafir ağı hariç yerel tüm ağlarda kullanıcıların yetkilerine ve kendilerine tanınmış haklara uygun portlardan çıkışı sağlanmaktadır. Kullanıcılara tanınmış haklara uygun olarak kullanamayacakları uygulama ve web kategorilerine erişimleri engellenmektedir.
- Yönetici makinalarına erişimler korumalı ve herkesin giremediği yerel ağlardan şifreli yapılmaktadır (HTTPS gibi). Yönetici makinalarına erişimler yetki matrisinde belirtilmektedir ve özel izinlere tabidir. Erişim yetkileri sadece yapılması gerekli iş ile sınırlı ve ölçülü verilmektedir.
- Yönetici makinalarının yönetimi herkese açık ağlardan (internet, misafir ağı vb. gibi) yapılamamaktadır. Cihazlar bu ağlardan yönetime kapalıdır. Cihazları yönetebilmek için SSL VPN ve OTP kullanılmaktadır.
- Yönetim için cihazların bilinen ön tanımlı portların değiştirilmektedir.
- Başarılı ve başarısız erişim kayıtları log sunucusuna gönderilir, başarısız ve risk ihtimali olan erişimler için alarmlar oluşturulmaktadır.
- Yerel ağlar üzerinden cihaz yönetimi misafir ağlarına kapalıdır. Sunucu veya kullanıcılardan izole ağlar üzerinden Cihazlara erişim sağlanmaktadır. Personel ağından cihaz yönetiminin açık olması istenilen kullanıcılar varsa bu kullanıcıların mac adres, ip adres veya kimlik doğrulaması kriterlerine göre izinli olması gerekmektedir. İzin için bir onay mekanizması bulunmaktadır ve yetki matrisinde belirtilmektedir.
- Yönetici, cihaz ayarlarında bir değişiklik yapmak için cihaza bağlandığında cihazın yedeğini alıp sonra ayarlarda değişiklik yapmaktadır. Yedek şifreli olarak alınmaktadır.
- Her gün cihazların yedeği otomatik ve şifreli olarak alınmaktadır. Yedekler ayda bir kontrol edilmektedir.
- Cihazların firmware & güvenlik servislerinin güncellemeleri ve diğer güncellemeleri haftada bir kontrol edilmektedir. Cihazlar güncel tutulmaktadır.
- Cihazların arızalanma durumunda yedek cihazla değiştirilmesinin gerektiği durumda izlenecek adımlar dokümante edilmiştir ve senede bir kere tüm cihazlarda test yapılmaktadır. Hata ve eksik varsa dokümantasyonda güncelleme yapılır. Cihazların değişime veya onarıma gönderilmesinden önce içindeki verilerin silinmesi için çalışma yapılmaktadır. Silinemediği durumlarda mutlaka gizlilik sözleşmesi yapılmaktadır.
- İnternet hattı yedeklidir ve hatlardan birisi görevini yerine getiremediğinde cihaz bunu en geç 10 saniye içinde tespit ederek diğer hattı 10 sn. içinde devreye almaktadır. Yedeklilik olan lokasyonlarda senede bir defa test yapılmaktadır.
- Ana internet hattı arızalandığında, yedek hatlar üzerinden veri merkezine vpn bağlantısı otomatik olarak 3 dakika içinde devreye girmektedir. Senede 1 defa test edilmektedir.
18.14. IDS/IPS (Saldırı Tespit ve Engelleme Sistemi)
- IDS/ IPS cihazı bulunmaktadır.
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- İnternet ve/veya yerel ağ kaynaklı kötü niyetli haberleşme, haberleşme talepleri, yazılımları ve istenmeyen kodlar tespit edilmekte, engellenmektedir.
- Gerektiğinde özelleştirme yapılarak tespit veya engelleme kuralları yazılmaktadır. Kötü niyetli haberleşme, haberleşme talepleri, yazılım ve istenmeyen kodlarla ilgili bilgi kütüphanesi otomatik olarak güncellenmektedir.
- Kaynak, hedef, port ve uygulama bazlı tespit ve korumadan muaf tutma olanağı mevcuttur. Gerektiğinde ses trafiği ve benzeri hassas iletişimler, belirli bir kaynaktan gelen ya da belirli bir hedefe giden, belirli portlar için olmak şartı ile bu denetlemelerden muaf tutulmaktadır.
- Misafir ağı dışındaki tüm ağlarda uygulanmaktadır.
- Ses trafiği taşıyan ağlarda IDS servisi haberleşmeyi olumsuz etkilerse ek tedbirler alınarak bu ağ için IDS kapatılmaktadır ve ayrıcalıklar tanınmaktadır. Ses paketleri için yerel ağımızdan gerekli olan hedef internet ip adresi/adresleri yönüne, gerekli portlar ve ilgili protokollere belirlenerek bunlar için ayrıcalık yaratılmaktadır. Sızma testi ile açıklar kontrol edilmekte ve kapatılmaktadır.
- DOS saldırı tipi engellenmektedir.
18.15. Proxy/Web Gateway’ e Yönelik Tedbirler:
- Proxy/web gateway bulunmaktadır.
- 11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Web filtreleme sistemi web sayfalarını kendi veri tabanında kategorilere ayrılmaktadır.
- Uygulama kontrol sistemi uygulamaları tanımaktadır ve kategorilere ayrılmaktadır.
- Kategori bazlı web ve uygulama yasaklama yapılmaktadır. Virüslü veya kötü amaçlı yazılım içerdiği bilinen kategorilerdeki web sayfaları ile saldırı ve ağa sızma riski olan uygulamalar, proxy tünel ve P2P yazılımları misafir ağı hariç engellenmektedir. Misafir ağında da engellenmektedir.
- Uygulama ve filtreleme özelliği ile internet yönüne doğru trafik yapan uygulamalar tespit edilmektedir. Haftada bir kontrol edilmektedir. Analiz sonuçlarına göre politikalar güncellenmektedir.
- Misafir ağı hariç, şifreli internet trafiği incelenmektedir ve bu sayede şifreli web ve uygulamaları analiz edilerek şirket politikalarına uygun engellemeler ve güvenlik kontrolleri yapılmaktadır. Kullanıcıların ve kullanıcı gruplarının izinli olduğu (veya yasaklı) kategoriler yetki matrisinde yer almakta ve buna uygun politikalar çalıştırılmaktadır.
- Kendi veri tabanında virüslü ve/veya kötü niyetli yazılımlar içerdiği tespit edilmiş web sayfaları kategorize edilmiştir. Bu veri tabanı güncellenebilirdir.
- Özelleştirilebilir yasaklı ve izinli kategoriler oluşturulmaktadır.
- Finans ve benzeri kategorileri veya tanımlanan sayfa ve uygulamaların şifreli trafiğine müdahale etmeden izin verilmektedir.
- Tüm kullanıcı trafiği kaydedilmektedir ve Siem sunucusuna log kayıtları gönderilmektedir.
- Cloud ve harici FTP sunucular ve bunların şifreli olanları ile yerel ağlar arasındaki dosya yüklenmesi engellenmektedir.
- İnternet üzerinden çalıştırılabilir dosya indirilmesi yasaklanmaktadır.
- Dosya tipi veya kategorisine göre yasaklama yapılmaktadır. Güncel saldırı tipleri ve metotları takip edilerek riskli dosyaların indirilmesi yasaklanmaktadır.
- Sistem üzerinden geçen trafiğe virüs taraması ve kötü niyetli davranış analizi yapılmaktadır.
18.16. Antivirüs Yazılımına Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Zararlı içerikleri tespit etmek için imza tabanlı tarama ve ilaveten davranış analizi yapılmaktadır.
- Makinalarda kurulu olan yazılımların güncellemeleri otomatik olarak indirilmektedir.
- Antivirüs yazılımının merkezi yönetim ara yüzü yerel sunucuda bulunmaktadır. Merkezi yönetim yazılımı makinadaki antivirüs programını kontrol etmektedir. Makinada virüs ve zararlı yazılım olup olmadığı veya antivirüs yazılımının ve güncellemelerinin durumu izlenmektedir, rapor gönderilmektedir. Merkezi yazılım vasıtası ile makinalarda kurulmuş olan antivirüs yazılımına güncelleme komutu, makinada genel tarama yapma komutu gönderilmektedir ve sonuçları hakkında durum raporu alınmaktadır.
- Dosyaların ve/veya dosya yollarının taramadan muaf tutulabilmesi idari izne tabidir. Yetki Matrisinde belirtilmektedir.
- Antivirüs yazılımı herhangi bir sebepten dolayı devre dışı kalırsa bu durum log ve/veya E-posta vasıtası ile yöneticiye bildirilmektedir.
- Antivirüs yazılımı yönetici yetkisine sahip olmayan kullanıcılar tarafından kolayca devre dışı bırakılamamaktadır.
- Kullanıcılar antivirüs yazılımının ayarlarına müdahale edemezler. Bu hak sadece yöneticilerde bulunmaktadır ve yetki matrisine işlenmektedir.
- Antivirüs yazılımı, kurulu olduğu makinaya harici bir kaynak bağlanırsa (USB, DVD, CD, SD Card, Bluetooth vb.,) bağlanan bu kaynakta virüs olup olmadığını kontrol etmektedir. Virüs ve/veya zararlı bir yazılım bulursa erişime müdahale edip kurulu bulunduğu kaynağı korumaktadır.
- Antivirüs yazılımı önceden belirlenmiş zamanlarda kurulu bulunduğu kaynakta ve kaynağa bağlı olan diğer fiziksel kaynaklarda virüs taraması yapmaktadır. Ayda bir defa tarama yapılmaktadır.
- Antivirüs yazılımı aktif olarak çalışan tüm yazılım ve servisleri virüs ve zararlı davranışlara karşı taranmaktadır.
- Sezgisel olarak bir yazılımın, kodun veya servisin tehlikeli olduğuna karar vermektedir.
- (Makina için bir firewall servisi olması önerilir. Eğer Antivirüs yazılımlarında firewall özelliği yoksa)Makinaların kendi işletim sistemlerine ait firewalllar devrededir.
18.17. Gelişmiş Antivirüs ve/veya DLP veya Alternatif Yazılımına Yönelik Ortak Tedbirler:
- Bu tedbirler; Antivirüs / Gelişmiş Antivirüs veya DLP yazılımları (en az biri) ile sağlanmaktadır. Ayrıca bir alttaki DLP yönetimine yönelik tedbirler başlıklı tedbirler uygulanmaktadır.
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
- Sunucu veya son kullanıcı bilgisayarı üzerinde bulunan ve sakıncalı olduğu düşünülen uygulamaların çalışması engellenmektedir. Sakıncalı yazılımlara ait güncellenen bir veri tabanından bilgi almaktadır. Kullanıcı veya Kullanıcı Gruplarına göre politikalar oluşturularak kullanıcıların makinalarında kullanabilecekleri yazılımlar denetlenmektedir.
- Bu konuda analiz yaparak uygulamaları kategorize eden bir yazılım tercih edilmiştir.
- Bilgisayar ve Sunuculara bağlanacak veya çalışacak harici kaynaklar veya veri aktarımı yapabilecek kaynaklar (USB port, CD, DVD, SD Card, her türlü hafıza kaydı, Wifi cihazı, kablosuz yayın, Bluetooth, Kamera, Harici disk, USB disk, USB bellek, yazıcı, tarayıcı ve benzeri) yönetilmektedir. Kaynaklar ya tamamen yasaklanabilir, gerektiğinde de sadece okuma izni verilebilir olarak yönetilmektedir.
- Bilgisayar ve Sunuculara izin verilecek kaynaklarla ilgili onay mekanizması bulunmaktadır ve yetki matrisinde belirtilmektedir.
- Sabit (sadece kurumsal firewall arkasında çalışmayan, evde, müşteride ya da ofis dışında kullanılan tüm bilgisayarlar) olmayan makinalar için web sayfalarının kategorilerine göre veya özel yaratılmış kategorilere göre riskli web sayfalarına giriş önlenmektedir. Ayrıca riskli olduğu kabul edilen ve çalıştırılabilir dosyaları da engellenmektedir.
- Yazılım herhangi bir sebepten dolayı devre dışı kalırsa mutlaka bu durum log ve/veya E-posta vasıtası ile yöneticiye bildirilmektedir.
- Kullanıcılar yazılımın veya politikanın ayarlarına müdahale edemezler. Bu hak sadece yöneticilerde bulunur ve yetki matrisine işlenmektedir.
- Sunucu veya son kullanıcı bilgisayarı üzerinde çalışan yazılımların listesi çıkarılmaktadır.
18.18. DLP Yönetimine Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
- Yönetim paneline erişim, politikalardaki değişiklikler, yönetilen ürünlerdeki veri iletişimi ile ilgili tüm eylemleri kayıt altına alınmaktadır. Bu kayıtlar değiştirilemez şekilde korunmaktadır. Kayıtlar şifreli olarak log sunucusuna gönderilmektedir.
- Kayıt altına aldığı şüpheli olaylardaki dosya ekleri ve/veya aktarılan tüm veriler dahil iletilen tüm bilgileri olay raporunda gösterilmektedir. Bu kayıt değiştirilmesine olanak tanınmadan saklanmaktadır.
- Elektronik ortamlardaki tüm verilerin (dosya veya yazılı veri) politikalara uygun olarak; iletilmesinin yasaklanmasına, iletiminin riskli olduğuna dair ileten kullanıcıya bir uyarı ile riskin kabul edilerek iletilmesine izin verilmesine veya iletilen verinin hassas (örneğin özel nitelikli kişisel veri) veri olması durumunda işlemin yetkili kişilerin onayı alındıktan sonra gerçekleştirilmektedir.
- Dosya Türleri ve Grupları, Veri Yolu ve/veya veri yolu türü, Cihaz Türü, Cihaz Sürücü Adı ve/veya Cihaz Seri Numarası bazında ek politikalar tanımlanmaktadır.
- İletilmesi istenmeyen veriler sözlük veya regex yardımı ile engellenmektedir. Verinin Algoritması biliniyor ise algoritma ile engellenmektedir.
- Tüm dosya türlerinde, resim dosyaları dahil veri içeriği kontrol edilmektedir ve engellemesi gereken içerikler engellenmektedir.
- Makinalardan yapılacak şifreli ve şifresiz tüm veri akışını bilinen tüm veri aktarım tipleri için yasaklanmaktadır. Bu yasaklar platform, kullanıcı, makinalar, gönderilen veri içeriği, dosya tipi, dosyanın etiketi, dosyanın ismi, hedef veya kaynak bazlı olarak yasaklanmaktadır. Örneğin: tüm giden ve gelen E-posta, web tabanlı E-posta, Web sayfası üzerinden dosya veya veri girişi ile veri aktarımı, Sosyal Medya uygulamaları veya sosyal medya web uygulamaları, cloud dosya paylaşımları, şifreli ve şifresiz tüm HTTP /HTTPS/FTP /STFP/FTPS/SSH ve benzeri bilinen bütün dosya aktarım platformları/protokolleri, dosya paylaşım platformları, tüm cloud tipleri, bilinen tüm USB ve Thunderbolt, kamera, kablosuz yayınlar, bluetooth bağlantılar, kızılötesi bağlantılar, radyo haberleşmesi, yazıcı, sdcard ve tüm benzeri hafıza kartı ve harici disk üniteleri, cd, dvd, bluray, tape, kaset, floppy disk, wireless veya bluetooth depolama üniteleri, CPU tabanlı veri iletişim teknolojilerinde her türlü veri haberleşmesini
- Bu engelleme dosya tipi, dosya konumu, dosya içeriği ve dosya tagına göre yapılmaktadır.
- Hassas (Kişisel verilerin veya Özel nitelikli) verilerin yazdırılması tespit edilmekte veya engellenmektedir.
- Özel nitelikli verilerin yazdırılması veya her türlü bu verinin transfer edilmesi özel izinlere tabidir.
- Transfer edilen dosya veya aktarılan veri içerisinde kaç adet hangi tip kişisel veri olduğu kontrol edilmektedir. Gönderen ve alan kişi, dosya tipi, dosya tagı, verinin sınıfına göre bir seferde aktarılabilecek verilerin adetleri sınırlandırılmaktadır.
- Bu sayede amacına uygun olmayan bir şekilde kişisel verilerin elektronik olarak iletilmesi veya yazdırılması engellenmektedir.
- Yönetim konsolu ile bağlantıyı kaybettiğinde son almış olduğu politikalara göre hareket etmektedir ve olay kayıtlarını hafızasında tutmaktadır. Bağlantı sağlandığında politikaları güncellemektedir ve bağlantı kesik iken oluşmuş olayların kayıtlarını ürünün merkezi yönetim yazılımına göndermektedir. Kullanıcılar log kayıtlarına müdahale edememektedir. Olay kayıtlı şifreli olarak gönderilmektedir.
- Kişisel verilerin (özellikle özel nitelikli kişisel verilerin) aktarımı sırasında aktarılacağı platforma şifreli olarak yazılmaktadır.
- Sunucu veya Son Kullanıcı bilgisayarında bütün portlar ve protokollerde Ağ Bloklama yeteneğine sahiptir.
- Sunucu veya Son Kullanıcı bilgisayarında bütün harici cihaz veri transferini bloklama yeteneğine sahiptir.
- İletilmesi sakıncalı olan verilerin iletilmesi yasaklanmaktadır.
- Giden maillerin, ekindeki orijinal dosya dahil bir kopyasına loglanmaktadır. Riskli verilerin gönderimi öncesinde kullanıcıyı uyarmaktadır ve kullanıcıdan onay istemektedir veya tercihe göre kullanıcı işlemi durdurmaktadır. Her durumda logu alınmakta ve sistem yöneticisine bu E-posta ile bildirilmektedir.
18.19. Veri Analiz/Keşif yönelik tedbirler:
- Bu özellikler DLP yazılımının içinde de bulunmaktadır.
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Bilgisayar ve Sunuculara ve dosya paylaşım alanlarındaki verileri (resim dosyaları dahil) analiz ederek (şifre korumalılar hariç) içinde kişisel veri geçen dokümanları bulup haber vermektedir. Bu dosyalar taşınabilmektedir.
- Microsoft outlook osd ve pst, resim, database dosyalarında veri analizi yapılmaktadır.
- Zamanlı görevlerle bu tarama işlemi gerçekleştirilmektedir.
- Bir dosya yaratıldığında otomatik olarak taranmaktadır.
- Yöneticilerin yapacağı ayarlara kullanıcılar müdahale edemezler. Haklar yetki matrisine işlenmektedir.
18.20. Sınıflandırma ve Taglama Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Analiz ettiği dosyaları içerdiği veriye göre sınıflandırmaktadır. Sınıflandırma için regex veya sözlük içerisindeki verileri kullanmaktadır.
- Sözlük içeriğine ilaveler yapılabilmektedir.
- Regex ve Sözlükte yer alan kelimeler geçen dosyalar bulduğunda bu dosyaların sınıflandırılmasını, etiketlemesini, taşınmasını veya silinmesini şart koşmaktadır. Bu şartlar ürün yöneticisi tarafından belirlenmektedir.
- Yöneticilerin yapacağı ayarlara kullanıcılar müdahale edemezler. Haklar yetki matrisine işlenmektedir.
18.21. Mantıksal ve Fiziksel Erişim ve Yetkilendirmeye Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Mantıksal ve fiziksel erişimler için yetki matrisleri oluşturulmuştur, bu yetki matrisleri periyodik olarak (Aylık, 3 Aylık, 6 Aylık vb. periyotlarda) (lütfen belirtin) gözden geçirilmektedir. Ayrıca tüm erişimlerin logları tutularak zaman damgası vurulmaktadır veya loglar hashlenmektedir.
- Mantıksal ve fiziksel erişimler log sunucusu üzerinde tutulmaktadır ve alarm senaryoları yazılarak aktif edilmektedir. Bu senaryolar her ay gözden geçirilmektedir ve güncellenmektedir.
- Sızma testi sonuçları analiz edilerek log sunucusu üzerinde erişimler ile ilgili gerekli alarmlar oluşturulmaktadır.
- İnternet üzerinden gelen erişimler SSL-VPN ve OTP ile yapılmaktadır.
- Sunuculara erişimler farklı ağlar üzerinden yapılmaktadır. Bu ağlar güvenlik duvarı ile yönetilmektedir ve kullanıcı hesabının erişimine izni olduğu hedeflere sadece izni olan portlardan erişebilmesi sağlanmaktadır. Bu erişimler esnasında Saldırı Tespit, Saldırı Engelleme ve Antivirüs servisleri çalışmaktadır. Hassas uygulamalar için risk analizi yapılarak ayrıcalık tanınmaktadır.
Makinasında virüs olan, istenmeyen program olan, anti-virüs yazılımı olmayan, kabul edilen domain ortamına dahil olmayan, eksik ve kritik windows güncellemesi olan makinaların (herhangi biri veya birkaçı) sadece izole bir ağa erişmektedir ve gerekli kontroller ve iyileştirmeler sonrası personel ve yetkisine göre diğer ağlara erişimi sağlanmaktadır.
18.22. Ağ Yönetimine Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- Personel, Sunucu, Yedek, Misafir kablolu ve kablosuz, Management (cihazların yönetim ağı), MPLS, Radyolink gibi kapalı devre özel ağlar farklı zonelarda bulunmaktadır. Yani ağlar aralarında direk bir geçiş bulunmamaktadır. Bu zonelar firewall tarafından kontrol edilmektedir. Zonelar arası geçişte IDS/IPS sistemi devrededir.
- Tüm ağlar için DHCP koruması devrededir. Hangi portlardan DHCP yayını yapılacağı belirlenmiştir. Bu portlarda hangi mac adresli makinanın çalışacağı da belirlenmiştir. Acil durumlar için personel ve misafir ağına DHCP yayını yapacak yedek port tanımlanmaktadır. Bu portlar sistem odasında herkesin erişemeyeceği portlardır. Yetki matrisinde belirtilmişlerdir.
- Misafirlere ait olan ağlar internet dışındaki hiçbir ağa erişememektedir. Bundan sonraki diğer maddelerde tüm ağlar ibaresi yanında misafir ağı dahil kullanılmadığı sürece misafir ağı hariç olarak düşünülmelidir.
- Personel için ayrı bir kablosuz ağ bulunmaktadır. Personel ağı üzerinden özel denetimler ile sunucu, varsa personel kablolu, yedek, management, mpls vb ağlara erişim sağlanmaktadır. Bu denetimler domain kimlik bilgisi veya mac adresi olabilmektedir.
- Tüm yerel ağlardan sunucu ağına erişimlerde kaynak cihaz sadece ihtiyacı olan hedefe ve sadece ihtiyacı olan portlardan erişmektedir. Kaynak cihaz erişim izni olmadığı sunucuya hiçbir şekilde erişememektedir. Bu kısıtlamalar mac adres, ip adres veya domain kullanıcı kimliğine göre verilmektedir. Yetki matrisinde belirtilmektedir. Aksi durumlarda özel izin alınmaktadır.
- Yedek ağına sadece sunucu ağındaki mac veya ip adresine izin verilmiş makinalar erişmektedir. Ek olarak domain kimlik bilgisi de eklenmektedir. Yetki matrisinde belirtilmektedir. Aksi durumlarda özel izin alınmaktadır.
- Yedek, Sunucu ve Management ağına switch üzerinden erişim verilmiş portlar hangi mac adresli makinanın bağlanacağı ve hangi ip adresini alacağı tanımlıdır. Bunun dışındaki makineler bu ağlara erişememektedir.
- Sunucu ağından misafir ağına erişim olmamaktadır. Diğer ağlara (internet dahil) erişimlerde port kısıtlaması yapılmaktadır. Hangi hedeflere hangi portlardan erişebileceği ihtiyaca göre belirlenmektedir. Ayrıcalık tanınacak sunucular ve hedefler için özel izin alınmaktadır ve yetki matrisinde belirtilmektedir.
18.23. VPN, Özel Devre, FTP-SFTP, Web Service Yönetimine Yönelik Tedbirler:
- 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
- VPN kullanıcıları için yetkilendirmeler belirli süreli ve onay süreci ile kayıt altına alınmaktadır, erişim yetkileri sadece erişilecek alanla, erişebilecekleri cihazlarla ve ihtiyaç olan portlarla sınırlandırılmaktadır ve periyodik olarak gözden geçirilmektedir.
- VPN kullanıcıları ayrı bir ağa dahil edilmektedir.
- VPN kullanıcıları hangi ağlara ve cihazlara erişecekse sadece bu cihazlara erişim izni bulunmaktadır yetki matrisinde belirtilmektedir.
- SSL VPN ile yerel ağa bağlanarak destek verecek olan danışman farklı bir ağ üzerinde bulunan bir terminal sunucu veya sanal pc de oturum açmaktadır. AD ve/veya lokal user kimlik doğrulaması mevcuttur ayrıca OTP kullanarak oturum açılması önerilir. Bu oturum esnasında yapılan işlemler gerek görüntü gerekse text olarak kaydedilmektedir. Kayıt yapan kullanıcının sistemlere erişimde kullanacağı parola kaydedilmemektedir. Bu kayıtlara erişim denetimli olarak yapılmaktadır. Daha sonra güvenlik duvarına bu kullanıcının erişime izin verilen ağlar ve ağlardaki hedeflere sadece izin verilen portlardan erişimi sağlanmaktadır.
- VPN ile yapılan bağlantılarda ve diğer ağlara erişimlerde saldırı tespit ve engelleme sistemi devrededir.
- VPN bağlantısı üzerinden dosya transferine izin verilmemektedir. Verilmesi gereken durumlarda kullanıcı hesabına uygun, dosya tipi ve büyüklüğüne uygun, içeriden dışarıya veya dışarıdan içeriye farklı kurallarla güvenlik sağlanmaktadır. Dosyalar anti-virüs kontrolünden geçirilmektedir.
- Dışarıdan dosya transferi yapılacaksa FTP kullanılmamaktadır, SFTP kullanılmaktadır ve SFTP’de kullanıcı yetkilendirmeleri yapılmaktadır, yetkiler periyodik olarak gözden geçirilmektedir ve tüm erişimlerin kayıtları tutulmaktadır ve zaman damgası ile imzalanmaktadır. Log sunucusunda alarmlar oluşturulmaktadır. Bu loglar SIEM üzerinde tutulmakta ve riskli senaryolar için alarmlar oluşturulmaktadır.
- SFTP ile paylaşım alanına kullanıcıların yükleyebileceği dosya tipleri ve boyutları belirlenmektedir.
- SFTP ye yüklenen dosyalar hem güvenlik duvarı hem de SFTP sunucusu üzerindeki Anti-Virüs yazılımları ile taranmaktadır. Saldırı tespit ve engelleme sistemleri tarafından izlenmektedir.
- WEB servis erişimlerinde sabit ip adresleri ile erişmelerine izin verilmektedir. Saldırı tespit ve engelleme sistemi devrede olmalıdır. Web servislere erişecek kişilerin sabit ip adreslerinin olmaması veya sisteme girilmesinde teknik imkansızlıklar veya zorluklar varsa bu durumda SSL VPN ile erişim sağlanır. Bununda mümkün olmadığı durumlarda IDS kuralları üst seviyede güvenlik için ayarlanır ve SIEM vasıtası ile değişik senaryolar için alarmlar oluşturulmaktadır.
- Web servislere yönelik; Zafiyet, Sızma ve Güvenli kod analizi yaptırılır ve bulgular düzeltilerek tekrar kontrol edilmektedir.
- Web servis erişimlerinin logları bir log sunucusunda/SIEM de tutulmakta ve imzalanmaktadır.
18.24. Cihaz Yönetimine Yönelik Tedbirler:
- Cihazlar üzerindeki Diskler çalınma, kaybolma ve/veya yetkisiz erişimlere karşı şifrelenmektedir. Şifreleme Asimetrik olarak belirlenir.
- Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmaktadır ve yetkisiz erişim önlenmektedir. Şifre yetkili kişilerce değiştirilebilmektedir. Şifre anahtarını saklayan yazılım tamamen kullanılamaz hale gelse bile yedeği alınmakta ve tekrar kurulum ile disk anahtarları kurtarılmaktadır. Tüm şifre anahtarları için donanımsal bir ürün kullanılmaktadır.
- Sunucu veya Son Kullanıcı bilgisayarı zarar gördüğünde, içindeki diskin şifresi kurtarma medyası ile değiştirilerek içerdiği veriler kurtarılmaktadır. Kurtarma medyası yetkisiz kişilerin erişemeyeceği ortamlarda saklanmaktadır.
- Güvenlik için risk ihtiva eden programların kişisel bilgisayar, tablet ve cep telefonlarında çalışmaları engellenmektedir. Bu cihazlarda çalışan programların belirlenen aralıklarda (tercihen ayda bir) (lütfen belirtin)kontrolü manuel veya otomatik olarak yapılmaktadır.
- Her cihazda parola koruması bulunmaktadır. Kabul edilen güvenli parola politikaları uygulanmaktadır (En az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Parolalar en fazla 6 ayda bir değiştirilir ve son 3 parola ile aynı olamaz. Ayrıca neleri içermeyeceği de belirtilir.)
- Kullanıcılar bilgisayarlarından uzaklaştıklarında ekranlarını kilitlemeleri için uyarılır ve cihaz parola ile korunmaktadır. Kullanıcılar parolalarını kimseyle paylaşmamaları konusunda bilgilendirilmektedir.
- Unutma durumları için 5 dakika boyunca klavye ve mouse aktivitesi olmayan bilgisayarlar otomatik olarak ekranı kilitlemektedir. Kilit parola ile açılmaktadır.
- Mümkün olan her cihaz Domain ortamına dahil edilmekte ve güvenlik politikaları uygulanmaktadır.
- Cihazların lokal admin şifreleri değiştirilerek bilgi işlem departmanında saklanmaktadır. Sadece yetkili kişiler bu bilgiye erişebilmektedir.
- Diski şifreli olmayan Sunucu, PC’lerin bios girişlerinde parola koruması bulunmaktadır.
- Güncel bir antivirüs programı kullanılmaktadır.
- Cihazlar belirlenen periyotlarda yedeklenmektedir.
18.25. Mobil Cihaz Yönetimine Yönelik Tedbirler:
- Mobil cihazlar MDM (Mobile Device Management: Mobil Cihaz Yönetim yazılımı) ile yönetilmektedir, ayrıcalıklı haller tanımlanacak ise özel izne tabidir.
- Mobil cihazlar antivirüs yazılımları ile korunmaktadır.
- Mobil cihazlara erişimlerin parola ile yapılması sağlanmaktadır. Tercihen biyometrik veri kullanılmamaktadır.
- Mobil cihazların diskleri ve tüm depolama alanları çalınmalara karşı şifrelenmiştir. Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
- Mobil cihazlar üzerinde güvenlik riski oluşturacak yazılımların çalışması engellenmektedir.
- Mobil cihazların diskleri şifrelenmektedir.
- Kişisel veri içeren dosyaların ve E-postaların transfer edilmemesinin gerektiği durumlar E-postalar dahil tüm dosya transfer türleri denetlenmektedir.
- Kurumsal E-posta dışında bir E-posta hesabı çalıştırılmamaktadır.
- Bluetooth, airdrop ve benzeri haberleşme şekilleri engellenmektedir.
18.26. Harici Ortam (USB, CD, Taşınabilir Disk, Hafıza Kartları, Cloud, Ftp ve Diğer Dosya Paylaşım Platformları) Kullanımına Yönelik Tedbirler:
- Harici ortamlar kapatılmakta, kapatılamıyorsa DLP yazılımı aracılığı ile transfer edilen dosyaların kişisel veri içerip içermediği kontrol edilmektedir. Kullanıcının yetkisi yoksa işleme izin verilmemektedir. Kullanıcının izni varsa raporlanmaktadır.
- Harici ortama özel nitelikli veri aktarılıyorsa mutlaka şifreli olarak aktarılmaktadır.
- Kurum içerisinde sadece kuruma özel harici ortamlar kullanılmakta ve bu harici cihazlar şifrelenmektedir.
- Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmaktadır ve yetkisiz erişim önlenmektedir.
- Şirket kurumsal Cloud hesabı haricindeki Cloud hesaplarına dosya aktarılması engellenmektedir. Özel Nitelikli kişisel veriler kriptolu olarak yüklenmektedir. Kripto anahtarı Cloud da tutulmamaktadır. Aktarılması gereken durumlar özel izne tabidir ve kayıt altına alınıp raporlanmaktadır. Kişisel veri içeriyorsa şifreli gönderilmektedir.
18.27. Sistem Odası ve Yönetici Makinaların Korunması:
- Sistem odaları yangın, su baskını, iklim değişiklikleri, rutubet, zararlı haşerelere, kemirgenlere, voltaj kesintileri/dalgalanmalarına ve yetkisiz girişlere karşı korunaklı hale getirilmiştir.
- Switch, Router gibi cihazlar sistem odaları dışında bulunmak zorunda ise kilitli bir kabinet içinde, ek olarak kilitli bir oda içerisinde tutulmaktadır.
- Sistem odalarına ek güvenlik yöntemleri kullanılmalıdır. (lütfen ek tedbirleri belirtin) (Sistem odasına girişte ek tedbirler önerilir, biyometrik veri kullanımı tercih edilecekse Kurum onayı gereklidir.)
- Sistem odasına yetkisiz girişlerde alarm oluşturulmuştur.
- Sistem odasında yetkisiz girişlerde, yangın, su baskını, voltaj kesintisi/dalgalanması ve iklim değişikliği olduğunda alarm verilmektedir.
- Sistem odalarında harekete duyarlı kameralar çalışmakta ve bu kayıtların en az 10 yıl tutulmaktadır.
- Sistem odalarına ve yönetici makinalarına danışmanların veya bakım personelinin müdahalesi gereken durumlarda bilgi teknolojileri departmanından bir kişi refakat etmektedir. Fiziksel güvenlik departmanı kameradan faaliyetleri izlemektedir.
- Arşiv odaları çelik kapılıdır.
- Arşiv odaları yanmaz boya ile boyalıdır.
18.28. Veri İmha Metotları
- Periyodik olarak senede 4 defa tüm cihazlar üzerindeki silinmiş dosyaların kalıcı olarak silinmesi işlemi gerçekleştirilmektedir.
- Basılı evraklar kâğıt öğütme makinelerinde imha edilmektedir.
- Elektronik ortamların arızalanma veya ömrünü doldurması durumlarında kurtarılamayacak şekilde veri silme / yok etme işlemi yapılmaktadır. Ortamlar çalışmadığı için içeriğine erişilemez durumda ise hiçbir şekilde veri kurtarılamayacak şekilde imhası sağlanmaktadır.
- Elektronik ortamda silinen veriler11. numaralı Log/Siem sistemine yönelik tedbirlere uyumludur. Verinin hangi tarihte, hangi ortamda, hangi yoldan, hangi algoritma ile silindiği raporlanmaktadır ve zaman damgası uygulanmakta veya hashlenmektedir.
18.29. Sızma ve Zafiyet Testleri:
- Senede 1 defa elektronik ortamlar için TSE belgeli bir firmaya sızma testi yaptırılmaktadır ve güvenlik açıkları kapatılmaktadır.
- Her ay bir defa sunucular, yedekleme üniteleri, web sayfaları, güvenlik duvarı, switch ve routerlar üzerinde zafiyet analizleri yapılıp güvenlik açıklarına karşı tedbirler alınmaktadır. Ayrıca her ay, ayrı fiziksel lokasyondan rastgele seçilmiş 3’ er kişisel bilgisayar üzerinde de zafiyet testi yapılmaktadır. Bulunan açıklar tüm kişisel bilgisayarlar üzerinde kapatılmaktadır.
18.30. Güncellemeler:
- Tüm Cihazların güncellemeleri ayda bir, Yönetici Makinalarının güncellemeleri ise haftada bir kontrol edilmektedir. Eksik güncellemeler yapılmaktadır.
- Windows işletim sistemi güncellemeleri her gün otomatik olarak yapılmaktadır. Loglar log sunucunda kaydedilmektedir. Güncelleme hataları için Log sunucusunda alarm oluşturulmuştur.
- Yönetici makinalarının Firmware güncellemeleri her ay bir kere kontrol edilmektedir. Gelen güncellemeler uygulanmaktadır.
18.31. Yetki Matrisi
Yetki Matrisinin Ana Hatları Aşağıdaki Gibidir:
- Her türlü Kişisel Veriye erişebilecek kişiler sadece yapacağı iş ile ilgili ve amacına uygun verilere erişebilmektedir ve/veya verileri işleyebilmektedir.
- Her türlü Kişisel Veriye erişim için sebep kalmadığında kişilerin erişimi engellenmektedir.
- Her türlü Kişisel Veri sadece amacına uygun olarak işlenebilmektedir.
- Yetki Matrisi değişiklikleri Komite onayına tabidir.
- Yetki Matrisi her 3 ayda bir gözden geçirilmektedir.
- Görev ve sorumluluklarda değişiklik olması durumunda yetki matrisi vakit kaybetmeksizin güncellenir ve değişiklik uygulanmaktadır.
Tüm Kullanıcıların Kişisel Veri İçeren Fiziksel Mekân Erişim Yetkileri Yetki Matrisinde Belirtilmelidir:
- Tüm kullanıcıların Kişisel Veri içeren elektronik ortamlara erişim yetkileri yetki matrisinde belirtilmektedir.
- Yönetici makinalarına erişim yetkileri belirlenmiştir. Yetkiler amaç ile sınırlı ve ölçülüdür.
- Ortak dosya sunucularına erişim yetkileri belirlenmektedir.
- Databaselerdeki tablolar ve özel yazılımlar vasıtası ile raporlara erişimler yetki matrisinde belirlenmektedir.
- Özel yazılımlar, sahip oldukları veri tabanı üzerindeki verilere kullanıcıların erişimlerini gerektiği gibi yetkilendiremiyor ise bu konu yazılımın üreticisine raporlanmaktadır, çözüm üretilemiyorsa verinin maskelenmekte veya erişimin engellenebilmesi için ilave yazılımlar kullanılmaktadır.
18.32. Silme, Yok Etme ve Anonim Hale Getirme Silme Yöntemleri:
- Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox gibi), Bulut sisteminde verilere ilgili kullanıcının geri getirme yetkisinin olmadığına dikkat edilerek, silme komutu verilerek,
- Basılı Ortamlar, Karartma işlemi ile, mümkünse evrakın ilgili kısmı kesilerek, mümkün değilse geri döndürülemeyecek ve sabit mürekkep kullanmak gibi çözümlerle ilgili kullanıcılara görünmeyecek hale getirilerek,
- Merkezi Sunucuda silme işlemi, ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilerek, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılmasıyla gerçekleştirilir. Verinin bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
- Taşınabilir Medya, bu ortamlara uygun yazılımlar kullanılarak, Verinin bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
- Veri Tabanları, Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silme işlemi uygulanır. Veri tabanının bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
18.33. Yok Etme Yöntemleri:
- De-manyetize etme, manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozularak de-manyetize edilir.
- Fiziksel yok etme, optik medya ve manyetik medya eritme, yakılma veya toz haline getirilmesi gibi fiziksel olarak yok edilir.
- Üzerine yazma, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilir. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
- İmha, basılı ortamın yakılarak ya da kâğıt kırpma makinesinden geçilerek yok edilmesi, birleştirilse bile okunamayacak hale getirilir.
- Bulut ortamı; kişisel verilerin bulut ortamında depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenir ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
18.34. Anonimleştirme Yöntem ve Teknikleri:
- Değişkenleri çıkartma ile, değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.
- Kayıtları çıkartma ile, veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.
- Bölgesel gizleme ile, belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.
- Genelleştirme, ilgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir.
- Alt ve üst sınır kodlama, alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir.
- Global kodlama, Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir.
- Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır.
- Mikro birleştirme, veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir.
- Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir.
- Gürültü ekleme yöntemi ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır.
- Maskeleme ile kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir; Yetki matrisine uygun olarak özel yazılımların raporları, dijital ve basılı çıktıları maskelenmektedir.
- Verinin görülmesine ihtiyaç kalmadığı durumlarda görüntüleyen kişiler için maskelenmektedir.
- Toplulaştırma/kümülatif data yaratma, verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder.
- Veri türetme, mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir.
- Veri karması, veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder.
18.35. Uygulama Güvenliği
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Uygulamaların ağ haberleşmesi şifrelidir ve SHA 256 tercih edilmektedir.
- Uygulamalarda kod analizi yaptırılmakta ve güvenlik açıkları kapatılmaktadır.
- Uygulamalarda veri maskeleme uygulanmaktadır. Yetki matrisine işlenmektedir. Maskeleme yapılmayacak kullanıcılar özel izne tabidir.
- Kullanılmayan yazılımlar cihazlardan kaldırılmaktadır.
- Kullanılmayan servisler durdurulmakta ve otomatik çalışır hale getirilmesi engellenmektedir.
- Güvenilmeyen kaynaklardan gelen yazılımların kullanımı engellenmektedir.
- Cihazlar üzerinde çalışan yazılım ve servislerin ağ trafiği analiz edilmekte ve riskli ya da belirsiz trafik varsa trafik engellenmektedir ve/veya yazılım kullanımdan kaldırılmaktadır.
18.36. Yedekleme ve Yedekten Geri Dönme
- 18.10., 18.11., 18.12., 18.14., 18.15., 18.17., 18.19., 18.22., 18.24., 18.25., 18.32., 18.35. maddelerine uyulmaktadır.
- Yedekleme sunucu ağ (veya mümkünse) ayrı bir yedekleme ağındadır.
- Ağ üzerinden alınan yedeklemelerde ağ güvenliği tedbirleri uygulanmaktadır.
- Yedekler şifrelidir. Şifrelere erişimler yetki matrisinde belirtilmiştir ve denetlenmektedir.
- Yedekler harici disk ünitlerinde, CD, DVD, tape vb. ünitelerinde barındırılıyorsa şifreli olarak korunmaktadır. Yedeklere erişim yetkileri yetki matrisinde belirtilmektedir ve denetlenmektedir. Erişim izinleri özel izne tabidir.
- Yedeklerin bütünlüğü ve çalışabilirliği belli aralıklarla kontrol edilmektedir.
- Yedeklerden geri dönüş yapılacağı zaman, yedek kullanıcıların erişimine açılmadan önce daha önceden silme / yok etme işlemi yapılmış olan tüm kişisel veriler araştırılmaktadır, kalıcı olarak yedeklerden silinmektedir.
- Belirli aralıklarla (Lütfen belirtin) yedekler üzerinde silme/ yok etme talepleri gerçekleştirilmektedir.
- Yangın, su baskını, iklim değişiklikleri, rutubet, zararlı haşerelere, kemirgenlere, voltaj kesintileri/dalgalanmaları ve yetkisiz girişlere karşı korunaklı olarak saklanmaktadır.
- Yedekler, ana verinin bulunduğu fiziksel ortamdan farklı bir yerde sistem korunmaktadır.
- Çevrimdışı yedekler alınmaktadır.
- Yedekleme işleminde ağ trafiği en az SHA 256 şifreleme metodu ile yapılmaktadır.
18.37. Yazıcı Tarayıcı
- Hafızalı yazıcı ve tarayıcıların hafızalarına yetkisiz kişilerin erişimleri engellenmektedir.
- Yazıcı ve tarayıcılar ortak alana değil sadece belgeyi görme yetkisi olan kişi veya kişilerin görebileceği depolama alanlarına veya E-posta adreslerine gönderilmektedir.
- Çıktılar kimlik belirleme kartı veya şifre ile yazıcı başında alınmakta, böylece dokümanların yetkisiz kişilerin eline geçmesi önlenmektedir.
- Bu cihazlar servis merkezine gitmeden önce hafızasındaki kişisel veri içeren dosyalar silinmektedir.
19. VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI
Veri sahibinden, veri koruma kurulundan ve diğer ilgili yasal mercilerden gelen talepler aşağıda belirtilen adımlar gerçekleştirilerek işlenir:
- Adım: Talebin Karşılanması:
- E-posta, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK Komitesi üyeleri tarafından karşılanır.
- Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.
- Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine iletilir.
- Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır.
- Adım: Talep İçeriğinin Kontrol Edilerek Anlaşılması:
- Komite üyeleri tarafından talebin içeriği kontrol edilir.
- KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.
- Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.
- İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek ya da talebi daha detaylı anlamak için sorular sorulur.
- Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları belirlenir.
- Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır.
- KVKK komitesi başkanı tarafından talep takip formuna, görevler, sorumlular ve görev tamamlanma tarihi işlenir.
3.Adım: Talebe Yönelik Araştırma Yapılması:
- Veri haritası çalışması referans alınarak hem basılı belgeler hem de dijital ortamdaki bilgiler kontrol edilir.
- Talebin içeriğine uygun olarak istenen bilgiler toplanır.
- KVKK Komitesi başkanına bilgiler iletilir.
- Toplanan bilgiler, başkan tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.
- Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.
4.Adım: Talep Cevabının Oluşturulması:
- KVKK Komitesinde talep cevap metni görüşülür
- Cevap yazısı oluşturulur.
5.Adım: Talebe Cevap Dönülmesi:
- Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden talebe cevap verilir.
- Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir.
Talebin Arşivlenmesi:
- Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır.
- Talep kapatılır.
20. KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ
Dernek tarafından, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışarıdan denetim hizmeti satın alarak, kanunda ve bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.
21. VERİ İHLAL OLAYI BİLDİRİMİ
Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurulun belirttiği formatta bildirim yapılır.
Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.
22. POLİTİKANIN GEÇERLİLİĞİ VE YÜRÜLÜKTEN KALDIRILMASI
Bu Politika, Yangından Korunma Derneği’nin Kişisel Veri İşleme amaçlarında veya yasada bir değişiklik olana kadar geçerlidir. Politikada bir değişiklik olduğunda Politika güncellenir. Komite üyeleri tarafından onaylanır ve yürürlüğe giriş tarihi belirtilir. Eski Politika arşive kaldırılarak 11 yıl saklanır.