1. POLİTİKANIN AMACI, KAPSAMI ve VERİ SORUMLUSUNA İLİŞKİN BİLGİLER

                      1.1 Amaç

                      1.2 Kapsam

                      1.3 Veri Sorumlusuna İlişkin Bilgiler

  1. TANIMLAR ve KISALTMALAR

                      2.1. Teknik ve İdari Tedbirler Tanımlar

                      2.2. Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar

  1. KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR
  2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
  3. KİŞİSEL VERİSİ İŞLENEN GRUPLAR
  4. KİŞİSEL VERİ SAKLAMAYI GEREKTİREN HUKUKSAL SEBEPLER
  5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
  6. KİŞİSEL VERİ KAYIT ORTAMLARI
  7. KİŞİSEL VERİLERİN AKTARILMASI
  8. İŞLENEN KİŞİSEL VERİLER
  9. KİŞİSEL VERİ İMHASINI GEREKTİREN SEBEPLER
  10. PERİYODİK İMHA SÜRESİ
  11. VERİ ANALİZİ, VERİ ENVANTERİ, VERİ/MAHREMİYET ETKİ DEĞERLENDİRME VE RİSK ANALİZİ

                      13.1 Veri Envanteri / Veri Haritalama:

                      13.2 Veri Etki ve Mahremiyet Etki Değerlendirme:

                      13.3 Risk Analizi:

                      13.4 Risk Etki Değeri

  1. VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ

                      14.1. Veri Sahibi Tarafından Hakların Kullanılması

  1. VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ

                      15.1. Veri Sahibinin Aydınlatılması ve Açık Rıza;

  1. VERİ İŞLEYENİN HAK VE YÜKÜMLÜLÜKLERİ
  2. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAMA SÜRESİ SONU İŞLEMLER
  3. KİŞİSEL VERİLERİN KORUNMASI- İDARİ VE TEKNİK TEDBİRLER

                      18.1. Riskler:

                      18.2. İdari Tedbirler

                      18.3. Kurumsal Politikalar:

                      18.4. Departman Arşivleri, Departman İçi Çalışma Ortamları ve Departman Dolaplarının Güvenliği:

                      18.5. Özel Nitelikli Veri Transferleri ve Saklama:

                    18.6. Basılı Veri Sınıflandırmaya Yönelik Tedbirler:

                    18.7. Kamera Verilerinin İşlenmesine Yönelik İdari Tedbirler:

                    18.8. Yazıcı ve Tarayıcılara Yönelik Tedbirler:

Teknik Altyapı İle İlgili Tedbirler:

                    18.9. İnternet ve Özel Devre Sağlayıcıya Yönelik İdari Tedbirler:

                    18.10. Log/Siem Sistemine Yönelik Tedbirler:

                    18.11. Kimlik, Hesap, Parola-Şifre Yönetime ve Erişimlerin Kaydına Yönelik Tedbirler:

                    18.12. İnternet ve Özel Devrelere ve Hatlar İçin Gerekli Olan Cihazların Yönelik Teknik Tedbirler:

                    18.13. Firewall (Güvenlik Duvarı) Yönetimine Yönelik Tedbirler:

                    18.14. IDS/IPS (Saldırı Tespit ve Engelleme Sistemi)

                    18.15. Proxy/Web Gateway’ e Yönelik Tedbirler:

                    18.16. Antivirüs Yazılımına Yönelik Tedbirler:

                    18.17. Gelişmiş Antivirüs ve/veya DLP veya Alternatif Yazılımına Yönelik Ortak Tedbirler:

                    18.18. DLP Yönetimine Yönelik Tedbirler:

                    18.19. Veri Analiz/Keşif yönelik tedbirler:

                    18.20. Sınıflandırma ve Taglama Yönelik Tedbirler:

                    18.21. Mantıksal ve Fiziksel Erişim ve Yetkilendirmeye Yönelik Tedbirler:

                    18.22. Ağ Yönetimine Yönelik Tedbirler:

                    18.23. VPN, Özel Devre, FTP-SFTP, Web Service Yönetimine Yönelik Tedbirler:

                    18.24. Cihaz Yönetimine Yönelik Tedbirler:

                    18.25. Mobil Cihaz Yönetimine Yönelik Tedbirler:

                      18.26. Harici Ortam (USB, CD, Taşınabilir Disk, Hafıza Kartları, Cloud, Ftp ve Diğer Dosya Paylaşım Platformları) Kullanımına Yönelik Tedbirler:

                      18.27. Sistem Odası ve Yönetici Makinaların Korunması:

                      18.28. Veri İmha Metotları

                      18.29. Sızma ve Zafiyet Testleri:

                      18.30. Güncellemeler:

                      18.31. Yetki Matrisi

                      18.32. Silme, Yok Etme ve Anonim Hale Getirme Silme Yöntemleri:

                      18.33. Yok Etme Yöntemleri:

                      18.34. Anonimleştirme Yöntem ve Teknikleri

                      18.35. Uygulama Güvenliği

                      18.36. Yedekleme ve Yedekten Geri Dönme

                      18.37. Yazıcı Tarayıcı

  1. VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI
  2. KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ
  3. VERİ İHLAL OLAYI BİLDİRİMİ
  4. POLİTİKANIN GEÇERLİLİĞİ VE YÜRÜLÜKTEN KALDIRILMASI

1.     POLİTİKANIN AMACI, KAPSAMI ve VERİ SORUMLUSUNA İLİŞKİN BİLGİLER

1.1 Amaç

Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla Yangından Korunma Derneği Politikada “Dernek” olarak anılacaktır) tarafından kişisel veri işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.  

1.2 Kapsam

Bu politika, aşağıda yer alan hususları kapsamaktadır;

  1. 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,
  2. Yangından Korunma Derneği tesislerini,
  3. Bu tesislerde gerçekleştirilen veri işlemle faaliyetlerini,
  4. Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,
  5. Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır. 

1.3 Veri Sorumlusuna İlişkin Bilgiler:

Veri Sorumlusu: Yangından Korunma Derneği

Web Adresi: http://www.tuyak.org.tr/

Telefon: (+90) 212 320 2404 veya (+90) 541 617 9959

Elektronik Posta: tuyak@tuyak.org.tr

KEP:

Posta Adresi: Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok Kat: 9 No: 1376 Şişli/İstanbul

Şahsen Başvuru Adresi: Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok Kat: 9 No: 1376 Şişli/İstanbul

Aydınlatma Metni Web Adresi: http://www.tuyak.org.tr/kvkk

2. TANIMLAR ve KISALTMALAR

Kavram / İfade

Kanundaki Tanım

Kısaltmanın Açılımı

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kurum

Kişisel Verileri Koruma Kurumu.

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri

Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

İlgili kişi / Veri Sahibi

Kişisel verisi işlenen gerçek kişi (Politika’ da “veri sahibi” şeklinde ifade edilmektedir)

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Veri Sorumlusu Temsilcisi

Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete ’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi.

 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık rıza

Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddütte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay

Aydınlatma Metni

Veri sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğünü yerine getirirken Veri sorumlusunun ve varsa temsilcisinin kimliğini bildirmelidir. Veri işleme amacını, toplama yöntemini, Hukuki sebebini ve Kanunun 11. maddesinde belirtilmiş olan haklar konusunda ilgili kişiyi bilgilendirmek için yazılmış olan metin. Sözlü de aktarılabilir

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Silme, Yok Etme ve Anonimleştirme

Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Maskeleme

Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortamlar

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Kurul

Kişisel Verileri Koruma Kurulu

Politika

Kişisel Verileri Saklama ve İmha Politikası

Sicil

Başkanlık tarafından tutulan Veri Sorumluları Sicili

(VERBİS)Veri Sorumluları Sicil Bilgi Sistemi:

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Yönetmelik

28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

2.1.Teknik ve İdari Tedbirler Tanımlar

Kavram / İfade

Tanım/Açıklama

Ağ iletişimi

IPv4 ve IPv6 trafiği

OTP

Bir seferlik parola

Cihaz

Tüm Yazılımsal veya Donanımsal ürün ve yazılımlar.

Firewall

Güvenlik Duvarı

Misafir Ağı

Personel ve Sunucu ağlarından izole ve bu ağlara kontrolsüz geçiş izni olmayan ağ.

Yönetici Makine

Switch, Router, Modem, Kablosuz yayın cihazı kontrol sistemi, Sunucu, Yedekleme üniteleri, Yazıcı, Bilgisayarla yönetilen ve log gönderme özelliği olan sistemler.

Makine

Kişisel Bilgisayar, Kiosk

Çalışan

Çalışanlar, stajyerler, ortaklar, hissedarlar, danışmanlar, denetçiler.

Kullanıcı

Şirket içi ve dışı tüm çalışanlar.

Veri işleme

Görüntüleme, Çoğaltma, çıktı alma, başka ortamlara aktarma, silme, değiştirme, erişilebilir hale getirme, erişimini engelleme, maskeleme, anonimleştirme, şifreleme, sınıflandırma

Zafiyet Testi

Yasal hackleme denemesi ile zafiyetin belirlenmesi

SIEM

SIEM (Security Information and Event Management) tehdit ve olay yönetimidir. Logların tek merkezde toplanıp analiz edilmesini sağlayan yazılım.

Sızma Testi

Sistem güvenliği değerlendirmesi için yetkilendirilmiş temsili siber saldırı işlemi

Yetki Matrisi

Elektronik ortamlarda hangi kişilerin, hangi sistem ve uygulamalara ne kadar süre ile erişebileceği yetkilerinin dokümante edilmesi

Kriptolama

Yazının veya metnin bir yazılım aracılığıyla başkaları tarafından okunmasının önlenmesi için bir kurala bağlı olarak anlamsız bir şekle dönüştürülmesidir.

Xdsl

Dijital abone hattı (DSL) üzerinden yayın yapan bütün teknolojilerin ortak adıdır.

Hashleme

Elektronik ortamda bir metnin bir daha geri döndürülemeyecek bir şekilde şifrelenmesi

Zaman Damgası

Elektronik bir verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıtların resmi olarak kanıtlanması.

DLP

DLP (Data Loss/Leak Prevention: Veri Kaybı/Sızıntı Önleme) Yazılımı

 

2.2. Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar

Kavram / İfade

Tanım/Açıklama

Veri Analizi

“Kişisel ve özel nitelikli kişisel verilerin” tespiti için excel dosyası formatında hazırlanan Kişisel Veri Haritası üzerinden yapılan analiz.

Veri Etki ve Mahremiyet Etki Değerlendirme

Olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi.

Etki Değeri Analizi

Olası bir veri ihlali durumda veri sahibinin Kişisel verileri ile ilgili “Çok Yüksek, Yüksek, Orta, Düşük ve Etki Yok” ifade edecek şekilde 1 ile 5 arasında sayısal değer verilerek etki değerinin belirlenmesidir:

·      Finansal-Ekonomik Kayıp Etkisi

·      Bedensel ve fiziksel olumsuzluk etkisi

·      Mesleki Kariyer Olumsuzluk Etkisi

·      Aile ve Sosyal Çevre Olumsuzluk Etkisi

·      Yasal Cezai Yaptırım Etkisi

·      Dini inanç ve ibadet özgürlüğü olumsuz etki

Hususlarında kişisel veriler için değerler verilir, bu 6 kategoride verilen değerlerden en yükseği Etki Değeri’ dir.

Risk Analizi

Olası bir veri ihlalinin veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizinin birleştirilmesidir: “Düşük, Orta, Yüksek ve Çok Yüksek” ifade edecek şekilde 1 ile 4 arasında sayısal değer verilerek riskin oluşma ihtimali belirlenmesidir.

Risk Etki Değeri

Etki Değeri ve Risk Analizinden elde edilen sayısal değerler çarpılarak risk etki değerine ulaşılmasıdır. Çıkan sonuca göre uygulanması gereken teknik ve idari tedbirler belirlenir.

 

3.     KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR

Dernek bünyesinde, Kanuna uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Komitesi (“Komite” olarak anılacaktır) kurulmuştur.

Kanuna ve Politikaya uygun olarak Kişisel verilerin saklaması ve imhası süreçlerinde yer alan kişilerin unvanları, birimleri ve görev tanımları

Komite Üyeleri ve Görevleri:

ÜNVAN

KİŞİ

GÖREVİ

Komite Başkanı

Taner Kaboğlu

Komite başkanlığı, hukuksal sürecin yönetimi, proje önderliği, proje için finansman ve gerekli işgücünün sağlanmasından sorumludur. Çalışanların politikaya uygun hareket etmesinden sorumludur.

Komite Sözcüsü ve Üyesi

Şengül Çifçi

Çalışanların politikaya uygun hareket etmesinden ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur.

 

Bu Komite’ nin başlıca görevleri şöyledir; 

  • Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
  • Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek, eksiklerin giderilmesini sağlamak ve bunun için gerekli birimlere gerekli desteği sağlamak.
  • Kişisel verilerin politika ve hukuka aykırı olarak işlenmesini engellemek, kişisel verilerin işlendiği tüm ortamlarda ve tüm aşamalarda güvenliğini sağlamak.
  • Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
  • Kanuna uyulması için, Kişisel veri işleyen tüm personelin Kişisel Verileri Koruma Yasası ile ilgili gerekli eğitimleri almasından ve konunun anlaşılmasından,
  • Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak, 
  • Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak, 
  • Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak, 
  • Veri ihlali durumlarında, kanunda belirtilmiş olan esaslara uygun olarak
    • Kişisel Verileri Koruma Kurumuna bilgi vermek,
    • Gerekli durumlarda Veri Sahibine bilgi vermek,
  • Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.

Kişisel Verileri Koruma Kurumunun Kararlarına uyulmasından sorumludur.

4.     KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER 

Veri sorumlusu konumunda olan Dernek 6698 KVKK’nın 4. maddesi gereğince kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir:

  • Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.
  • Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulanmalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem logları da tutulmaktadır. 
  • Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda, Dernek bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme amaçları belirtilmiştir. Bakınız: “Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme Metni
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda, Dernek tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir. 

İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, yürürlükte bulunan mevzuat, taraflarca imzalanan sözleşme gereksinimleri ve işleme amaçları ile doğrultusunda belirlenen süreler boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Sürelerin sona ermesinin ardından kişisel veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

5.     KİŞİSEL VERİSİ İŞLENEN GRUPLAR

Veri sorumlusu konumunda olan Dernek tarafından aşağıda belirtilmiş olan, ilişkide bulunduğu üçüncü kişilerin, kurumların ve kuruluşların çalışanlarına ait kişisel verileri Kanuna uygun olarak saklar ve imha eder.

Çalışan

Çalışan Adayı

Çalışanın Bakmakla Yükümlü Olduğu Kişi veya Çocuk

Dernek Üye Adayı

Dernek Üyesi

Kamu Çalışanı

Katılımcı

Konuşmacı

Referans Gösterilen Kişi

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Tüm İnternet Kullanıcıları

Yönetim Kurulu

Ziyaretçi

3. Şahıslar

 
 
 
 
 

6.    KİŞİSEL VERİ SAKLAMAYI GEREKTİREN HUKUKSAL SEBEPLER

1136 Sayılı Avukatlık Kanunu

1593 Sayılı Umumi Hıfzıssıhha Kanunu

2004 Sayılı İcra ve İflas Kanunu

213 Sayılı Vergi Usul Kanunu

3568 Sayılı SMMM ve YMM Kanunu

4857 Sayılı İş Kanunu

5187 Sayılı Basın Kanunu

5253 Sayılı Dernekler Kanunu

5411 Sayılı Bankacılık Kanunu

5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi

6098 Sayılı Türk Borçlar Kanunu

6102 Sayılı Türk Ticaret Kanunu

6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu

6331 Sayılı İş Sağlığı ve Güvenliği Kanunu

6698 Sayılı Kişisel Verilerin Korunması Kanunu


7.     KİŞİSEL VERİLERİN İŞLENME AMAÇLARI   

Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır: 

  • Kişilerin ırkı
  • Etnik kökeni
  • Siyasi düşüncesi
  • Felsefi inancı
  • Dini, mezhebi veya diğer inançları
  • Kılık ve kıyafeti
  • Dernek, vakıf ya da sendika üyeliği
  • Sağlığı, cinsel hayatı
  • Biyometrik ve genetik verileri

 

Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

  • Kanunlarda açıkça ön görülmesi.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

  • Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi. 
  • Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi. 

 

Veri sorumlusu olarak Dernek öncelikli olarak veri sahiplerinden açık rıza alma yolunu seçmiştir. Bununla birlikte sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.     

 

Veri sorumlusu olarak Dernek, bilgilendirme ve açık rıza almak için şu yöntemleri kullanmaktadır:

  • Islak imzalı açık rıza beyanı alma: Ürün ve/veya hizmet talebinde bulunulduğunda ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Tedarikçi sözleşmeleri: Firma ile sözleşme imzalanırken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Çalışan ile İş Sözleşmeleri: Personel ile iş akdi yapılırken veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Dijital ortamda onay alınması: Hizmet talebinde bulunurken, sipariş verirken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.

 

Veri sorumlusu olarak Dernek, VERBİS sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:

 

Acil Durum Yönetimi Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Denetim / Etik Faaliyetlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Finans ve Muhasebe İşlerinin Yürütülmesi

Hukuk İşlerinin Takibi ve Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Organizasyon ve Etkinlik Yönetimi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Üyelik İşlemlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

Yönetim Faaliyetlerinin Yürütülmesi


8.     KİŞİSEL VERİ KAYIT ORTAMLARI 

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (Mail Server, Firewall, Server, Online Sunucu)

Kâğıt

Yazılımlar (Anlık Mesajlaşma Uygulaması, Anydesk /Teamviewer, E-Arşiv, E-posta, Excel, Word, Firewall Yazılımı, Karspersky, Log Kaydı Uygulaması, Online Görüşme Platformu, Program, Vedubox, Yedekleme Yazılımı, )

Manuel veri kayıt sistemleri (Talep ve şikayetleri, anket formları, Veri sahibi haklarına ilişkin yazılı başvurular, diğer yazılı başvurular, denetleme ve görev tutanakları …)

Harici depolama üniteleri (Harici Disk, Hard Disk)

Tüm yazılı, basılı, görsel ortamlar

Kişisel Bilgisayarlar (İş Bilgisayarı)

 

Fotokopi Makinesi, Faks Makinesi

 

Mobil Cihazlar (Cep Telefonu)

 

Optik Diskler

 

Kişisel Telefonlar

 

Dosya Uzantısı (PDF, JPG, MP4)

 

Web Siteleri (SGK E-Bildirge, Uygulamalar)

 


9.     KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, veri sorumlusu sıfatıyla Yangından Korunma Derneği tarafından KVKK da belirtilen yükümlülükler ve 6.Madde de yer alan amaçlar için “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.

Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5. Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’inci maddede ve kanunun 5-6. Maddelerinde yer alan açık rıza ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.

Yangından Korunma Derneği tarafından YURT İÇİNDE aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:

Adli Merciler

Anlaşmalı Avukat ve/veya Avukatlık Bürosu

Anlaşmalı Banka

Anlaşmalı Bilgi Güvenliği Firması

Anlaşmalı Ofset/Matbaa Firması

Anlaşmalı Web Tasarım Firması

Cumhuriyet Başsavcılığı

Dernek Üye Adayı

Dernek Üyesi

Dernekler Bilgi Sistemi (DERBİS)

Eski Çalışan

GIB

Hedefmail

İcra Dairesi

İl Sivil Toplumla İlişkiler Müdürlüğü

Kamu Kurum ve Kuruluşları

Kamu ve/veya Özel Hastane

Katılımcı, Konuşmacı ve Ziyaretçiler

KVKK Danışman Firması

Lookus Online Bildiri Sistemi

Mülki İdari Amir

Noter

Online Görüşme Platformu (Google Meet, Skype, Teams, Zoom)

Online Konferans Moderatörü

Posta ve Telgraf Teşkilatı (PTT)

Sektör Birlikleri

SGK

Sodexo Avantaj ve Ödüllendirme Hizmetleri Anonim Şirketi

Toplu E-posta Gönderim Sağlayıcı Firma

Türkiye Yangından Korunma ve Eğitim Vakfı

Türkiye Yangından Korunma ve İtfaiye Eğitim Vakfı İktisadi İşletmesi

Ürün veya Hizmet Veren Kişi veya Firma

Vedubox

Web Sayfası Ziyaretçileri

Yangın Mühendisliği Yangın Güvenliği ve Teknolojileri Dergisi Okuyucuları

Yeminli/Serbest Mali Müşavir

 

Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart beklemektedir:

  • Veri sahibinin açık rızasının bulunması veya açık rıza istisnaları şartlarından birinin veya birkaçının karşılanması halinde,
  • Verilerin aktarıldığı ülkede yeterli koruma* bulunması halinde,
  • Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla Dernek ilgili yabancı ülkedeki veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir. 

(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir. 

Dernek tarafından YURT DIŞINDA aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:

Anlık Mesajlaşma Uygulaması (Whatsapp, Telegram)

Dernek Üye Adayı

Dernek Üyesi

Google Groups

Güvenlik Duvarı Yazılımı Firması

Online Görüşme Platformu (Google Meet, Skype, Teams, Zoom)

Sosyal Medya Platformu (Facebook, Instagram, Twitter, Linkedin, Youtube)

Uzak Masaüstü Bağlantı Programı (Teamviwer, Anydesk)

Ziyaretçi


10.     İŞLENEN KİŞİSEL VERİLER

Dernek tarafından, 6.Maddede belirtilen amaçlar doğrultusunda aşağıda yer alan kişisel veri kategorilerindeki kişisel ve özel nitelikli kişisel veriler paylaşılmaktadır:

 

Veri Kategorisi

Kişisel Veri Kategorizasyonu Açıklama

İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri

Kimlik Bilgileri

Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı

Ad Soyad, Kimlik ve Seri No, Anne ve Baba Adı, Medeni Hal, Cinsiyet, Doğum Yeri ve Tarihi, Uyruk, İmza, Görevi ve Unvan, İlk Soyad, Milliyet, Nüfusa Kayıtlı Olduğu Yer, Fotoğraf, “Sürücü Belgesi; Belge Veriliş ve Geçerlilik Tarihi, Sürücü Sicil No, Sınıf Veriliş ve Geçerlilik Tarihi”, Vergi Dairesi ve Numarası, Doğum Yılı, Yaş, “Kullanıcı, Bilgisayar ve Makine Adı”, “Google, Online Görüşme Platformu, Anlık Mesajlaşma Uygulaması, Sosyal Medya Kullanıcı Adı”

İletişim Bilgileri

Kişiyle iletişim kurulması amacıyla kullanılan bilgileri

Firma Unvanı, Dernek Adı, Telefon No, Adres, E-posta, Dernek Unvanı, Telefon ve Faks No, Kişisel E-posta, Çalıştığı Kurum, Yakınlık Derecesi, Sektör, “İkametgâh Bilgileri ve Adresi”

Lokasyon Bilgileri

Veri sahibinin konumunu tespit etmeye yarayan veriler

İş Kazası Lokasyonu

Özlük Bilgileri

Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler

Askerlik Durumu, Muafiyet Nedeni, Sürücü Belgesi Bilgisi, Banka Adı ve Şubesi, İban ve Hesap No, Maaş ve Tutarı, Dekont ve Açıklaması, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Departman, Görevi ve Görev Kodu, SGK No, Giriş Çıkış Tarihi, Çalışma Gün Saat, Meslek Adı ve Kodu, Prime Esas Kazanç Tutarı, Çalıştığı ve Çalışılmayan Gün Sayısı, İzne Hak Kazandığı Tarih, İşyerindeki Kıdem, “Yıllık İzin; Tarihi, Süresi, Başlangıç ve Bitiş Tarihi”, Dernek Faaliyetleri Özeti, Evrak İmha Tutanak Bilgileri, Fazla Mesai Ücreti ve Tutarı, Maaş ve Ücret Bilgisi, İşe Giriş ve İşten Çıkış Tarihi, İmza, İşe Başlama Tarihi, SGK Fesih Kodu, “İşe Giriş ve İşten Çıkış Bildirgesi”, Sigortalılık Türü, ÇSGB İş Kolu, Mezuniyet Durumu, Yılı ve Bölümü, SGK Sicil Numarası, Ek Kazançlar, AGİ, SGK Dökümü, Ücret Hesap Pusulası, Kesinti Tutarı, İşten Çıkış Nedeni, Ödeme ve Tazminat Tutarı, Raporlu Olunan Tarih, Rapor Süresi, İşten Ayrılış Şekli, Hakkedilmiş Ücret, Kullanılmayan İzin Ücreti, Sosyal Haklar, İhbar ve Kıdem Tazminatı, “Sodexo; Yükleme Tutarı, Kart No ve Sodexo Kullanıcı Adı”, Sözleşme Şartları, Ürün/Hizmet, Tutar, Para Birimi, Açık Rıza Bilgisi, Unvan, İstifa Tarihi ve Nedeni, Vekalet Türü ve Geçerlilik Süresi, Yazı Kayıt Numarası ve Tarihi, Tarih, Gün, Saat

Hukuki İşlem Bilgileri

Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri

Tebligat, Dava Dosyası ve Numarası

İşlem Güvenliği Bilgileri

Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler

Dernek hesabı ile kurulan iletişime ait; “Eski E-posta Verileri”, Geçici Şifre ve Şifre, IP ve MAC Adresi, Makine ve Kullanıcı Adı, Uygulama ve Web Kullanımı, “Gönderilen ve Alınan Dosya Tipleri ve İçerikleri”, Risk Durum Değerlendirmesi, İnternet Aktivitesi, Yüklü Olan Güvenlik Servisleri ve Durumu, Güvenlik Politikaları, “Engellenen Uygulamalar, Web Sayfaları ve Kategorileri, PC Bileşenleri, Dosya İndirme Eylemleri, İçerikteki Sakıncalı Kelimeler”, URL, Erişeceği Kaynaklar, Departman, Görev, Erişim Sağlanan İnternet IP Adresi, Log Kaydı, Uzak Bağlantı ID, DERBİS Şifresi ve Kullanıcı Adı, veri güvenliği denetiminden geçen; “Tüm Veriler”, Tarih, Gün, Saat

Risk Yönetimi Bilgileri

Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler

Alınan Kararlar, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Derneğin Mali Bilgileri, Karar Tarihi ve Sayısı, Dernek Faaliyetleri Özeti, Dernek Tüzüğü, Dernek Üyeliğine Giriş ve Üyelikten Çıkış Tarihi, Evrak İmha Tutanak Bilgileri, “Karar Konusu, Tarihi ve Sayısı”, Tarih, Açık Rıza Bilgisi, Üye Türü ve Sayısı, “Gönüllü ve Ücretli Çalışan Sayısı ve Çalışma Türü”, Vekalet Türü ve Geçerlilik Süresi, “Yayının Türü, Yayın Aralığı, İçeriği, Dili ve Yayın Tarihi”, Yazı Kayıt Numarası ve Tarihi

Finans Bilgileri

Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler

Alındı Makbuzu, Mail Order Formu, Dekont ve Açıklaması, “Ödeme Açıklaması, Bilgisi, Şekli ve Tutarı”, Banka Adı ve Şubesi, İban ve Hesap No, Para Birimi, “Dernek; Gelir Gider ve Taşınır Taşınmaz Bilgileri”, Fatura, Fiş, İrsaliye, Slip, Ürün, Hizmet, Tutar, Muhasebe Kaydı, “Çek ve/veya Senet, Çekin ve/veya Senedin; Vadesi, Tutarı, Keşide Yeri, Para Birimi”, “Gelir Bilgileri; Gönderilen Fatura Numarası Tarihi ve Açıklaması, Alınan Ücret ve Diğer Hasılat, Hesaplanan KDV Tutarı”, “Gider Bilgileri; Alınan Fatura Numarası Tarihi ve Açıklaması, Ödenen Ücret, Satın Alınan Mal Bedeli, İndirilecek KDV Tutarı”, “Hesap Bilgileri; Hesap Adı, Borç ve/veya Alacak Tutarı”, “Kredi Kartı Banka Adı, Kredi Kartı Numarası, Geçerlilik Tarihi, Güvenlik Kodu”, Matrah ve Vergi Bildirimi, Tahakkuk Eden, Mahsup Edilen, Ödenecek Tutar, Vadesi, Tahsilat veya Tediye Makbuzu, Sözleşme Şartları, Şirket Sermaye Ortaklık Bedeli, Taşınır ve Taşınmaz Bilgileri, Tazminat Tutarı, Üye Aidatı, Üyelik ve Aidat Bilgisi, Tarih, Gün, Saat

Mesleki Deneyim Bilgileri

Kişinin edindiği kişisel donanım bilgileri

Derneğin; Üye Sayısı, Toplantının Niteliği, Toplantı ve Bildirim Tarihi, Toplam ve Katılan Üye Sayısı, Diploma, Sertifika, Eğitime Katılım ve Tamamlama Tarihi, Eğitimin Adı, Tarihi, Konusu ve İçeriği, Faaliyet Konusu ve Şekli, Teknik Eleman Sayısı, Yurt Dışı Temsilcilik Bilgisi, Sahip Olunan Standart/Kalite Belgeleri, İhtisas Konusu, Mezun Olunan Okul ve Tarihi, İş Tecrübesi, Kısa Özgeçmiş, Meslek, Öğrenim Durumu, Verilen Eğitimin Adı ve Eğitim Tarihi, Yabancı Dil Bilgisi ve Seviyesi, Eğitim Bilgileri, Katıldığı Staj, Kurs, Mesleki Kurs ve Eğitim Bilgileri, Kullanılan Programlar, Bilgisayar Bilgisi ve Seviyesi, Yabancı Dil Bilgisi, Sektördeki İş Tecrübesi

Pazarlama Bilgileri

Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler

Çerezler

Görsel ve İşitsel Kayıt Bilgileri

Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri

Anlık Mesajlaşma Uygulaması Fotoğrafı, Fotoğraf, Görüntü ve Ses Kaydı, Masaüstü Fotoğrafı

Dernek Üyeliği

Dernek üyeliği bilgileri

Derneğe Üye Olma İstek Sebebi, Dernek Adı, Dernek Üyelik Talebi, Üye Olunan Dernek ve Adı

Sağlık Bilgileri

Kişinin sağlığıyla ilgili olan tüm verileri

Ateş Ölçümü, HES Kodu, Kan Grubu, Sağlık Raporu, Teşhis, Tedavi, Sonuç, Yaranın Türü ve Vücuttaki Yeri, Uzuv Kaybı

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri

Kişilerin adli makamlarla ilgili olan verileri

Adli Sicil Kaydı, Tebligat, Dava Dosyası ve Numarası, Mahkeme Kararı, İcra Dairesi ve Dosya Numarası



11.     KİŞİSEL VERİ İMHASINI GEREKTİREN SEBEPLER

Kişisel veriler;

  • İşlenmesini gerektiren ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • İşlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Dernek tarafından kabul edilmesi,
  • Dernek ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya f. Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kişisel Verileri Koruma Kurumuna bulunması sonrası talebin Kişisel Verileri Koruma Kurumu tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin dolmasından sonra ilgili kişinin başvurusu ile ve/veya ilk periyodik silme işleminde silinir, yok edilir veya anonim hale getirilir.

Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi gerekir.

12.PERİYODİK İMHA SÜRESİ

Periyodik imhalar her yıl ARALIK aylarında yapılacaktır.
 

13. VERİ ANALİZİ, VERİ ENVANTERİ, VERİ/MAHREMİYET ETKİ DEĞERLENDİRME VE RİSKANALİZİ

Dernek tarafından, iş süreçlerinde kullanılan “kişisel ve özel nitelikli kişisel verilerin” tespiti için veri analizi çalışması yapılmıştır. Kişisel verileri, özel nitelikli kişisel verileri ve bu verilere ilişkin işleme faaliyetleri bilgileri, oluşturulan “Veri Envanterinde (Veri Haritası)” yer almaktadır. Veri envanteri şu amaçlarla kullanılmak için oluşturulmaktadır:

  • İşlenen veri ve veri kategorilerini tespit etmek.
  • İşleme faaliyetlerini (otomatik-manuel ve işleme tipi) tespit etmek.
  • Veri işlemenin kişisel mahremiyete etkisini değerlendirmek.
  • Veri güvenliğine ilişkin riskleri değerlendirmek.
  • Veri güvenliğine yönelik idari ve teknik tedbirlerin belirlenmesi için girdi sağlamak.
  • Veri sahibi ve ilgili mercilerden gelen veri işlemeye yönelik taleplerin karşılanmasında kılavuzluk yapmak.
  • Veri silme, yok etme ve anonimleştirme için dayanak oluşturmak.

Gereksiz veri işleme faaliyetlerini tespit ederek, süreçlerde veri işlemeye dayalı verimsizlikleri ve etkinsizlikleri ortadan kaldırmak.

13.1 Veri Envanteri / Veri Haritalama:

Veri işleme envanteri aşağıda yer alan bilgi alanlarını içermektedir:

  • Şirket
  • Lokasyon
  • Departman / Birim
  • Ana Süreç
  • Alt Süreç
  • Sürecini İşlem Adımları
  • İşlenen Kişisel Veri
  • İşlenen Kişisel Veri Kategorisi
  • İşlenen Veri Tipi (KV/ÖNKV)
  • Veri İşleme Amacı
  • İşlenen Kişisel Veri Sahibi
  • Veri Nerden Geliyor
  • Verinin Toplama Metodu
  • İşlenen Verinin Tutulduğu Doküman Adı
  • İşlenen Verinin Basılı Olarak Tutulduğu Dokümanın Saklandığı Yer
  • İşlenen Verinin Dijital Olarak Tutulduğu (Sürecin İşletildiği) Sistem/Uygulama Adı
  • İşlenen Verinin Dijital Olarak Tutulduğu Sistemin/Uygulamanın Bulunduğu Yer
  • İşlenen Kişisel Verinin İletildiği İç Birim
  • İşlenen Kişisel Verinin İç Birim/Departmana İletim Yöntemi
  • İşlenen Kişisel Verinin İletildiği Dış Kurum
  • İşlenen Kişisel Verinin Dış Kurum/Kuruluşa İletim Amacı
  • İşlenen Kişisel Verinin Dış Kurum/Kuruluşa İletim Yöntemi
  • Yurt İçi/Yurt Dışı
  • Veri İşleme Şartı
  • İşlenen Verinin Korunması İçin Yasal Dayanak
  • Arya Not
  • İşlenen Verinin Saklama Süresi
  • İşlenen Verinin Saklama Süresi Sonunda Uygulanan İşlem
  • İşlendiği Platform
  • İdari Tedbir
  • Teknik Tedbir
  • Finansal-Ekonomik Kayıp Etkisi
  • Bedensel ve Fiziksel Olumsuzluk Etkisi
  • Mesleki Kariyer Olumsuzluk Etkisi
  • Aile ve Sosyal Çevre Olumsuzluk Etkisi
  • Yasal Cezai Yaptırım Etkisi
  • Dini İnanç ve İbadet Özgürlüğü Olumsuz Etki
  • Etki Değeri
  • Risk Analizi
  • Risk Etki Değeri
  • Değişiklik Talebi

13.2 Veri Etki ve Mahremiyet Etki Değerlendirme:

Mevcut süreçler ve yeni devreye alınacak süreçlerde olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi yapılır. Bu analiz ile;

  • Ana süreç ve alt süreç,
  • Süreçte işlenen veri kategorisi ve işlenen veri,
  • Veri kategorisinin etki değeri,
  • Veri kategorisi etki değerine göre, temel veri koruma idari ve teknik tedbirleri belirlenir.

Bu çalışma ile amaç, olası veri ihlali durumunda hangi süreçlerin kişi hak ve özgürlüklerine daha fazla etki edeceğini belirleyerek, veri güvenliğini sağlamak için gerekli idari ve teknik tedbirleri öncelikli olarak bu süreçlerde almak suretiyle kaynakları ve riskleri daha etkili yönetmektir. 

Etki Düzeyleri

Çok Yüksek

5

Çok Yüksek- Maksimum Etki: Veri sahipleri, üstesinden gelememe ihtimalleri olan çok ciddi sonuçlarla karşılaşabilir (ödenemeyecek borç ya da çalışamama gibi finansal sıkıntı, uzun vadeli fiziksel ya da psikolojik sorunlar, ölüm, vb.)
ÖNKV’ ler bu gruba dahil edilmiştir.

Yüksek

4

Yüksek- Önemli Etki: Veri sahipleri, ancak ciddi zorluklarla üstesinden gelebilecekleri önemli sonuçlarla karşılaşabilir (mülkiyet hasarı, bankalar tarafından kara listeye alınma, mahkemeye çağırılma, sağlığın kötüye gitmesi, vb.)

Orta

3

Orta- Sınırlı Etki: Veri sahipleri, biraz zorluk yaşayarak da olsa üstesinden gelebilecekleri önemli sorunlarla karşılaşabilir (ilave masraf, erişimin reddedilmesi, stres, küçük fiziksel sıkıntılar, vb.)

Düşük

2

Düşük- Göz ardı edilebilir Etki: Veri sahipleri etkilenmez veya sorunsuzca üstesinden gelebilecekleri birkaç olumsuzluk la karşılaşabilir (bilgileri yeniden girmeye vakit harcamak, rahatsız olmak, vb.)

Etki yok

1

Etki yok: Veri sahipleri etkilenmez



KİŞİSEL VERİ KATEGORİSİ /VERBİS

Veri Kategorizasyon Açıklama

KİŞİSEL VERİ

Veri Tipi

Veri İhlalinin Veri Sahibine Etkisi

Etki Değeri

 

Finansal-Ekonomik Kayıp Etkisi

Bedensel ve fiziksel olumsuzluk etkisi

Mesleki Kariyer Olumsuzluk Etkisi

Aile ve Sosyal Çevre Olumsuzluk Etkisi

Yasal Cezai Yaptırım Etkisi

Dini inanç ve ibadet özgürlüğü olumsuz etki

 

Kimlik Bilgileri

Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı

Ad Soyad, Kimlik ve Seri No, Anne ve Baba Adı, Medeni Hal, Cinsiyet, Doğum Yeri ve Tarihi, Uyruk, İmza, Görevi ve Unvan, İlk Soyad, Milliyet, Nüfusa Kayıtlı Olduğu Yer, Fotoğraf, “Sürücü Belgesi; Belge Veriliş ve Geçerlilik Tarihi, Sürücü Sicil No, Sınıf Veriliş ve Geçerlilik Tarihi”, Vergi Dairesi ve Numarası, Doğum Yılı, Yaş, “Kullanıcı, Bilgisayar ve Makine Adı”, “Google, Online Görüşme Platformu, Anlık Mesajlaşma Uygulaması, Sosyal Medya Kullanıcı Adı”

KV

1

1

3

3

2

4

4

Kimlik Bilgileri

Kimlik bilgileri Ad Soyad, İmza

Ad Soyad, İmza

KV

2

1

2

2

2

1

2

İletişim Bilgileri

Kişiyle iletişim kurulması amacıyla kullanılan bilgileri

Firma Unvanı, Dernek Adı, Telefon No, Adres, E-posta, Dernek Unvanı, Telefon ve Faks No, Kişisel E-posta, Çalıştığı Kurum, Yakınlık Derecesi, Sektör, “İkametgâh Bilgileri ve Adresi”

KV

1

1

1

2

1

1

2

Lokasyon Bilgileri

Veri sahibinin konumunu tespit etmeye yarayan veriler

İş Kazası Lokasyonu

KV

3

1

1

3

1

1

3

Özlük Bilgileri

Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler

Askerlik Durumu, Muafiyet Nedeni, Sürücü Belgesi Bilgisi, Banka Adı ve Şubesi, İban ve Hesap No, Maaş ve Tutarı, Dekont ve Açıklaması, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Departman, Görevi ve Görev Kodu, SGK No, Giriş Çıkış Tarihi, Çalışma Gün Saat, Meslek Adı ve Kodu, Prime Esas Kazanç Tutarı, Çalıştığı ve Çalışılmayan Gün Sayısı, İzne Hak Kazandığı Tarih, İşyerindeki Kıdem, “Yıllık İzin; Tarihi, Süresi, Başlangıç ve Bitiş Tarihi”, Dernek Faaliyetleri Özeti, Evrak İmha Tutanak Bilgileri, Fazla Mesai Ücreti ve Tutarı, Maaş ve Ücret Bilgisi, İşe Giriş ve İşten Çıkış Tarihi, İmza, İşe Başlama Tarihi, SGK Fesih Kodu, “İşe Giriş ve İşten Çıkış Bildirgesi”, Sigortalılık Türü, ÇSGB İş Kolu, Mezuniyet Durumu, Yılı ve Bölümü, SGK Sicil Numarası, Ek Kazançlar, AGİ, SGK Dökümü, Ücret Hesap Pusulası, Kesinti Tutarı, İşten Çıkış Nedeni, Ödeme ve Tazminat Tutarı, Raporlu Olunan Tarih, Rapor Süresi, İşten Ayrılış Şekli, Hakkedilmiş Ücret, Kullanılmayan İzin Ücreti, Sosyal Haklar, İhbar ve Kıdem Tazminatı, “Sodexo; Yükleme Tutarı, Kart No ve Sodexo Kullanıcı Adı”, Sözleşme Şartları, Ürün/Hizmet, Tutar, Para Birimi, Açık Rıza Bilgisi, Unvan, İstifa Tarihi ve Nedeni, Vekalet Türü ve Geçerlilik Süresi, Yazı Kayıt Numarası ve Tarihi, Tarih, Gün, Saat

KV

2

2

3

2

1

2

3

Hukuki İşlem Bilgileri

Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri

Tebligat, Dava Dosyası ve Numarası

KV

3

2

4

4

1

4

4

İşlem Güvenliği Bilgileri

Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler

Dernek hesabı ile kurulan iletişime ait; “Eski E-posta Verileri”, Geçici Şifre ve Şifre, IP ve MAC Adresi, Makine ve Kullanıcı Adı, Uygulama ve Web Kullanımı, “Gönderilen ve Alınan Dosya Tipleri ve İçerikleri”, Risk Durum Değerlendirmesi, İnternet Aktivitesi, Yüklü Olan Güvenlik Servisleri ve Durumu, Güvenlik Politikaları, “Engellenen Uygulamalar, Web Sayfaları ve Kategorileri, PC Bileşenleri, Dosya İndirme Eylemleri, İçerikteki Sakıncalı Kelimeler”, URL, Erişeceği Kaynaklar, Departman, Görev, Erişim Sağlanan İnternet IP Adresi, Log Kaydı, Uzak Bağlantı ID, DERBİS Şifresi ve Kullanıcı Adı, veri güvenliği denetiminden geçen; “Tüm Veriler”, Tarih, Gün, Saat

KV

4

2

4

4

3

4

4

Risk Yönetimi Bilgileri

Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler

Alınan Kararlar, “Denetim Başlangıç ve Bitiş Tarihi, Denetim Soruları ve Açıklamaları, Eleştiri ve Tavsiyeler”, Derneğin Mali Bilgileri, Karar Tarihi ve Sayısı, Dernek Faaliyetleri Özeti, Dernek Tüzüğü, Dernek Üyeliğine Giriş ve Üyelikten Çıkış Tarihi, Evrak İmha Tutanak Bilgileri, “Karar Konusu, Tarihi ve Sayısı”, Tarih, Açık Rıza Bilgisi, Üye Türü ve Sayısı, “Gönüllü ve Ücretli Çalışan Sayısı ve Çalışma Türü”, Vekalet Türü ve Geçerlilik Süresi, “Yayının Türü, Yayın Aralığı, İçeriği, Dili ve Yayın Tarihi”, Yazı Kayıt Numarası ve Tarihi

KV

2

2

2

2

1

1

2

Finans Bilgileri

Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler

Alındı Makbuzu, Mail Order Formu, Dekont ve Açıklaması, “Ödeme Açıklaması, Bilgisi, Şekli ve Tutarı”, Banka Adı ve Şubesi, İban ve Hesap No, Para Birimi, “Dernek; Gelir Gider ve Taşınır Taşınmaz Bilgileri”, Fatura, Fiş, İrsaliye, Slip, Ürün/Hizmet, Tutar, Muhasebe Kaydı, “Çek ve/veya Senet, Çekin ve/veya Senedin; Vadesi, Tutarı, Keşide Yeri, Para Birimi”, “Gelir Bilgileri; Gönderilen Fatura Numarası Tarihi ve Açıklaması, Alınan Ücret ve Diğer Hasılat, Hesaplanan KDV Tutarı”, “Gider Bilgileri; Alınan Fatura Numarası Tarihi ve Açıklaması, Ödenen Ücret, Satın Alınan Mal Bedeli, İndirilecek KDV Tutarı”, “Hesap Bilgileri; Hesap Adı, Borç ve/veya Alacak Tutarı”, “Kredi Kartı Banka Adı, Kredi Kartı Numarası, Geçerlilik Tarihi, Güvenlik Kodu”, Matrah ve Vergi Bildirimi, Tahakkuk Eden, Mahsup Edilen, Ödenecek Tutar, Vadesi, Tahsilat veya Tediye Makbuzu, Sözleşme Şartları, Şirket Sermaye Ortaklık Bedeli, Taşınır ve Taşınmaz Bilgileri, Tazminat Tutarı, Üye Aidatı, Üyelik ve Aidat Bilgisi, Tarih, Gün, Saat

KV

3

2

3

3

1

1

3

Mesleki Deneyim Bilgileri

Kişinin edindiği kişisel donanım bilgileri

Derneğin; Üye Sayısı, Toplantının Niteliği, Toplantı ve Bildirim Tarihi, Toplam ve Katılan Üye Sayısı, Diploma, Sertifika, Eğitime Katılım ve Tamamlama Tarihi, Eğitimin Adı, Tarihi, Konusu ve İçeriği, Faaliyet Konusu ve Şekli, Teknik Eleman Sayısı, Yurt Dışı Temsilcilik Bilgisi, Sahip Olunan Standart/Kalite Belgeleri, İhtisas Konusu, Mezun Olunan Okul ve Tarihi, İş Tecrübesi, Kısa Özgeçmiş, Meslek, Öğrenim Durumu, Verilen Eğitimin Adı ve Eğitim Tarihi, Yabancı Dil Bilgisi ve Seviyesi, Eğitim Bilgileri, Katıldığı Staj, Kurs, Mesleki Kurs ve Eğitim Bilgileri, Kullanılan Programlar, Bilgisayar Bilgisi ve Seviyesi, Yabancı Dil Bilgisi, Sektördeki İş Tecrübesi

KV

2

1

2

2

1

2

2

Pazarlama Bilgileri

Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler

Çerezler

KV

1

1

1

1

1

1

1

Görsel ve İşitsel Kayıt Bilgileri

Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri

Anlık Mesajlaşma Uygulaması Fotoğrafı, Fotoğraf, Görüntü ve Ses Kaydı, Masaüstü Fotoğrafı

KV

4

2

4

4

4

4

4

Dernek Üyeliği

Dernek üyeliği bilgileri

Derneğe Üye Olma İstek Sebebi, Dernek Adı, Dernek Üyelik Talebi, Üye Olunan Dernek ve Adı

ÖNKV

4

2

4

4

5

5

5

Sağlık Bilgileri

Kişinin sağlığıyla ilgili olan tüm verileri

Ateş Ölçümü, HES Kodu, Kan Grubu, Sağlık Raporu, Teşhis, Tedavi, Sonuç, Yaranın Türü ve Vücuttaki Yeri, Uzuv Kaybı

ÖNKV

4

2

4

4

2

5

5

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri

Kişilerin adli makamlarla ilgili olan verileri

Adli Sicil Kaydı, Tebligat, Dava Dosyası ve Numarası, Mahkeme Kararı, İcra Dairesi ve Dosya Numarası

ÖNKV

4

2

5

5

4

5

5

13.3 Risk Analizi:

Mevcut ve yeni devreye alınacak süreçlerde veri ihlalinin oluşma ihtimali analiz edilir.

Verinin ihlali durumunda, Veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizi birleştirilmiştir.

 Bu analizlerde aşağıdaki ana başlıklar göz önünde bulundurulmuştur.

  • Ana Süreç ve Alt Süreç
  • Veri Kategorisi
  • Verinin bulunduğu ortamlar ve bu ortamların güvenlik analizleri
  • Verinin paylaşıldığı iç ve dış kurumlar ile paylaşımla şekli
  • Zafiyet testi sonuçları

Bu analiz sonuçlarına uygun olarak Teknik ve İdari tedbirler güncellenir.

Olasılıklar

Değer

Açıklama

Yangın, Doğal Afetler, Kaybolma, Unutma, Hırsızlık, Gasp, Hacklenme, Kötü niyetli yazılıma maruz kalma, Görevin kötüye kullanılması durumlarının çok olası olması

 

0

Risk Yok

1

Düşük

2

Orta

3

Yüksek

4

Çok Yüksek

 

13.4 Risk Etki Değeri

Veri haritası üzerinde süreç bazında, sürecin işlem adımlarına ve işlenen kişisel veriye göre bu veride oluşabilecek bir veri ihlal durumunda veri sahibinin nasıl etkileneceği 6 ana kategoride değerlendirilir. Süreç bazında veri ihlal olasılığını Risk Analizi kısmında değerlendirilir. Etki değeri ve Risk analizini çarparak Risk Etki Değerini bulunur. Bu sayede Risk etki değeri en yüksek olan süreçler ve/veya Etki değeri yüksek olan süreçler için hızlıca önlem alınması sağlanmaktadır.

ÖRNEK GDPR VERİ ETKİ DEĞERLENDİRME

KİŞİSEL VERİ KATEGORİSİ /VERBİS

VERİNİN
TİPİ

Etki Değeri

Risk Analizi

Risk Etki Değeri

Kimlik Bilgileri

KV

4

1

4

İletişim Bilgileri

KV

2

2

4

Lokasyon Bilgileri

KV

2

2

4

Özlük Bilgileri

KV/ÖNKV

4

3

12

Hukuki İşlem Bilgileri

KV/ÖNKV

5

3

15

Dernek Üyeliği

ÖNKV

4

3

12



14.        VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ

Veri Sahibi, Kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir: 

  • Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
  • Kendisi ile ilgili kişisel veri işlenmiş ise buna ilişkin bilgi talep etme.
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme. 
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme. 
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
  • İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
  • Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme. 
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme. 
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Aşağıda belirtilen maddeler ve hususlara göre, bu kanun uygulanmayacağından, veri sahibin hakları belirtilen durumalar çerçevesinde işleme alınmayacaktır. Kanun’un 28. Maddesinin 2. Fıkrasında, kanunun 11.Maddesinde belirtilen veri sahibinin uğradığı zararın giderilmesi hakkı hariç, aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması, 

Kanun’un 28. Maddesinin 1. Fıkrasına göre aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

14.1.Veri Sahibi Tarafından Hakların Kullanılması

Veri sorumlusu sıfatıyla Dernek tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir.

Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte bulunabilir:

  • https://www.tuyak.org.tr/ adresinde yer alan elektronik formu doldurarak,
  • tuyak@tuyak.org.tr E-posta adreslerinden birine talebini E-posta ile ileterek,
  • Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok K: 9 No: 1376 Şişli/İstanbul adresine fiziki posta göndererek,
  • Halil Rıfat Paşa Mah. Yüzer Havuz Sok. Perpa Ticaret Merkezi B Blok K: 9 No: 1376 Şişli/İstanbul adresine fiilen gelerek yazılı başvuruda bulunarak,
  • (+90) 212 320 24 04 veya (+90) 541 617 99 59 no’ lu telefonu arayarak.

Kanunda öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir. 

15.VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ

Kanunun 10, 12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan sorumluluk, hak ve yükümlülüklere sahiptir:

  • Aydınlatma yükümlülüklerini yerine getirmek.
  • Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.
  • Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.
  • Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.
  • Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyor ise, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.
  • Kanunda belirtilen hükümlerin uygulanmasını sağlamak amacıyla belirli periyotlarda denetimler yapmak veya yaptırmak.
  • Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla bildirmek.
  • Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’ e (sicile) kayıt yaptırmak.
  • Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi biten verilerin imhasını gerçekleştirmek.
  • Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.

15.1.Veri Sahibinin Aydınlatılması ve Açık Rıza;

Veri sahibi, web sayfamızı ziyaretinde ve ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve açık rıza beyanları alınmaktadır. Bunların yanı sıra tesisin muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.

16. VERİ İŞLEYENİN HAK VE YÜKÜMLÜLÜKLERİ

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Veri işleyen kapsamında şunlar değerlendirilmektedir:

  • Ürün ve hizmet alınan tedarikçiler ve iş ortakları,

Veri isleyenler öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri işleyenin görevinden ayrılmasından sonra da devam etmektedir.

Kişisel verilerin hukuka aykırı olarak islenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesinin önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü̈ teknik ve idari tedbirlerin alınması hususunda veri işleyen, veri sorumlusu ile müştereken sorumludur.

Veri işleyen ihmal, hata veya kasıtlı olarak veri ihlali gerçekleştirmesi durumunda kanuni çerçevede cezai yaptırımla karşı karşıya kalacaktır. Veri işleyen sıfatıyla;

Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.

17. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAMA SÜRESİ SONU İŞLEMLER

Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir. 

Faaliyet / Süreç

Saklama Süresi

İlgili Kanun

İmha Süreleri

Ateş Ölçümü Süreci

Saklanmaz

1593 Sayılı Umumi Hıfzıssıhha Kanunu

● Saklanmaz

Antivirüs, Yetki Matrisi, Çerezler Süreçleri

2 yıl

6698 Sayılı Kişisel Verilerin Korunması Kanunu, 5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İşletme Hesabı/Yevmiye Defter, Mutabakat Gönderme/Yanıtlama, “Kıdem/Tazminat ve Hacizli Maaşlar Ödeme, “DERBİS Başvurusu, Beyanname, Bildirimler, Üye İşlemleri”,Dernek Beyanname, Üye Aidatları, Tahsilat/Tediye Makbuzları, Ödemesi Yapılacak Faturalar ve E-posta, Ödeme Nakit ve Havale/EFT ile, Süreçleri

5 yıl

213 sayılı Vergi Usul Kanunu, 4857 Sayılı İş Kanunu, 5253 sayılı Dernekler Kanunu, 5411 sayılı Bankacılık Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Banka Hesaplarının İşlenmesi, Beyannamelerin Verilmesi,Gelen Basılı Fatura/Fiş ve E-Fatura, Resmi Kurum Denetleme/Evrak Talebi, Çıkış İşlemleri SGK ve Bildirim, Çalışma Belgesi, İbraname,İstifa Eden ve İşten Çıkarılan Personel, Dergi Yayın İzni,Dernek Denetim Kurulu -İç Denetim ve Faaliyet Raporu, Dernek Mali Gelir Gider Tablosu, Dernek Üyelik Talebi, Karar Defteri Noter Onayı, Mail Order ile, “Olağan/Olağanüstü  Genel Kurul; Seçim, Sonuç Bildirim, Toplantı Tutanağı ve Üye Listesi”, Ödemeler Karar Defterine İşlenmesi, Resmi Yazışmalar, Şahıs ve Tüzel Üye Bilgi Formu Paylaşımı, Şahıs ve Tüzel Üye Kabulü, Üye Kayıt Defteri, Banka Talimatı, Bankadan Nakit Çekme/Yatırma, Maaş Ödemesi, E-posta Adresi Kapama, Aydınlatma/Açık Rıza, Veri İmha Süreçleri

11 yıl

213 sayılı Vergi Usul Kanunu, 3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu, 5187 sayılı Basın Kanunu, 5253 sayılı Dernekler Kanunu, 5411 sayılı Bankacılık Kanunu,5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi, 6698 Kişisel Verilerin Korunması Kanunu,6098 Sayılı Türk Borçlar Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İş Göremezlik Raporu Süreci

15 yıl

5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Sodexo Kart ve Yükleme, Ücret Hesap Pusulası Süreçleri

Çalışan işten ayrıldıktan sonra 5 yıl

4857 Sayılı İş Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Hacizli Maaşlar, Aile Durumu Bildirimi, “SGK; Tahakkuk, Giriş ve Bilgi Paylaşımı”,Hacizli Maaşlar Mali Müşavir, Adli Sicil Kaydı,Belirli/Belirsiz Süreli İş Sözleşmesi, Devamsızlık, İhmal/Vukuat, İhtarname, İşe Başlatma, Yatay Bordro, Ücret Hesap Pusulası Süreçleri

Çalışan işten ayrıldıktan sonra 11 yıl

2004 Sayılı İcra ve İflas Kanunu, 213 sayılı Vergi Usul Kanunu,3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İş Göremezlik Raporu Mali Müşavir, İş Göremezlik Raporu, İş Kazası Bildirimi ve Mali Müşavir, Sağlık Raporu

Çalışan işten ayrıldıktan sonra 15 yıl

3568 sayılı SMMM ve YMM Kanunu, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Ticari Anlaşmazlık, İş Mahkemesi, Arabuluculuk Süreçleri

Dava kesinleştikten sonra 11 yıl

2004 Sayılı İcra ve İflas Kanunu, 4857 Sayılı İş Kanunu, 1136 Sayılı Avukatlık Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Mal/Hizmet Alım Sözleşmesi Süreci

Ticari ilişki sona erdikten sonra 11 yıl

6102 Sayılı Türk Ticaret Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Yetki Belgeleri Süreci

Vekalet süresince

1136 Sayılı Avukatlık Kanunu, 3568 sayılı SMMM ve YMM Kanunu, 6102 Sayılı Türk Ticaret Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Dernek Kuruluş, Dernek Tüzüğü, Dernek Yönetim Kurulu Süreçleri

Dernek var olduğu sürece

5253 sayılı Dernekler Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Loglama Süreci

Eski verinin üzerine yenisi yazılır

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi

● Eski verinin üzerine yenisi yazılır

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Bilgisayar Periyodik Bakımları, Firewall Güvenlik Ayarları ve Yazılımsal Arıza, Referans Araştırması, Uzak Masaüstü Bağlantısı, Yetki Matrisi E-posta

2 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Dernek Alındı Makbuzu Basımı, Dernek Bilgilendirme Mailing, Fiyat Araştırması ve E-posta, İş Başvurusu, Kasa Hesabı, Mutabakat Gönderme/Yanıtlama E-posta,Ödemesi Yapılacak Faturalar ve E-posta, Teklif ve Sözleşmeler ve E-posta, İş Görüşmesi Onaylanan Süreçleri

5 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Aydınlatma/Açık Rıza E-posta, Banka Hesaplarının İşlenmesi E-posta, Bilgilendirme ve Talep Alımı ve E-posta, Çıkış İşlemleri SGK ve Bildirim E-posta, Dernek Üyelik Talebi ve E-posta, Eğitim Kayıt ve Kaydı, İbraname E-posta, Konuşmacı CV Talebi ve E-posta, Maaş Ödemesi E-posta, Mail Order E-posta, Moderatör ile Konuşmacı CV Paylaşımı ve E-posta, Online Eğitim ve Link Paylaşımı, Online Sempozyum Kaydı, Online ve Matbu Dergi Yayını, Sempozyum Bildiri Sistemi, Sempozyum Kaydı,Sempozyum/Eğitim/Webinar,SGK Giriş ve Bilgi Paylaşımı E-posta, Toplantı Ses Kaydı, TÜYAK Kuruluşları İletişim, Ücret Hesap Pusulası E-posta, Üyelikten Çıkarma ve Ödenmemiş Aidat Talebi, Webinar Duyuruları ve E-posta, Webinar Kaydı ve Link Paylaşımı, Yüz yüze Eğitim Kaydı ve Konuşmacı CV Talebi, Online Eğitim Kaydı Süreçleri

11 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

E-posta Açma Süreci

Çalışan işten ayrıldıktan sonra 1 hafta

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Hacizli Maaşlar Mali Müşavir E-posta, Yatay Bordro, Ücret Hesap E-posta, SGK Giriş E-posta Süreçleri

Çalışan işten ayrıldıktan sonra 11 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İş Göremezlik Raporu Mali E-posta Süreci

Çalışan işten ayrıldıktan sonra 15 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İş Mahkemesi E-posta, Ticari Anlaşmazlık E-posta Süreçleri

Dava kesinleştikten sonra 11 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Mal/Hizmet Alım Sözleşmesi E-posta Süreci

Ticari ilişki sona erdikten sonra 11 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Kartvizit Paylaşımı, Alan Adı Yönetimi Süreçleri

Ticari ilişki süresince

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve yok etme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Yetki Belgeleri E-posta Süreci

Vekalet süresince

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Online Eğitim Kaydı Sosyal Medya, Sempozyum Kaydı Sosyal Medya, Sosyal Medya Yönetimi, Webinar Kaydı Sosyal Medya Süreçleri

Hesap kullanıldığı paylaşım silinmediği sürece

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Mailing Liste Gönderimi Süreci

Açık rıza süresince

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

E-posta Periyodik Yedek Süreci

3 ay

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Eski verinin üzerine yenisi yazılır

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Uygulamalar ve Yazıcı Kurulumu Süreci

Eski verinin üzerine yenisi yazılır

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Eski verinin üzerine yenisi yazılır

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Çerezler Süreci

Oturum süresince, 1 gün, 2 yıl

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Kullanıcının kendi cihazındadır.

 

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

  • Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
  • Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
  • Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hale getirilmesi gerekir.

18. KİŞİSEL VERİLERİN KORUNMASI- İDARİ VE TEKNİK TEDBİRLER 

Veri sorumlusu sıfatıyla Dernek tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.

Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hata ile veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır. 

İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları aşağıdaki gibi kategorize edilmiştir:

18.1. Riskler:

  • Bilgi sistemlerine yönelik riskler:

Sistem, sunucu, uygulama, web platformu, dış-iç network, ses, kamera, yazıcı, tarayıcı, kişisel bilgisayar, cep telefonu, tablet, veri depolama üniteleri ve veri merkezi gibi tüm bilgi sistemleri varlıklarına/unsurlarına yönelik riskler.   

  • Bina, ofis, oda ve hizmet gerçekleştirme ortamlarına yönelik riskler:

Hizmetlerin sunulduğu ve iş süreçlerinin gerçekleştirilerek kişisel verilerin işlendiği fiziksel ortamlara yönelik riskler.

  • Arşiv ortamlarına yönelik riskler:

Bilgilerin fiziksel dokümanlarda saklandığı ortamlara ve verinin bu ortamlara/ortamlardan olan transfer süreçlerinin güvenliğine yönelik riskler.

  • İş süreçlerinin işleyişine yönelik riskler:

Süreçlerin işletilmesinde erişim, yetki ve iş kurallarına yönelik riskler.

  • Personele yönelik riskler:

Hizmet gerçekleştiren ve veri işleyen tüm personele ilişkin görev, yetki ve yetkinliğe yönelik veri güvenliği riskleri. KVK Kanunu hakkında bilgi eksikliği nedeni ile oluşabilecek riskler.

  • Tedarikçi ve sağlanan girdilere yönelik riskler:

Tedarikçiler ve bunlardan sağlanan ürün ve hizmetlere yönelik veri güvenliği riskleri. KVK Kanunu hakkında bilgi eksikliği nedeni ile oluşabilecek riskler.

  • Ürün ve Hizmet alan kişilerin verilerine yönelik riskler:

Ürün ve hizmet alan kişilerden alınan verilere ilişkin veri güvenliği hizmetleri.

  • Ziyaretçi verilerine yönelik riskler:

Kanunen ve fiziki güvenliğimiz için ziyaretçilerden alınan verilere ilişkin veri güvenliği hizmetleri.

Dernek tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan idari tedbirler aşağıdaki gibidir:

18.2. İdari Tedbirler

  • Personel farkındalık ve yetkinliğine yönelik tedbirler:
    • Belirli (senede 2 uygun mudur) periyotlarda eğitim ve farkındalık çalışmaları yapılmaktadır. Sınav ile desteklenmektedir.
    • Sınavda başarı sağlayamayan kişiler, başarısız oldukları bölümlerle ilgili olarak tekrar eğitime alınır ve başarı sınav ile belgelenmektedir.
    • İşe yeni başlayan personeller mutlaka iş başı yapmadan önce KVKK eğitimi almaktadırlar.
    • Özel Nitelikli kişisel Veri işleyen çalışan eğitimlerde %90 üzeri başarı elde etmeden çalışmaya başlamamaktadır.
    • Kurum içi Kişisel Verileri Korunması için el kitapçığı elektronik ve basılı olarak dağıtılmaktadır. Güncelliği takip edilmektedir.
    • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
    • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Kişisel veri işleme envanteri (Veri Haritası):

Kişisel verilerin işleme envanteri hazırlanmıştır. Senede 2 defa kalite departmanı tarafından denetlenmektedir. Yeni bir sürece başlanacak ise sürece başlanmadan önce envantere işlenir. Veri ve Mahremiyet etki, Etki değeri, Risk analizi ve Risk değerine göre gerekli önlemler alınmaktadır.

18.3. Kurumsal Politikalar:

  • Sözleşmeler:

Veri sorumluları arasında ve Veri sorumlusu ile Veri işleyen arasında KVKK kapsamında hak sorumlulukları tanımlayan sözleşmeler yapılmaktadır.

  • Gizlilik Sözleşmesi:

Veri aktarılan taraflarla gizlilik sözleşmesi imzalanmaktadır.

  • İç / Dış Denetim:

Kurum içi Periyodik ve/veya Rastgele Denetimler yapılmaktadır.

  • VED, MED, Risk Analizi:

Veri Etki değerlendirme, Mahremiyet etki değerlendirme ve Risk Analizleri yapılmıştır. Bu analizlere uygun gerekli teknik ve idari tedbirler alınmıştır. Yeni bir sürece başlamadan önce Veri Etki değerlendirme, Mahremiyet etki değerlendirme ve Risk Analizleri yapılacaktır. Bu analizlere uygun gerekli teknik ve idari tedbirler alınacaktır.

  • Kurumsal İletişim:

Veri ihlal durumlarında Kurul ve ilgili kişi bilgilendirilecek, Veri Sahibinin taleplerinde ise veri sahibine karşı sorumluluklarımızın yerine getirilecektir. Kriz ve itibar yönetimi uygulanmaktadır.

  • Aydınlatma:

Kişisel verilerin işlemeden önce veya ilk fırsatta Veri Sahibine karşı aydınlatma yükümlülüğü yerine getirilmektedir. Web sayfası, Çağrı merkezi, E-posta, Fiziksel mekanlarımızdaki bilgilendirme yazıları/görselleri ve benzeri metotlar (lütfen belirtin) kullanılmaktadır. Görme engelli Veri Sahiplerinin aydınlatılma yükümlülüğünün yerine getirilmesi için gerekli işlemler yapılmaktadır.

  • Açık Rıza:

Veri işlemek için Hukuksal bir sebep olmadığı durumlarda Açık Rıza alınmaktadır ve açık rıza sonrası Kişisel Veri işlenmektedir.

  • Kişisel Verilerin Azaltılması:

Kişisel veriler mümkün olduğunca azaltılmaktadır. Bu konuda senede 1 defa çalışma yapılmaktadır. Bu çalışmalarda VED ve MED ile RİSK Analizleri göz önünde bulundurulmaktadır.

  • Politika Yayınlama ve Güncelleme:

Politikada politikanın yürürlüğe girdiği tarih belirtilmiştir. Politika güncellendiğinde, yürürlüğe girdiği tarih belirtilir ve eski politikaya hangi tarihler arasında geçerli olduğu bilgisi eklenerek arşive alınır.

  • Bilgilendirmeye ve Güncelliğe Yönelik Tedbirler:

Kişisel veri işleme faaliyeti ve amacı değiştiğinde, veri işleme faaliyetinden önce süreç veri haritasına işlenir, risk değerlendirmesi yapılır, olası riskler hesaplanıp riski azaltıcı önlemler belirlenir, teknik ve idari tedbirler güncellenerek devreye alınır, politikaya işlenir bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmektedir.

Veri sahibinin iletişim bilgilerinin güncelliği, veri sahibinin iletişim için izin verdiği kanallardan senede bir kere kontrol edilir, güncel olmayan bilgiler güncellenmektedir. Bu işlemlerin yapıldığı ispat yükümlülüğü için kayıt altına alınıp saklanmaktadır.

  • Kurum İçi Denetlemeler:
    • Her ay tüm basılı evrak bulunan mekanlar, imha işlemleri ve evrakların transferleri en az iki kişi tarafından denetlenmektedir. Kişisel ve Özel nitelikli verilerin uygun koşullarda işlendiği, uygun güvenlik önlemleri ile transfer edildiği ve uygun güvenlik önlemleri ile imha edildiği kontrol edilmektedir. Bulgular yönetime raporlanmaktadır. Eksikler en kısa sürede tamamlanmaktadır. Eksiklerin veya uygunsuzlukların gözlemlendiği departman çalışanlarına eğitimler verilmektedir. Kötü niyetli hareketlerde disiplin cezası uygulanmaktadır.
    • Her hafta tüm elektronik bilgi bulunan mekanlar ve cihazlar en az iki kişi tarafından denetlenmektedir. Veri işleme ile ilgili tüm aşamalar denetlenmektedir. Bulgular yönetime raporlanmaktadır. Eksikler en kısa sürede tamamlanmaktadır. Eksiklerin veya uygunsuzlukların gözlemlendiği departman çalışanlarına eğitimler verilmektedir. Kötü niyetli hareketlerde disiplin cezası uygulanmaktadır.
    • Her yıl bir defa veri envanteri denetlenmektedir. Eksikler varsa giderilmektedir. Politika, aydınlatma ve açık rıza metinleri ve Verbis kaydı buna uygun olarak güncellenmektedir.
    • Senede en az 2 defa zafiyet testi yapılmaktadır.
    • Kişisel veri işlenmesi ile ilgili SIEM veya Alarm Özellikli Log sunucusuna özel kurallar yazılmaktadır. Yetkisiz girişlerde alarmlar oluşturulmakta ve ivedilikle kontrol edilmektedir. Gerektiğinde hangi verilere kimlerin eriştiği loglardan kontrol edilebilmektedir. Tüm cihazların yetkisiz giriş alarmları mümkün olan en kısa sürede (10 dakika önerilir) kontrol edilmekte ve gerekli önlemler alınmaktadır.
    • Yeni bir sürece başlanacağı veya mevcut süreçte bir değişiklik yapılacağı zaman, mutlaka öncesinde kalite departmanı (sorumlu departmanı lütfen belirtin) süreci dokümante etmektedir. KVKK açısından VED ve MED göz önünde bulundurularak RISK Analizi ile süreç analiz edilmektedir. Bu analize uygun gerekli süreç güncellemeleri ile teknik ve idari tedbirlerin uygulanmasından sonra süreci işletecek kişilere eğitimler verilmektedir. Uyulup uyulmadığı denetlenmektedir.
  • Kurum Dışı Denetlemeler:
    • Senede bir defa basılı dokümanların bulunduğu ortamlarda denetleme yapılmaktadır.
    • Senede bir defa zafiyet testi yapılmaktadır.
    • Senede bir defa sızma testi yapılmaktadır.
    • Senede bir defa teknik ve idari tedbirler denetlenmektedir.
    • Senede bir defa yetki matrisleri denetlenmektedir.
    • Senede bir defa ilgili kişi talebi, KVK Kurumu talebi, Veri Sızıntısı durumu tatbikatı yapılmaktadır.
    • Senede bir defa, önceden haber verilmeksizin tüm personel denetlenmektedir.

18.4.  Departman Arşivleri, Departman İçi Çalışma Ortamları ve Departman Dolaplarının Güvenliği:

  • Kişisel veri ve özel nitelikli veri içeren elektronik ortam veya basılı evrakların bulunduğu departman dolapları kilit altında tutulmaktadır. Kilit anahtarı sadece veriye erişme yetkisi olan kişilerin erişebileceği yerde saklanmaktadır. Yetki matrisinde belirtilmektedir. Yetkiler özel izinlere tabidir.
  • Özel Nitelikli Kişisel Veri içeren elektronik ortam veya basılı evraklar özel nitelikli veri içerdiğini belli eden dosya / klasör veya kutular içerisinde saklanmaktadır. Üzerlerine gizlilik derecesini belirten kaşe veya damga kullanılmaktadır.
  • Özel Nitelikli Kişisel Veri içeren elektronik ortam veya basılı evrakların bulunduğu dolapların güvenliği için ek tedbirler alınmaktadır. Kilitli çelik dolapta tutulmakta ve anahtarla açılmaktadır. Farklı odalarda / dolaplarda bulundurularak departmandaki herkesin erişimi engellenmektedir, harekete duyarlı kamera ile dolaplara erişimler izlenmekte ve daha uzun süre bu kayıtlar saklanabilmektedir.
  • Kişisel veriler, içeren elektronik ortam veya basılı evrakların departman içerisinde herkesin kolayca erişebileceği şekilde bulundurulmamaktadır. En kısa sürede kilit altına alınmaktadır.
  • Departmanlardaki basılı evrakların imhası kâğıt öğütme makinaları ile yapılmaktadır.
  • Departman çalışanları masalarının çekmecelerinde kişisel veri içeren basılı veya elektronik ortam bulunduruyorlarsa kilit altında tutmaktadırlar.
  • Departmanlara ait her türlü elektronik ortam imhasında veriler kalıcı ve geri kurtarılamaz şekilde silinmektedir.(Bu işlem yapılamıyorsa ortam türüne göre,) Yakma, manyetik veri silme (veya bu iş için teknik altyapı müsait değilse dış kaynak kullanımı) ile yapılmaktadır.
  • Departman arşivleri ortak kullanımda değildir. Her departman yetkilisi sadece kendi departmanına ait arşive girebilmektedir. Arşivlerde harekete duyarlı kamera bulunmakta ve en az 10 yıl boyunca kayıtlar saklanmaktadır. Kameraların açısı evraklarla iletişim içerisinde olan kişinin yaptıklarını görecek şekilde ayarlanmıştır. Departman arşivlerine girişler özel izinlere tabidir ve yetki matrisinde belirtilmiştir. Gerekmedikçe bir kişinin tek başına departman arşivine girmesine izin verilmemektedir.
  • Yangın, sel, iklim değişiklikleri, rutubet, zararlı haşerelere ve kemirgenlere, voltaj kesintileri/dalgalanmalarına ve yetkisiz girişlere karşı önlemler alınmaktadır.
  • Arşiv odaları çelik kapılıdır.
  • Arşiv odaları yanmaz boya ile boyanmıştır.

18.5.  Özel Nitelikli Veri Transferleri ve Saklama:

  • Özel nitelikli kişisel verilerin elektronik ortamda transferleri kriptolanarak yapılmaktadır. Kripto anahtarı farklı ortamdadır. Böylelikle ikisinin de aynı anda ele geçme riskine karşı önlem alınmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta ile gönderilecekse şifreli olarak, kurumsal elektronik posta veya KEP ile yapılmaktadır.
  • Sunucular üzeri haberleşmelerde ağ güvenliği için ek tedbirler alınmaktadır. Şifreli ortamlarda veri alışverişi yapılmaktadır. SSL VPN, IPSEC VPN, SFTP, HTTPS vb. gibi.
  • Veriler basılı evrak veya dosya ile transfer ediliyorsa çok gizli ibaresi ile transfer edilmektedir. Gerekli fiziksel önlemler alınmaktadır.
  • Özel nitelikli kişisel veriler başka kurumlara iletileceği zaman bilgilendirme ve gizlilik sözleşmesi yapılmaktadır.
  • Özel nitelikli kişisel verilerin bulunduğu (basılı veya elektronik) ortamlar kilitlidir. Kilit anahtarına erişim sadece yetkili kişilerde bulunmaktadır. Erişim yetkileri yetki matrisinde belirtilmektedir ve erişim izinleri özel izne tabidir. Kamera ile izlenmektedir.
  • Özel nitelikli kişisel verilerin bulunduğu basılı dokümanların veya klasörlerin üzerinde gizlilik derecesini belli eden ibareler bulunmaktadır.
  • Özel nitelikli kişisel verileri içeren elektronik dokümanlar sınıflandırılmakta ve gizlilik derecesini belirten bir TAG’lama (etiketleme) (hassasiyete göre sınıflandırmış) ile saklanmaktadır.
  • Özel nitelikli kişisel veri içeren bilgilerin bulunduğu odaların kapıları çelik ve kilitlidir. Kamera ile izlenmektedir.
  • Özel nitelikli kişisel veri içeren dolapların üzerinde gerekli uyarı yer almaktadır. Dolaplar çelik ve kilit altındadır. Kamera ile izlenmektedir.

18.6.  Basılı Veri Sınıflandırmaya Yönelik Tedbirler:

  • Kişisel veri içeren belgeler (basılı evrak, notlar, elektronik postalar, fakslar ve benzeri) ve dosyalar üzerinde bunu belirten ibareler ile korunarak saklanmaktadır.
  • Özel nitelikli kişisel veriler içeren belgeler (basılı evrak, notlar, fakslar ve benzeri) ve dosyalar üzerinde bunu belirten ve dikkat çekecek ibareler bulunmaktadır.
  • Ek olarak eğer bir kişi bu bilgileri içeren bir belgeyi yanlışlıkla elde etmiş ise, belge üzerinde okumaması ve derhal imha etmesi gerektiği belirtilmektedir.
  • Özel nitelikli Kişisel verileri barındıran saklama dolapları üzerine gerekli uyarılar asılmıştır.

18.7.  Kamera Verilerinin İşlenmesine Yönelik İdari Tedbirler:

  • Kameralara erişimler özel izne tabidir ve yetki matrisine işlenmektedir.
  • Savcılık kararı olmadan kimse ile paylaşılmamaktadır.

18.8. Yazıcı ve Tarayıcılara Yönelik Tedbirler:

  • Kişisel verilerin yetkisiz kişilerin eline geçmemesi için ortak alan yazıcılarına özellikle ÖNKV içeren dosyalar gönderilmemektedir. Gönderilmesi gerekiyorsa ek tedbirler alınmaktadır.
  • Özel nitelikli kişisel veriler için departman ve/veya kişisel yazıcı/tarayıcı kullanılmaktadır.

 

Teknik Altyapı İle İlgili Tedbirler:

18.9.  İnternet ve Özel Devre Sağlayıcıya Yönelik İdari Tedbirler:

  • İnternet ve özel devre ekipmanlarına (switch, router, radyo üzerinden ağ iletişimi sağlayan cihazlar vb.) erişim izinleri hizmet sağlayıcıların sorumluluğundadır ve erişim kayıtları hizmet sağlayıcılar tarafından zaman damgası ile imzalı olarak loglanmakta ve saklanmaktadır.
  • Erişim izinleri sorumluluğu Dernek’de olan xdsl vb. cihazların erişim kayıtları imzalı olarak loglanmakta ve saklanmaktadır.
  • İnternet sağlayıcı/sağlayıcılarla KVKK teknik ve idari şartlarını karşılayacak şekilde gizlilik sözleşmeleri imzalanmaktadır.

Dernek tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan teknik tedbirler aşağıdaki gibidir:

  • Güvenlik tedbirleri misafir ağı için değildir.

18.10.  Log/Siem Sistemine Yönelik Tedbirler:

  • Hangi kullanıcının, ne zaman, hangi kaynaktan, hangi hedefe eriştiğinin bilgisi log içerisinde bulunmaktadır. Başarılı ve başarısız girişimleri içermektedir.
  • Erişilen hedefte yapılan işlemlerin detayları log kaydını gönderen sistemin yetenekleriyle sınırlı olarak mümkün olduğunca detaylı ve eksiksizdir.
  • Yönetici Makinaları tüm olayları log sunucusuna log olarak göndermektedir.
  • Kullanıcılar ve yöneticiler bu olay kayıtlarına müdahale edememektedir.
  • Loglar, log sunucusuna şifreli olarak transfer edilmektedir.
  • Logların farklı sunucu üzerinde yedeği bulunmaktadır. Yedek, aktif log sunusundan farklı bir ağda ve farklı bir makina üzerinde bulunmaktadır. Farklı lokasyonda tutulmaktadır. Hizmet sağlayıcıların sorumluluğunda olan sistemlerin logları hizmet sağlayıcıların sorumluluğunda olduğu için yedekleme politikaları da hizmet sağlayıcılar tarafından belirlenmektedir.
  • Loglar en fazla 25 saat içerisinde hashlenmekte veya zaman damgası ile imzalanmaktadır.
  • Loglar içerisinde arama yapılabilmektedir.
  • Loglar 2 yıl boyunca saklanmaktadır.
  • Gelen loglar için korelasyon kuralları uygulanmaktadır ve olası güvenlik ihlallerine veya tehditlerine karşı kuruma özel uyarı mekanizmaları geliştirilmiştir. Uyarılar E-posta ile ilgili kişilere hızlıca iletilmekte ve 7/24 takip
  • Alarmların kritiklik seviyesi belirlenmektedir. Uyarıların da kritiklik seviyesi belirlenmektedir. Mesajlar özelleştirilmektedir.
  • Log sunucusu farklı tip alarmları farklı kullanıcılara iletmektedir.
  • Bilgi işlem departmanından en az 2 kişiye alarmlar E-posta ile ulaşmaktadır. (Bilgi işlem personelinin mesai dışında olduğu zamanlarda alarmlar mesaisi devam eden bir departmana ulaşır.) Bu departmanlara alarm seviyelerinin önemini ve bu durumda ne yapılacağının eğitimi ve talimat dokümanları verilmektedir. Talimat dokümanları yazılı ve görsel olarak hazırlanmıştır. Eğitimler ve tatbikatlar her sene yapılmaktadır. İşe başlayan yeni personel 1 hafta içinde eğitilmektedir ve tatbikata katılmaktadır. Mevcut prosedürler değiştiğinde dokümanlar ve tatbikat aynı gün yenilenmektedir.
  • Birinci seviye kritik alarmlarda 24 saat boyunca aşağıdaki kişilere telefon üzerinden ulaşmaktadır. Bu kişilere ulaşılamadığında en geç 5 dakika içerisinde …………………. ve …………… sistem odasına giderek tatbikata uygun olarak kırmızı renkli data kablolarını söker ve sızma tehdidini engelleyici faaliyette bulunurlar.

Departman

Ad Soyad

Telefon

Ulaşmayı deneme süresi

Bilgi İşlem

 

 

5 dakika

 

 

 

5 dakika

 

 

 

5 dakika

 

  • Ayrıca tüm loglar 7 gün 24 saat, siber olaylara müdahale ekibi tarafından da izlenmektedir.

18.11.  Kimlik, Hesap, Parola-Şifre Yönetime ve Erişimlerin Kaydına Yönelik Tedbirler:

  • Tüm erişimler 18.11. nolu Teknik tedbir olan “Log/Siem Sistemine Yönelik Tedbirlere” uygun olarak loglanmaktadır.
  • Personel veya Danışmanlara ait hesaplar iş anlaşması son bulduğunda derhal silinmektedir ve yetki matrisine işlenmektedir. Müşteri hesabı devre dışı bırakmayı tercih ediyorsa şifresini değiştirip hesabı pasif konuma alır ve tüm verilere erişim izinleri kaldırılır. Ayrıca hesapta yönetici hakkı varsa bu haklar alınır. Yetki matrisinde belirtilir.
  • Hesap adı ve Şifreler en az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Azami 90 günde bir değiştirilmektedir. Doğum tarihi ve ardışık rakamların kullanılması engellenmektedir.
  • Ayrıcalıklı haklara sahip kullanıcıların erişimleri yazılımlar (Centrify, Cyberark, Password Manager, Keepass vb. leri) ile yapılmaktadır. Bu yazılımlar için kullanılacak veri tabanı makina üzerindedir ve asgari AES-256 bit (Advanced Encryption Standard: Gelişmiş Şifreleme Standardı) ile şifrelenmektedir. Parolalar en az 12 karakterdir ve OTP kullanılmaktadır.
  • Hassas yetkilere sahip hesapların ve/veya hassas sistemlere erişimlerin logları için alarmlar oluşturulmaktadır. SİEM kullanılmaktadır. Her durumda bu erişimler için kaynak ve hedef bazlı değişik senaryolar için alarmlar oluşturulmaktadır. Alarmlar saldırı tespit ve engelleme sistemini veya NAC (Network Access Control: Ağ Erişim Kontrolü) cihazını gerektiğinde olası bir saldırıyı engelleyecek şekilde uyarabilmektedir.
  • Kullanıcıların ve otomatik kayıtlı hesapların, cihazlara erişim için kullandıkları hesaplar sadece ihtiyaca ve verilmiş yetkilere uygun haklara sahiptir. Yetkiler yetki matrisinde belirtilmekte ve onay mekanizmasından geçmektedir.
  • Her cihazda parola koruması bulunmaktadır. Kabul edilen güvenli parola politikaları uygulanmaktadır (En az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Parolalar en fazla 90 günde bir değiştirilir ve son 3 parola ile aynı olamaz. Hesap ismi, doğum tarihi ve ardışık sayılar içeremez. (Ayrıca neleri içermeyeceği de belirtilmelidir.)
  • Kullanıcılar bilgisayarlarından uzaklaştıklarında ekranlarını kilitlemeleri konusunda uyarılmaktadır ve cihazlar parola ile korunmaktadır. Kullanıcılar parolalarını kimseyle paylaşmamaları konusunda uyarılmaktadır.
  • Unutma durumları için 3 dakika boyunca klavye ve mouse aktivitesi olmayan bilgisayarlar otomatik olarak ekranı kilitlemektedir. Kilit parola ile açılmaktadır.
  • Kritik sistemlere artarda 3 kere başarısız hesap erişimi denemesi olursa en az 10 dakika boyunca erişim engellenmektedir. Alarm sistemi ile yöneticilere E-posta yolu ile haber verilmektedir.
  • Personel ve danışmanların görev ve yetkilerinde değişiklik olduğunda erişim yetkileri yetki matrisine göre güncellenmektedir.
  • Her 3 ayda bir tüm cihazlarda kullanıcı yetkilerinin yetki matrisine uygun olup olmadığı denetlenmektedir, uygunsuzluklar giderilmektedir. Raporlar saklanmaktadır.

18.12.  İnternet ve Özel Devrelere ve Hatlar İçin Gerekli Olan Cihazların Yönelik Teknik Tedbirler:

  • İnternet ağları (switch, router, xdsl veya gsm modem, radyo frekansı üzerinden ağ iletişimi sağlayan cihazlar vb.) güvenlik duvarına farklı bir zone (bölge, ağ) olarak tanımlanmaktadır ve bu ağlardan yerel ağlara erişimler güvenlik duvarı tarafından denetlenmektedir ve izin verilenlerin dışındaki tüm ağ iletişimi engellenmektedir.
  • MPLS- VPN (IPSEC-Tunnel Interface) Ağları (switch, router, güvenlik duvarı, VPN Gateway, xdsl veya gsm modem, radyo üzerinden ağ iletişimi sağlayan cihazlar vb.) güvenlik duvarına farklı bir zone (bölge) olarak tanımlanmaktadır. Bu ağlar üzerinden yerel ağlar arası erişimler güvenlik duvarı tarafından denetlenmektedir ve izin verilen kaynak ağa ip adresi veya ip adres aralığı veya ip adresi grubu veya kullanıcı kimliği ile kullanılacak hedef port veya port grubu denetlemesi ve izin verilen hedef ağa; ip adresi veya ip adres aralığı veya ip adresi grubu ile haberleşmede kullanılacak kaynak port bazında kısıtlama yapılmaktadır bunun dışındaki tüm ağ iletişimi engellenmektedir.
  • Yönetimi Dernek sorumluluğunda olan Mpls router, switch, router, xdsl veya gsm modem, radyo üzerinden ağ iletişimi sağlayan cihazlar 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur. Dernek sorumluluğunda olmayan cihazların yöneticileri ile 18.11. ve 18.12. numaralı teknik tedbirlere uygun sözleşme yapılmaktadır.
  • Dernek kontrolünde olan cihazlara erişimler internet üzerinden direkt olarak yapılmamaktadır. İnternet üzerinden gelecek bağlantılar SSL VPN ile sağlanmaktadır. OTP kullanılmaktadır. Bunun dışında Adminler bu cihazlara yerel ağ üzerinden ayrı bir yönetim ağından erişmektedirler. Girişler Loglama yazılımı tarafından kontrol edilmektedir. Başarısız erişimler için alarm oluşturulmaktadır.
  • Bu cihazların yönetimi için yapılacak bağlantılar şifreli türde yapılmaktadır. (HTTPS/SSH gibi).
  • Yönetim için bilinen ön tanımlı portların değiştirilmektedir. (Örneğin HTTPS için 443 yerine 12443 gibi)

18.13.  Firewall (Güvenlik Duvarı) Yönetimine Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
  • Web ve Uygulama Filtreleme, Antivirüs- Malware, Anti Spyware, Botnet Filter, IDS/IPS (saldırı tespit ve engelleme), ATP (gelişmiş tehdit engelleme sistemi), DoS korumaları aktif olarak çalışmaktadır. Bu hizmetlerin bazılarının başka ürünler tarafından yerine getirildiği durumlar haricinde Firewall üzerinde bu güvenlik lisansları bulunur ve özellikler aktiftir. Kullanıcılara ve cihazlara atanan güvenlik politikaları yetki matrisinde belirtilmektedir ve mekanizmasından geçmektedir. Sadece Misafir ve IP üzerinden ses taşıyan ağlara 5651 yasasına uymak kaydı ile ayrıcalık tanımlanabilmektedir. Misafir ağları hariç Geo-IP filter çalıştırılmaktadır.
  • Ses paketlerinde sorun yaşanması durumunda, sadece bu protokoller veya sadece ses ağı için antivirüs, şifreli trafiğin analizi ve saldırı tespit ve engelleme, DOS, spyware ve botnet filter sistemleri devre dışı bırakılabilmektedir. Ses ağının sadece haberleşeceği internet ip adresleri ile ve ihtiyaç duyacağı portlar vasıtası ile haberleşmesine izin verilmektedir. Ayrıca risk analizi yapılmakta ve onay mekanizması bulunmaktadır. Riskleri azaltıcı tedbirler alınmaktadır.
  • Firewall, misafir ve ses trafiği olan ağlar hariç tüm yerel ağlarda gelen ve giden trafikte antivirüs kontrolü yapmaktadır. Tüm portlar, web, dosya transferi, video transferi, ses ve video dosyaları antivirüs kontrolünden geçirilmektedir. Şifreli trafiğin de analizi yapılmaktadır. Sadece finans kategorisinde bu kontrol yapılmamaktadır.
  • (Bir proxy sunucusu yoksa) Firewall tüm ağ haberleşme tiplerinde, protokollerinde, web ve uygulama kategorilerinde yetkilendirme ve yasaklama yapmakta, internet üzerinden yerel ağlara, yerel ağlardan internet yönüne (misafir ağı hariç) istenmeyen dosya tiplerinin transferini engellemektedir.
  • Firewall HTTP, FTP, SMTP, POP3, IMAP, NETBIOS, TCP Streaming trafiğine ve bunların şifreli olanlarına da dosya büyüklüğünden bağımsız virüs taraması yapmaktadır.
  • Sıfırıncı gün saldırılarına karşı sandbox teknolojisi ile internet üzerinden gelen çalıştırılabilir kodlar son kullanıcı makinasına gelmeden önce test edilip test sonucunda istenmeyen bir durum varsa veri son kullanıcıya iletilmemektedir.
  • Birden fazla antivirüs veri tabanı kullanılmaktadır.
  • Misafir ağı hariç yerel tüm ağlarda kullanıcıların yetkilerine ve kendilerine tanınmış haklara uygun portlardan çıkışı sağlanmaktadır. Kullanıcılara tanınmış haklara uygun olarak kullanamayacakları uygulama ve web kategorilerine erişimleri engellenmektedir.
  • Yönetici makinalarına erişimler korumalı ve herkesin giremediği yerel ağlardan şifreli yapılmaktadır (HTTPS gibi). Yönetici makinalarına erişimler yetki matrisinde belirtilmektedir ve özel izinlere tabidir. Erişim yetkileri sadece yapılması gerekli iş ile sınırlı ve ölçülü verilmektedir.
  • Yönetici makinalarının yönetimi herkese açık ağlardan (internet, misafir ağı vb. gibi) yapılamamaktadır. Cihazlar bu ağlardan yönetime kapalıdır. Cihazları yönetebilmek için SSL VPN ve OTP kullanılmaktadır.
  • Yönetim için cihazların bilinen ön tanımlı portların değiştirilmektedir.
  • Başarılı ve başarısız erişim kayıtları log sunucusuna gönderilir, başarısız ve risk ihtimali olan erişimler için alarmlar oluşturulmaktadır.
  • Yerel ağlar üzerinden cihaz yönetimi misafir ağlarına kapalıdır. Sunucu veya kullanıcılardan izole ağlar üzerinden Cihazlara erişim sağlanmaktadır. Personel ağından cihaz yönetiminin açık olması istenilen kullanıcılar varsa bu kullanıcıların mac adres, ip adres veya kimlik doğrulaması kriterlerine göre izinli olması gerekmektedir. İzin için bir onay mekanizması bulunmaktadır ve yetki matrisinde belirtilmektedir.
  • Yönetici, cihaz ayarlarında bir değişiklik yapmak için cihaza bağlandığında cihazın yedeğini alıp sonra ayarlarda değişiklik yapmaktadır. Yedek şifreli olarak alınmaktadır.
  • Her gün cihazların yedeği otomatik ve şifreli olarak alınmaktadır. Yedekler ayda bir kontrol edilmektedir.
  • Cihazların firmware & güvenlik servislerinin güncellemeleri ve diğer güncellemeleri haftada bir kontrol edilmektedir. Cihazlar güncel tutulmaktadır.
  • Cihazların arızalanma durumunda yedek cihazla değiştirilmesinin gerektiği durumda izlenecek adımlar dokümante edilmiştir ve senede bir kere tüm cihazlarda test yapılmaktadır. Hata ve eksik varsa dokümantasyonda güncelleme yapılır. Cihazların değişime veya onarıma gönderilmesinden önce içindeki verilerin silinmesi için çalışma yapılmaktadır. Silinemediği durumlarda mutlaka gizlilik sözleşmesi yapılmaktadır.
  • İnternet hattı yedeklidir ve hatlardan birisi görevini yerine getiremediğinde cihaz bunu en geç 10 saniye içinde tespit ederek diğer hattı 10 sn. içinde devreye almaktadır. Yedeklilik olan lokasyonlarda senede bir defa test yapılmaktadır.
  • Ana internet hattı arızalandığında, yedek hatlar üzerinden veri merkezine vpn bağlantısı otomatik olarak 3 dakika içinde devreye girmektedir. Senede 1 defa test edilmektedir.

18.14.  IDS/IPS (Saldırı Tespit ve Engelleme Sistemi)

  • IDS/ IPS cihazı bulunmaktadır.
  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • İnternet ve/veya yerel ağ kaynaklı kötü niyetli haberleşme, haberleşme talepleri, yazılımları ve istenmeyen kodlar tespit edilmekte, engellenmektedir.
  • Gerektiğinde özelleştirme yapılarak tespit veya engelleme kuralları yazılmaktadır. Kötü niyetli haberleşme, haberleşme talepleri, yazılım ve istenmeyen kodlarla ilgili bilgi kütüphanesi otomatik olarak güncellenmektedir.
  • Kaynak, hedef, port ve uygulama bazlı tespit ve korumadan muaf tutma olanağı mevcuttur. Gerektiğinde ses trafiği ve benzeri hassas iletişimler, belirli bir kaynaktan gelen ya da belirli bir hedefe giden, belirli portlar için olmak şartı ile bu denetlemelerden muaf tutulmaktadır.
  • Misafir ağı dışındaki tüm ağlarda uygulanmaktadır.
  • Ses trafiği taşıyan ağlarda IDS servisi haberleşmeyi olumsuz etkilerse ek tedbirler alınarak bu ağ için IDS kapatılmaktadır ve ayrıcalıklar tanınmaktadır. Ses paketleri için yerel ağımızdan gerekli olan hedef internet ip adresi/adresleri yönüne, gerekli portlar ve ilgili protokollere belirlenerek bunlar için ayrıcalık yaratılmaktadır. Sızma testi ile açıklar kontrol edilmekte ve kapatılmaktadır.
  • DOS saldırı tipi engellenmektedir.

18.15.  Proxy/Web Gateway’ e Yönelik Tedbirler:

  • Proxy/web gateway bulunmaktadır.
  • 11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Web filtreleme sistemi web sayfalarını kendi veri tabanında kategorilere ayrılmaktadır.
  • Uygulama kontrol sistemi uygulamaları tanımaktadır ve kategorilere ayrılmaktadır.
  • Kategori bazlı web ve uygulama yasaklama yapılmaktadır. Virüslü veya kötü amaçlı yazılım içerdiği bilinen kategorilerdeki web sayfaları ile saldırı ve ağa sızma riski olan uygulamalar, proxy tünel ve P2P yazılımları misafir ağı hariç engellenmektedir. Misafir ağında da engellenmektedir.
  • Uygulama ve filtreleme özelliği ile internet yönüne doğru trafik yapan uygulamalar tespit edilmektedir. Haftada bir kontrol edilmektedir. Analiz sonuçlarına göre politikalar güncellenmektedir.
  • Misafir ağı hariç, şifreli internet trafiği incelenmektedir ve bu sayede şifreli web ve uygulamaları analiz edilerek şirket politikalarına uygun engellemeler ve güvenlik kontrolleri yapılmaktadır. Kullanıcıların ve kullanıcı gruplarının izinli olduğu (veya yasaklı) kategoriler yetki matrisinde yer almakta ve buna uygun politikalar çalıştırılmaktadır.
  • Kendi veri tabanında virüslü ve/veya kötü niyetli yazılımlar içerdiği tespit edilmiş web sayfaları kategorize edilmiştir. Bu veri tabanı güncellenebilirdir.
  • Özelleştirilebilir yasaklı ve izinli kategoriler oluşturulmaktadır.
  • Finans ve benzeri kategorileri veya tanımlanan sayfa ve uygulamaların şifreli trafiğine müdahale etmeden izin verilmektedir.
  • Tüm kullanıcı trafiği kaydedilmektedir ve Siem sunucusuna log kayıtları gönderilmektedir.
  • Cloud ve harici FTP sunucular ve bunların şifreli olanları ile yerel ağlar arasındaki dosya yüklenmesi engellenmektedir.
  • İnternet üzerinden çalıştırılabilir dosya indirilmesi yasaklanmaktadır.
  • Dosya tipi veya kategorisine göre yasaklama yapılmaktadır. Güncel saldırı tipleri ve metotları takip edilerek riskli dosyaların indirilmesi yasaklanmaktadır.
  • Sistem üzerinden geçen trafiğe virüs taraması ve kötü niyetli davranış analizi yapılmaktadır.

18.16.  Antivirüs Yazılımına Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Zararlı içerikleri tespit etmek için imza tabanlı tarama ve ilaveten davranış analizi yapılmaktadır.
  • Makinalarda kurulu olan yazılımların güncellemeleri otomatik olarak indirilmektedir.
  • Antivirüs yazılımının merkezi yönetim ara yüzü yerel sunucuda bulunmaktadır. Merkezi yönetim yazılımı makinadaki antivirüs programını kontrol etmektedir. Makinada virüs ve zararlı yazılım olup olmadığı veya antivirüs yazılımının ve güncellemelerinin durumu izlenmektedir, rapor gönderilmektedir. Merkezi yazılım vasıtası ile makinalarda kurulmuş olan antivirüs yazılımına güncelleme komutu, makinada genel tarama yapma komutu gönderilmektedir ve sonuçları hakkında durum raporu alınmaktadır.
  • Dosyaların ve/veya dosya yollarının taramadan muaf tutulabilmesi idari izne tabidir. Yetki Matrisinde belirtilmektedir.
  • Antivirüs yazılımı herhangi bir sebepten dolayı devre dışı kalırsa bu durum log ve/veya E-posta vasıtası ile yöneticiye bildirilmektedir.
  • Antivirüs yazılımı yönetici yetkisine sahip olmayan kullanıcılar tarafından kolayca devre dışı bırakılamamaktadır.
  • Kullanıcılar antivirüs yazılımının ayarlarına müdahale edemezler. Bu hak sadece yöneticilerde bulunmaktadır ve yetki matrisine işlenmektedir.
  • Antivirüs yazılımı, kurulu olduğu makinaya harici bir kaynak bağlanırsa (USB, DVD, CD, SD Card, Bluetooth vb.,) bağlanan bu kaynakta virüs olup olmadığını kontrol etmektedir. Virüs ve/veya zararlı bir yazılım bulursa erişime müdahale edip kurulu bulunduğu kaynağı korumaktadır.
  • Antivirüs yazılımı önceden belirlenmiş zamanlarda kurulu bulunduğu kaynakta ve kaynağa bağlı olan diğer fiziksel kaynaklarda virüs taraması yapmaktadır. Ayda bir defa tarama yapılmaktadır.
  • Antivirüs yazılımı aktif olarak çalışan tüm yazılım ve servisleri virüs ve zararlı davranışlara karşı taranmaktadır.
  • Sezgisel olarak bir yazılımın, kodun veya servisin tehlikeli olduğuna karar vermektedir.
  • (Makina için bir firewall servisi olması önerilir. Eğer Antivirüs yazılımlarında firewall özelliği yoksa)Makinaların kendi işletim sistemlerine ait firewalllar devrededir.

18.17.  Gelişmiş Antivirüs ve/veya DLP veya Alternatif Yazılımına Yönelik Ortak Tedbirler:

  • Bu tedbirler; Antivirüs / Gelişmiş Antivirüs veya DLP yazılımları (en az biri) ile sağlanmaktadır. Ayrıca bir alttaki DLP yönetimine yönelik tedbirler başlıklı tedbirler uygulanmaktadır.
  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
  • Sunucu veya son kullanıcı bilgisayarı üzerinde bulunan ve sakıncalı olduğu düşünülen uygulamaların çalışması engellenmektedir. Sakıncalı yazılımlara ait güncellenen bir veri tabanından bilgi almaktadır. Kullanıcı veya Kullanıcı Gruplarına göre politikalar oluşturularak kullanıcıların makinalarında kullanabilecekleri yazılımlar denetlenmektedir.
  • Bu konuda analiz yaparak uygulamaları kategorize eden bir yazılım tercih edilmiştir.
  • Bilgisayar ve Sunuculara bağlanacak veya çalışacak harici kaynaklar veya veri aktarımı yapabilecek kaynaklar (USB port, CD, DVD, SD Card, her türlü hafıza kaydı, Wifi cihazı, kablosuz yayın, Bluetooth, Kamera, Harici disk, USB disk, USB bellek, yazıcı, tarayıcı ve benzeri) yönetilmektedir. Kaynaklar ya tamamen yasaklanabilir, gerektiğinde de sadece okuma izni verilebilir olarak yönetilmektedir.
  • Bilgisayar ve Sunuculara izin verilecek kaynaklarla ilgili onay mekanizması bulunmaktadır ve yetki matrisinde belirtilmektedir.
  • Sabit (sadece kurumsal firewall arkasında çalışmayan, evde, müşteride ya da ofis dışında kullanılan tüm bilgisayarlar) olmayan makinalar için web sayfalarının kategorilerine göre veya özel yaratılmış kategorilere göre riskli web sayfalarına giriş önlenmektedir. Ayrıca riskli olduğu kabul edilen ve çalıştırılabilir dosyaları da engellenmektedir.
  • Yazılım herhangi bir sebepten dolayı devre dışı kalırsa mutlaka bu durum log ve/veya E-posta vasıtası ile yöneticiye bildirilmektedir.
  • Kullanıcılar yazılımın veya politikanın ayarlarına müdahale edemezler. Bu hak sadece yöneticilerde bulunur ve yetki matrisine işlenmektedir.
  • Sunucu veya son kullanıcı bilgisayarı üzerinde çalışan yazılımların listesi çıkarılmaktadır.

18.18.  DLP Yönetimine Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlerine uygundur.
  • Yönetim paneline erişim, politikalardaki değişiklikler, yönetilen ürünlerdeki veri iletişimi ile ilgili tüm eylemleri kayıt altına alınmaktadır. Bu kayıtlar değiştirilemez şekilde korunmaktadır. Kayıtlar şifreli olarak log sunucusuna gönderilmektedir.
  • Kayıt altına aldığı şüpheli olaylardaki dosya ekleri ve/veya aktarılan tüm veriler dahil iletilen tüm bilgileri olay raporunda gösterilmektedir. Bu kayıt değiştirilmesine olanak tanınmadan saklanmaktadır.
  • Elektronik ortamlardaki tüm verilerin (dosya veya yazılı veri) politikalara uygun olarak; iletilmesinin yasaklanmasına, iletiminin riskli olduğuna dair ileten kullanıcıya bir uyarı ile riskin kabul edilerek iletilmesine izin verilmesine veya iletilen verinin hassas (örneğin özel nitelikli kişisel veri) veri olması durumunda işlemin yetkili kişilerin onayı alındıktan sonra gerçekleştirilmektedir.
  • Dosya Türleri ve Grupları, Veri Yolu ve/veya veri yolu türü, Cihaz Türü, Cihaz Sürücü Adı ve/veya Cihaz Seri Numarası bazında ek politikalar tanımlanmaktadır.
  • İletilmesi istenmeyen veriler sözlük veya regex yardımı ile engellenmektedir. Verinin Algoritması biliniyor ise algoritma ile engellenmektedir.
  • Tüm dosya türlerinde, resim dosyaları dahil veri içeriği kontrol edilmektedir ve engellemesi gereken içerikler engellenmektedir.
  • Makinalardan yapılacak şifreli ve şifresiz tüm veri akışını bilinen tüm veri aktarım tipleri için yasaklanmaktadır. Bu yasaklar platform, kullanıcı, makinalar, gönderilen veri içeriği, dosya tipi, dosyanın etiketi, dosyanın ismi, hedef veya kaynak bazlı olarak yasaklanmaktadır. Örneğin: tüm giden ve gelen E-posta, web tabanlı E-posta, Web sayfası üzerinden dosya veya veri girişi ile veri aktarımı, Sosyal Medya uygulamaları veya sosyal medya web uygulamaları, cloud dosya paylaşımları, şifreli ve şifresiz tüm HTTP /HTTPS/FTP /STFP/FTPS/SSH ve benzeri bilinen bütün dosya aktarım platformları/protokolleri, dosya paylaşım platformları, tüm cloud tipleri, bilinen tüm USB ve Thunderbolt, kamera, kablosuz yayınlar, bluetooth bağlantılar, kızılötesi bağlantılar, radyo haberleşmesi, yazıcı, sdcard ve tüm benzeri hafıza kartı ve harici disk üniteleri, cd, dvd, bluray, tape, kaset, floppy disk, wireless veya bluetooth depolama üniteleri, CPU tabanlı veri iletişim teknolojilerinde her türlü veri haberleşmesini
  • Bu engelleme dosya tipi, dosya konumu, dosya içeriği ve dosya tagına göre yapılmaktadır.
  • Hassas (Kişisel verilerin veya Özel nitelikli) verilerin yazdırılması tespit edilmekte veya engellenmektedir.
  • Özel nitelikli verilerin yazdırılması veya her türlü bu verinin transfer edilmesi özel izinlere tabidir.
  • Transfer edilen dosya veya aktarılan veri içerisinde kaç adet hangi tip kişisel veri olduğu kontrol edilmektedir. Gönderen ve alan kişi, dosya tipi, dosya tagı, verinin sınıfına göre bir seferde aktarılabilecek verilerin adetleri sınırlandırılmaktadır.
  • Bu sayede amacına uygun olmayan bir şekilde kişisel verilerin elektronik olarak iletilmesi veya yazdırılması engellenmektedir.
  • Yönetim konsolu ile bağlantıyı kaybettiğinde son almış olduğu politikalara göre hareket etmektedir ve olay kayıtlarını hafızasında tutmaktadır. Bağlantı sağlandığında politikaları güncellemektedir ve bağlantı kesik iken oluşmuş olayların kayıtlarını ürünün merkezi yönetim yazılımına göndermektedir. Kullanıcılar log kayıtlarına müdahale edememektedir. Olay kayıtlı şifreli olarak gönderilmektedir.
  • Kişisel verilerin (özellikle özel nitelikli kişisel verilerin) aktarımı sırasında aktarılacağı platforma şifreli olarak yazılmaktadır.
  • Sunucu veya Son Kullanıcı bilgisayarında bütün portlar ve protokollerde Ağ Bloklama yeteneğine sahiptir.
  • Sunucu veya Son Kullanıcı bilgisayarında bütün harici cihaz veri transferini bloklama yeteneğine sahiptir.
  • İletilmesi sakıncalı olan verilerin iletilmesi yasaklanmaktadır.
  • Giden maillerin, ekindeki orijinal dosya dahil bir kopyasına loglanmaktadır. Riskli verilerin gönderimi öncesinde kullanıcıyı uyarmaktadır ve kullanıcıdan onay istemektedir veya tercihe göre kullanıcı işlemi durdurmaktadır. Her durumda logu alınmakta ve sistem yöneticisine bu E-posta ile bildirilmektedir.

18.19.  Veri Analiz/Keşif yönelik tedbirler:

  • Bu özellikler DLP yazılımının içinde de bulunmaktadır.
  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Bilgisayar ve Sunuculara ve dosya paylaşım alanlarındaki verileri (resim dosyaları dahil) analiz ederek (şifre korumalılar hariç) içinde kişisel veri geçen dokümanları bulup haber vermektedir. Bu dosyalar taşınabilmektedir.
  • Microsoft outlook osd ve pst, resim, database dosyalarında veri analizi yapılmaktadır.
  • Zamanlı görevlerle bu tarama işlemi gerçekleştirilmektedir.
  • Bir dosya yaratıldığında otomatik olarak taranmaktadır.
  • Yöneticilerin yapacağı ayarlara kullanıcılar müdahale edemezler. Haklar yetki matrisine işlenmektedir.

18.20.  Sınıflandırma ve Taglama Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Analiz ettiği dosyaları içerdiği veriye göre sınıflandırmaktadır. Sınıflandırma için regex veya sözlük içerisindeki verileri kullanmaktadır.
  • Sözlük içeriğine ilaveler yapılabilmektedir.
  • Regex ve Sözlükte yer alan kelimeler geçen dosyalar bulduğunda bu dosyaların sınıflandırılmasını, etiketlemesini, taşınmasını veya silinmesini şart koşmaktadır. Bu şartlar ürün yöneticisi tarafından belirlenmektedir.
  • Yöneticilerin yapacağı ayarlara kullanıcılar müdahale edemezler. Haklar yetki matrisine işlenmektedir.

18.21.  Mantıksal ve Fiziksel Erişim ve Yetkilendirmeye Yönelik Tedbirler:  

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Mantıksal ve fiziksel erişimler için yetki matrisleri oluşturulmuştur, bu yetki matrisleri periyodik olarak (Aylık, 3 Aylık, 6 Aylık vb. periyotlarda) (lütfen belirtin) gözden geçirilmektedir. Ayrıca tüm erişimlerin logları tutularak zaman damgası vurulmaktadır veya loglar hashlenmektedir.
  • Mantıksal ve fiziksel erişimler log sunucusu üzerinde tutulmaktadır ve alarm senaryoları yazılarak aktif edilmektedir. Bu senaryolar her ay gözden geçirilmektedir ve güncellenmektedir.
  • Sızma testi sonuçları analiz edilerek log sunucusu üzerinde erişimler ile ilgili gerekli alarmlar oluşturulmaktadır.
  • İnternet üzerinden gelen erişimler SSL-VPN ve OTP ile yapılmaktadır.
  • Sunuculara erişimler farklı ağlar üzerinden yapılmaktadır. Bu ağlar güvenlik duvarı ile yönetilmektedir ve kullanıcı hesabının erişimine izni olduğu hedeflere sadece izni olan portlardan erişebilmesi sağlanmaktadır. Bu erişimler esnasında Saldırı Tespit, Saldırı Engelleme ve Antivirüs servisleri çalışmaktadır. Hassas uygulamalar için risk analizi yapılarak ayrıcalık tanınmaktadır.

Makinasında virüs olan, istenmeyen program olan, anti-virüs yazılımı olmayan, kabul edilen domain ortamına dahil olmayan, eksik ve kritik windows güncellemesi olan makinaların (herhangi biri veya birkaçı) sadece izole bir ağa erişmektedir ve gerekli kontroller ve iyileştirmeler sonrası personel ve yetkisine göre diğer ağlara erişimi sağlanmaktadır.

18.22.  Ağ Yönetimine Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • Personel, Sunucu, Yedek, Misafir kablolu ve kablosuz, Management (cihazların yönetim ağı), MPLS, Radyolink gibi kapalı devre özel ağlar farklı zonelarda bulunmaktadır. Yani ağlar aralarında direk bir geçiş bulunmamaktadır. Bu zonelar firewall tarafından kontrol edilmektedir. Zonelar arası geçişte IDS/IPS sistemi devrededir.
  • Tüm ağlar için DHCP koruması devrededir. Hangi portlardan DHCP yayını yapılacağı belirlenmiştir. Bu portlarda hangi mac adresli makinanın çalışacağı da belirlenmiştir. Acil durumlar için personel ve misafir ağına DHCP yayını yapacak yedek port tanımlanmaktadır. Bu portlar sistem odasında herkesin erişemeyeceği portlardır. Yetki matrisinde belirtilmişlerdir.
  • Misafirlere ait olan ağlar internet dışındaki hiçbir ağa erişememektedir. Bundan sonraki diğer maddelerde tüm ağlar ibaresi yanında misafir ağı dahil kullanılmadığı sürece misafir ağı hariç olarak düşünülmelidir.
  • Personel için ayrı bir kablosuz ağ bulunmaktadır. Personel ağı üzerinden özel denetimler ile sunucu, varsa personel kablolu, yedek, management, mpls vb ağlara erişim sağlanmaktadır. Bu denetimler domain kimlik bilgisi veya mac adresi olabilmektedir.
  • Tüm yerel ağlardan sunucu ağına erişimlerde kaynak cihaz sadece ihtiyacı olan hedefe ve sadece ihtiyacı olan portlardan erişmektedir. Kaynak cihaz erişim izni olmadığı sunucuya hiçbir şekilde erişememektedir. Bu kısıtlamalar mac adres, ip adres veya domain kullanıcı kimliğine göre verilmektedir. Yetki matrisinde belirtilmektedir. Aksi durumlarda özel izin alınmaktadır.
  • Yedek ağına sadece sunucu ağındaki mac veya ip adresine izin verilmiş makinalar erişmektedir. Ek olarak domain kimlik bilgisi de eklenmektedir. Yetki matrisinde belirtilmektedir. Aksi durumlarda özel izin alınmaktadır.
  • Yedek, Sunucu ve Management ağına switch üzerinden erişim verilmiş portlar hangi mac adresli makinanın bağlanacağı ve hangi ip adresini alacağı tanımlıdır. Bunun dışındaki makineler bu ağlara erişememektedir.
  • Sunucu ağından misafir ağına erişim olmamaktadır. Diğer ağlara (internet dahil) erişimlerde port kısıtlaması yapılmaktadır. Hangi hedeflere hangi portlardan erişebileceği ihtiyaca göre belirlenmektedir. Ayrıcalık tanınacak sunucular ve hedefler için özel izin alınmaktadır ve yetki matrisinde belirtilmektedir.

18.23.  VPN, Özel Devre, FTP-SFTP, Web Service Yönetimine Yönelik Tedbirler:

  • 18.11. numaralı Log/Siem sistemine yönelik tedbirlere ve 18.12. numaralı Kimlik, Hesap, Parola-Şifre yönetime ve erişimlerin kaydına yönelik tedbirlere uygundur.
  • VPN kullanıcıları için yetkilendirmeler belirli süreli ve onay süreci ile kayıt altına alınmaktadır, erişim yetkileri sadece erişilecek alanla, erişebilecekleri cihazlarla ve ihtiyaç olan portlarla sınırlandırılmaktadır ve periyodik olarak gözden geçirilmektedir.
  • VPN kullanıcıları ayrı bir ağa dahil edilmektedir.
  • VPN kullanıcıları hangi ağlara ve cihazlara erişecekse sadece bu cihazlara erişim izni bulunmaktadır yetki matrisinde belirtilmektedir.
  • SSL VPN ile yerel ağa bağlanarak destek verecek olan danışman farklı bir ağ üzerinde bulunan bir terminal sunucu veya sanal pc de oturum açmaktadır. AD ve/veya lokal user kimlik doğrulaması mevcuttur ayrıca OTP kullanarak oturum açılması önerilir. Bu oturum esnasında yapılan işlemler gerek görüntü gerekse text olarak kaydedilmektedir. Kayıt yapan kullanıcının sistemlere erişimde kullanacağı parola kaydedilmemektedir. Bu kayıtlara erişim denetimli olarak yapılmaktadır. Daha sonra güvenlik duvarına bu kullanıcının erişime izin verilen ağlar ve ağlardaki hedeflere sadece izin verilen portlardan erişimi sağlanmaktadır.
  • VPN ile yapılan bağlantılarda ve diğer ağlara erişimlerde saldırı tespit ve engelleme sistemi devrededir.
  • VPN bağlantısı üzerinden dosya transferine izin verilmemektedir. Verilmesi gereken durumlarda kullanıcı hesabına uygun, dosya tipi ve büyüklüğüne uygun, içeriden dışarıya veya dışarıdan içeriye farklı kurallarla güvenlik sağlanmaktadır. Dosyalar anti-virüs kontrolünden geçirilmektedir.
  • Dışarıdan dosya transferi yapılacaksa FTP kullanılmamaktadır, SFTP kullanılmaktadır ve SFTP’de kullanıcı yetkilendirmeleri yapılmaktadır, yetkiler periyodik olarak gözden geçirilmektedir ve tüm erişimlerin kayıtları tutulmaktadır ve zaman damgası ile imzalanmaktadır. Log sunucusunda alarmlar oluşturulmaktadır. Bu loglar SIEM üzerinde tutulmakta ve riskli senaryolar için alarmlar oluşturulmaktadır.
  • SFTP ile paylaşım alanına kullanıcıların yükleyebileceği dosya tipleri ve boyutları belirlenmektedir.
  • SFTP ye yüklenen dosyalar hem güvenlik duvarı hem de SFTP sunucusu üzerindeki Anti-Virüs yazılımları ile taranmaktadır. Saldırı tespit ve engelleme sistemleri tarafından izlenmektedir.
  • WEB servis erişimlerinde sabit ip adresleri ile erişmelerine izin verilmektedir. Saldırı tespit ve engelleme sistemi devrede olmalıdır. Web servislere erişecek kişilerin sabit ip adreslerinin olmaması veya sisteme girilmesinde teknik imkansızlıklar veya zorluklar varsa bu durumda SSL VPN ile erişim sağlanır. Bununda mümkün olmadığı durumlarda IDS kuralları üst seviyede güvenlik için ayarlanır ve SIEM vasıtası ile değişik senaryolar için alarmlar oluşturulmaktadır.
  • Web servislere yönelik; Zafiyet, Sızma ve Güvenli kod analizi yaptırılır ve bulgular düzeltilerek tekrar kontrol edilmektedir.
  • Web servis erişimlerinin logları bir log sunucusunda/SIEM de tutulmakta ve imzalanmaktadır.

18.24.  Cihaz Yönetimine Yönelik Tedbirler:

  • Cihazlar üzerindeki Diskler çalınma, kaybolma ve/veya yetkisiz erişimlere karşı şifrelenmektedir. Şifreleme Asimetrik olarak belirlenir.
  • Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmaktadır ve yetkisiz erişim önlenmektedir. Şifre yetkili kişilerce değiştirilebilmektedir. Şifre anahtarını saklayan yazılım tamamen kullanılamaz hale gelse bile yedeği alınmakta ve tekrar kurulum ile disk anahtarları kurtarılmaktadır. Tüm şifre anahtarları için donanımsal bir ürün kullanılmaktadır.
  • Sunucu veya Son Kullanıcı bilgisayarı zarar gördüğünde, içindeki diskin şifresi kurtarma medyası ile değiştirilerek içerdiği veriler kurtarılmaktadır. Kurtarma medyası yetkisiz kişilerin erişemeyeceği ortamlarda saklanmaktadır.
  • Güvenlik için risk ihtiva eden programların kişisel bilgisayar, tablet ve cep telefonlarında çalışmaları engellenmektedir. Bu cihazlarda çalışan programların belirlenen aralıklarda (tercihen ayda bir) (lütfen belirtin)kontrolü manuel veya otomatik olarak yapılmaktadır.
  • Her cihazda parola koruması bulunmaktadır. Kabul edilen güvenli parola politikaları uygulanmaktadır (En az 8 karakter, küçük ve büyük harf, rakam ve işaret içermektedir. Parolalar en fazla 6 ayda bir değiştirilir ve son 3 parola ile aynı olamaz. Ayrıca neleri içermeyeceği de belirtilir.)
  • Kullanıcılar bilgisayarlarından uzaklaştıklarında ekranlarını kilitlemeleri için uyarılır ve cihaz parola ile korunmaktadır. Kullanıcılar parolalarını kimseyle paylaşmamaları konusunda bilgilendirilmektedir.
  • Unutma durumları için 5 dakika boyunca klavye ve mouse aktivitesi olmayan bilgisayarlar otomatik olarak ekranı kilitlemektedir. Kilit parola ile açılmaktadır.
  • Mümkün olan her cihaz Domain ortamına dahil edilmekte ve güvenlik politikaları uygulanmaktadır.
  • Cihazların lokal admin şifreleri değiştirilerek bilgi işlem departmanında saklanmaktadır. Sadece yetkili kişiler bu bilgiye erişebilmektedir.
  • Diski şifreli olmayan Sunucu, PC’lerin bios girişlerinde parola koruması bulunmaktadır.
  • Güncel bir antivirüs programı kullanılmaktadır.
  • Cihazlar belirlenen periyotlarda yedeklenmektedir.

18.25.   Mobil Cihaz Yönetimine Yönelik Tedbirler:

  • Mobil cihazlar MDM (Mobile Device Management: Mobil Cihaz Yönetim yazılımı) ile yönetilmektedir, ayrıcalıklı haller tanımlanacak ise özel izne tabidir.
  • Mobil cihazlar antivirüs yazılımları ile korunmaktadır.
  • Mobil cihazlara erişimlerin parola ile yapılması sağlanmaktadır. Tercihen biyometrik veri kullanılmamaktadır.
  • Mobil cihazların diskleri ve tüm depolama alanları çalınmalara karşı şifrelenmiştir. Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
  • Mobil cihazlar üzerinde güvenlik riski oluşturacak yazılımların çalışması engellenmektedir.
  • Mobil cihazların diskleri şifrelenmektedir.
  • Kişisel veri içeren dosyaların ve E-postaların transfer edilmemesinin gerektiği durumlar E-postalar dahil tüm dosya transfer türleri denetlenmektedir.
  • Kurumsal E-posta dışında bir E-posta hesabı çalıştırılmamaktadır.
  • Bluetooth, airdrop ve benzeri haberleşme şekilleri engellenmektedir.

18.26.  Harici Ortam (USB, CD, Taşınabilir Disk, Hafıza Kartları, Cloud, Ftp ve Diğer Dosya Paylaşım Platformları) Kullanımına Yönelik Tedbirler:

  • Harici ortamlar kapatılmakta, kapatılamıyorsa DLP yazılımı aracılığı ile transfer edilen dosyaların kişisel veri içerip içermediği kontrol edilmektedir. Kullanıcının yetkisi yoksa işleme izin verilmemektedir. Kullanıcının izni varsa raporlanmaktadır.
  • Harici ortama özel nitelikli veri aktarılıyorsa mutlaka şifreli olarak aktarılmaktadır.
  • Kurum içerisinde sadece kuruma özel harici ortamlar kullanılmakta ve bu harici cihazlar şifrelenmektedir.
  • Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmaktadır ve yetkisiz erişim önlenmektedir.
  • Şirket kurumsal Cloud hesabı haricindeki Cloud hesaplarına dosya aktarılması engellenmektedir. Özel Nitelikli kişisel veriler kriptolu olarak yüklenmektedir. Kripto anahtarı Cloud da tutulmamaktadır. Aktarılması gereken durumlar özel izne tabidir ve kayıt altına alınıp raporlanmaktadır. Kişisel veri içeriyorsa şifreli gönderilmektedir.

18.27.  Sistem Odası ve Yönetici Makinaların Korunması:

  • Sistem odaları yangın, su baskını, iklim değişiklikleri, rutubet, zararlı haşerelere, kemirgenlere, voltaj kesintileri/dalgalanmalarına ve yetkisiz girişlere karşı korunaklı hale getirilmiştir.
  • Switch, Router gibi cihazlar sistem odaları dışında bulunmak zorunda ise kilitli bir kabinet içinde, ek olarak kilitli bir oda içerisinde tutulmaktadır.
  • Sistem odalarına ek güvenlik yöntemleri kullanılmalıdır. (lütfen ek tedbirleri belirtin) (Sistem odasına girişte ek tedbirler önerilir, biyometrik veri kullanımı tercih edilecekse Kurum onayı gereklidir.)
  • Sistem odasına yetkisiz girişlerde alarm oluşturulmuştur.
  • Sistem odasında yetkisiz girişlerde, yangın, su baskını, voltaj kesintisi/dalgalanması ve iklim değişikliği olduğunda alarm verilmektedir.
  • Sistem odalarında harekete duyarlı kameralar çalışmakta ve bu kayıtların en az 10 yıl tutulmaktadır.
  • Sistem odalarına ve yönetici makinalarına danışmanların veya bakım personelinin müdahalesi gereken durumlarda bilgi teknolojileri departmanından bir kişi refakat etmektedir. Fiziksel güvenlik departmanı kameradan faaliyetleri izlemektedir.
  • Arşiv odaları çelik kapılıdır.
  • Arşiv odaları yanmaz boya ile boyalıdır.

18.28.  Veri İmha Metotları

  • Periyodik olarak senede 4 defa tüm cihazlar üzerindeki silinmiş dosyaların kalıcı olarak silinmesi işlemi gerçekleştirilmektedir.
  • Basılı evraklar kâğıt öğütme makinelerinde imha edilmektedir.
  • Elektronik ortamların arızalanma veya ömrünü doldurması durumlarında kurtarılamayacak şekilde veri silme / yok etme işlemi yapılmaktadır. Ortamlar çalışmadığı için içeriğine erişilemez durumda ise hiçbir şekilde veri kurtarılamayacak şekilde imhası sağlanmaktadır.
  • Elektronik ortamda silinen veriler11. numaralı Log/Siem sistemine yönelik tedbirlere uyumludur. Verinin hangi tarihte, hangi ortamda, hangi yoldan, hangi algoritma ile silindiği raporlanmaktadır ve zaman damgası uygulanmakta veya hashlenmektedir.

18.29.   Sızma ve Zafiyet Testleri:

  • Senede 1 defa elektronik ortamlar için TSE belgeli bir firmaya sızma testi yaptırılmaktadır ve güvenlik açıkları kapatılmaktadır.
  • Her ay bir defa sunucular, yedekleme üniteleri, web sayfaları, güvenlik duvarı, switch ve routerlar üzerinde zafiyet analizleri yapılıp güvenlik açıklarına karşı tedbirler alınmaktadır. Ayrıca her ay, ayrı fiziksel lokasyondan rastgele seçilmiş 3’ er kişisel bilgisayar üzerinde de zafiyet testi yapılmaktadır. Bulunan açıklar tüm kişisel bilgisayarlar üzerinde kapatılmaktadır.

18.30.  Güncellemeler:

  • Tüm Cihazların güncellemeleri ayda bir, Yönetici Makinalarının güncellemeleri ise haftada bir kontrol edilmektedir. Eksik güncellemeler yapılmaktadır.
  • Windows işletim sistemi güncellemeleri her gün otomatik olarak yapılmaktadır. Loglar log sunucunda kaydedilmektedir. Güncelleme hataları için Log sunucusunda alarm oluşturulmuştur.
  • Yönetici makinalarının Firmware güncellemeleri her ay bir kere kontrol edilmektedir. Gelen güncellemeler uygulanmaktadır.

18.31.  Yetki Matrisi

Yetki Matrisinin Ana Hatları Aşağıdaki Gibidir:

 

  • Her türlü Kişisel Veriye erişebilecek kişiler sadece yapacağı iş ile ilgili ve amacına uygun verilere erişebilmektedir ve/veya verileri işleyebilmektedir.
  • Her türlü Kişisel Veriye erişim için sebep kalmadığında kişilerin erişimi engellenmektedir.
  • Her türlü Kişisel Veri sadece amacına uygun olarak işlenebilmektedir.
  • Yetki Matrisi değişiklikleri Komite onayına tabidir.
  • Yetki Matrisi her 3 ayda bir gözden geçirilmektedir.
  • Görev ve sorumluluklarda değişiklik olması durumunda yetki matrisi vakit kaybetmeksizin güncellenir ve değişiklik uygulanmaktadır.

 

Tüm Kullanıcıların Kişisel Veri İçeren Fiziksel Mekân Erişim Yetkileri Yetki Matrisinde Belirtilmelidir:

  • Tüm kullanıcıların Kişisel Veri içeren elektronik ortamlara erişim yetkileri yetki matrisinde belirtilmektedir.
  • Yönetici makinalarına erişim yetkileri belirlenmiştir. Yetkiler amaç ile sınırlı ve ölçülüdür.
  • Ortak dosya sunucularına erişim yetkileri belirlenmektedir.
  • Databaselerdeki tablolar ve özel yazılımlar vasıtası ile raporlara erişimler yetki matrisinde belirlenmektedir.
  • Özel yazılımlar, sahip oldukları veri tabanı üzerindeki verilere kullanıcıların erişimlerini gerektiği gibi yetkilendiremiyor ise bu konu yazılımın üreticisine raporlanmaktadır, çözüm üretilemiyorsa verinin maskelenmekte veya erişimin engellenebilmesi için ilave yazılımlar kullanılmaktadır.

18.32.  Silme, Yok Etme ve Anonim Hale Getirme Silme Yöntemleri:

  • Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox gibi), Bulut sisteminde verilere ilgili kullanıcının geri getirme yetkisinin olmadığına dikkat edilerek, silme komutu verilerek,
  • Basılı Ortamlar, Karartma işlemi ile, mümkünse evrakın ilgili kısmı kesilerek, mümkün değilse geri döndürülemeyecek ve sabit mürekkep kullanmak gibi çözümlerle ilgili kullanıcılara görünmeyecek hale getirilerek,
  • Merkezi Sunucuda silme işlemi, ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilerek, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılmasıyla gerçekleştirilir. Verinin bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
  • Taşınabilir Medya, bu ortamlara uygun yazılımlar kullanılarak, Verinin bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
  • Veri Tabanları, Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silme işlemi uygulanır. Veri tabanının bulunduğu disk üzerinde geri dönüşüm kutusu ve disk üzerindeki tüm boş alanlarda geri kurtarılamaz veri silme uygulanır. Veri silme algoritması asgari DOD7 standardını desteklemektedir.

18.33.  Yok Etme Yöntemleri:

  • De-manyetize etme, manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozularak de-manyetize edilir.
  • Fiziksel yok etme, optik medya ve manyetik medya eritme, yakılma veya toz haline getirilmesi gibi fiziksel olarak yok edilir.
  • Üzerine yazma, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilir. Veri silme algoritması asgari DOD7 standardını desteklemektedir.
  • İmha, basılı ortamın yakılarak ya da kâğıt kırpma makinesinden geçilerek yok edilmesi, birleştirilse bile okunamayacak hale getirilir.
  • Bulut ortamı; kişisel verilerin bulut ortamında depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenir ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.

18.34.  Anonimleştirme Yöntem ve Teknikleri:

  • Değişkenleri çıkartma ile, değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.
  • Kayıtları çıkartma ile, veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.
  • Bölgesel gizleme ile, belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.
  • Genelleştirme, ilgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir.
  • Alt ve üst sınır kodlama, alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir.
  • Global kodlama, Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir.
  • Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır.
  • Mikro birleştirme, veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir.
  • Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir.
  • Gürültü ekleme yöntemi ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır.
  • Maskeleme ile kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir; Yetki matrisine uygun olarak özel yazılımların raporları, dijital ve basılı çıktıları maskelenmektedir.
  • Verinin görülmesine ihtiyaç kalmadığı durumlarda görüntüleyen kişiler için maskelenmektedir.
  • Toplulaştırma/kümülatif data yaratma, verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder.
  • Veri türetme, mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir.
  • Veri karması, veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder.

18.35.  Uygulama Güvenliği

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Uygulamaların ağ haberleşmesi şifrelidir ve SHA 256 tercih edilmektedir.
  • Uygulamalarda kod analizi yaptırılmakta ve güvenlik açıkları kapatılmaktadır.
  • Uygulamalarda veri maskeleme uygulanmaktadır. Yetki matrisine işlenmektedir. Maskeleme yapılmayacak kullanıcılar özel izne tabidir.
  • Kullanılmayan yazılımlar cihazlardan kaldırılmaktadır.
  • Kullanılmayan servisler durdurulmakta ve otomatik çalışır hale getirilmesi engellenmektedir.
  • Güvenilmeyen kaynaklardan gelen yazılımların kullanımı engellenmektedir.
  • Cihazlar üzerinde çalışan yazılım ve servislerin ağ trafiği analiz edilmekte ve riskli ya da belirsiz trafik varsa trafik engellenmektedir ve/veya yazılım kullanımdan kaldırılmaktadır.

18.36.  Yedekleme ve Yedekten Geri Dönme

  • 18.10., 18.11., 18.12., 18.14., 18.15., 18.17., 18.19., 18.22., 18.24., 18.25., 18.32., 18.35. maddelerine uyulmaktadır.
  • Yedekleme sunucu ağ (veya mümkünse) ayrı bir yedekleme ağındadır.
  • Ağ üzerinden alınan yedeklemelerde ağ güvenliği tedbirleri uygulanmaktadır.
  • Yedekler şifrelidir. Şifrelere erişimler yetki matrisinde belirtilmiştir ve denetlenmektedir.
  • Yedekler harici disk ünitlerinde, CD, DVD, tape vb. ünitelerinde barındırılıyorsa şifreli olarak korunmaktadır. Yedeklere erişim yetkileri yetki matrisinde belirtilmektedir ve denetlenmektedir. Erişim izinleri özel izne tabidir.
  • Yedeklerin bütünlüğü ve çalışabilirliği belli aralıklarla kontrol edilmektedir.
  • Yedeklerden geri dönüş yapılacağı zaman, yedek kullanıcıların erişimine açılmadan önce daha önceden silme / yok etme işlemi yapılmış olan tüm kişisel veriler araştırılmaktadır, kalıcı olarak yedeklerden silinmektedir.
  • Belirli aralıklarla (Lütfen belirtin) yedekler üzerinde silme/ yok etme talepleri gerçekleştirilmektedir.
  • Yangın, su baskını, iklim değişiklikleri, rutubet, zararlı haşerelere, kemirgenlere, voltaj kesintileri/dalgalanmaları ve yetkisiz girişlere karşı korunaklı olarak saklanmaktadır.
  • Yedekler, ana verinin bulunduğu fiziksel ortamdan farklı bir yerde sistem korunmaktadır.
  • Çevrimdışı yedekler alınmaktadır.
  • Yedekleme işleminde ağ trafiği en az SHA 256 şifreleme metodu ile yapılmaktadır.

18.37.  Yazıcı Tarayıcı

  • Hafızalı yazıcı ve tarayıcıların hafızalarına yetkisiz kişilerin erişimleri engellenmektedir.
  • Yazıcı ve tarayıcılar ortak alana değil sadece belgeyi görme yetkisi olan kişi veya kişilerin görebileceği depolama alanlarına veya E-posta adreslerine gönderilmektedir.
  • Çıktılar kimlik belirleme kartı veya şifre ile yazıcı başında alınmakta, böylece dokümanların yetkisiz kişilerin eline geçmesi önlenmektedir.
  • Bu cihazlar servis merkezine gitmeden önce hafızasındaki kişisel veri içeren dosyalar silinmektedir.

19. VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI

Veri sahibinden, veri koruma kurulundan ve diğer ilgili yasal mercilerden gelen talepler aşağıda belirtilen adımlar gerçekleştirilerek işlenir:

  1. Adım: Talebin Karşılanması:
    • E-posta, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK Komitesi üyeleri tarafından karşılanır.
    • Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.
    • Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine iletilir.
    • Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır.
  1. Adım: Talep İçeriğinin Kontrol Edilerek Anlaşılması:
  • Komite üyeleri tarafından talebin içeriği kontrol edilir.
  • KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.
  • Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.
  • İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek ya da talebi daha detaylı anlamak için sorular sorulur.
  • Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları belirlenir.
  • Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır.
  • KVKK komitesi başkanı tarafından talep takip formuna, görevler, sorumlular ve görev tamamlanma tarihi işlenir.

3.Adım: Talebe Yönelik Araştırma Yapılması:

  • Veri haritası çalışması referans alınarak hem basılı belgeler hem de dijital ortamdaki bilgiler kontrol edilir.
  • Talebin içeriğine uygun olarak istenen bilgiler toplanır.
  • KVKK Komitesi başkanına bilgiler iletilir.
  • Toplanan bilgiler, başkan tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.
  • Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.

4.Adım: Talep Cevabının Oluşturulması:

  • KVKK Komitesinde talep cevap metni görüşülür
  • Cevap yazısı oluşturulur.

5.Adım: Talebe Cevap Dönülmesi:

  • Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden talebe cevap verilir.
  • Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir.

Talebin Arşivlenmesi: 

  • Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır.
  • Talep kapatılır.

20. KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ

Dernek tarafından, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışarıdan denetim hizmeti satın alarak, kanunda ve bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.

21. VERİ İHLAL OLAYI BİLDİRİMİ

Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurulun belirttiği formatta bildirim yapılır.

Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.

22. POLİTİKANIN GEÇERLİLİĞİ VE YÜRÜLÜKTEN KALDIRILMASI

Bu Politika, Yangından Korunma Derneği’nin Kişisel Veri İşleme amaçlarında veya yasada bir değişiklik olana kadar geçerlidir. Politikada bir değişiklik olduğunda Politika güncellenir. Komite üyeleri tarafından onaylanır ve yürürlüğe giriş tarihi belirtilir. Eski Politika arşive kaldırılarak 11 yıl saklanır.