KVKK İdari ve Teknik Tedbirler Kontrol Listesi
22/11/2019KVKK İdari ve Teknik Tedbirler Kontrol Listesi Aşağıdaki gibidir.
Veri sorumlusu veya veri işleyen olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında aydınlatma yükümlülüğü’ nüzü yerine getirdiniz mi? | |
Evet | Hayır |
Aydınlatma yükümlülüğünüzü yerine getirdiğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin hazırlanıp paylaşılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | En kısa sürede aydınlatma yükümlüğünüzü yerine getirmeniz gerekmektedir. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, idari para cezası uygulanması söz konusu olacaktır. |
İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu? | |
Evet | Hayır |
Oluşturduğunuz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin yapılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
KVKK kapsamında; eğer istisna kapsamındaki durumlardan birine girmeyen bir hal var ise, veri işlerken ilgili kişi’ den açık rıza aldınız mı? | |
Evet | Hayır |
Sadece rızanın alınmış olmasının veri işleme noktasında yeterli olmadığını; KVKK kapsamında tüm idari ve teknik tedbirleri yerine getirmek zorunda olduğunuzu, ilgili kişinin her zaman rızasını geri alma hakkı olduğunu, bu kapsamda rıza geri alındığı andan itibaren ilgili kişinin verisi ile ilgili KVKK’ nun 7. Maddesi kapsamında kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden birinin uygulanmasını gerektiğini bilmeniz gerekmektedir. | Rıza alınmasını gerektirmeyen haller hariç olmak üzere rıza almadan veri işlemek mümkün değildir ve buna aykırı davranılması durumunda KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. Ayrıca TCK 135. Madde kapsamında hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilmektedir. |
Verileriniz yurt içinde herhangi bir gerçek/tüzel kişiye aktardınız mı? | |
Evet | Hayır |
İlgili kişiden açık rıza almanız gerekmektedir. Ancak aşağıdaki maddelerden biri söz konusu ise rıza almadan verileri aktarmanız mümkündür;
Kişisel Veri açısından; 4.1. madde yer alan istisnalar burada da geçerlidir. Özel Nitelikli Kişisel Veri açısından; 4.2. maddede yer alan istisnalar burada da geçerlidir. |
Verilerinizi kendi bünyenizde tuttuğunuzda dahi KVKK kapsamındaki tüm idari ve teknik tedbirlere uygun şekilde veri işlemek zorunda olduğunuzu unutmamalısınız. |
Veri işlerken rızaya ihtiyaç duyulmayan hallerin neler olduğunu biliyor musunuz? | |
Evet | Hayır |
Bu ihtimalde KVKK kapsamında rıza alma prosedürüne ihtiyaç duyulup duyulmamasından bağımsız olarak KVKK kapsamındaki tüm idari ve teknik tedbirlere uygun şekilde veri işlemek zorunda olduğunuzu unutmamalısınız. | KVKK 5. Madde kapsamında aşağıdaki hallerden biri söz konusu ise ilgili kişinin rızasına gerek olmaksızın veri işlemek mümkündür. Ancak rıza alınmasını gerektirmeyen bir hal olsa bile KVKK kapsamında tüm idari ve teknik tedbirlerin yerine getirilmesi zorunludur;
4.1. Kişisel Veri Açısından; a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 4.2. Özel Nitelikli Kişisel Veri açısından; Sağlık ve cinsel hayat dışındaki kişisel veriler (Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. |
Kişisel Veri İşleme Envanteri’ ni oluşturdunuz mu? | |
Evet | Hayır |
Envanterinizi düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde envanter hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
Verileriniz yurt dışında herhangi bir gerçek/tüzel kişiye aktardınız mı? | |
Evet | Hayır |
İlgili kişiden açık rıza almanız gerekmektedir. Ancak 4.1. ve 4.2. maddede yer alan istisnai haller ile birlikte kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarabilirsiniz. Yeterli korumanın bulunduğu ülkeler (Güvenli Ülkeler Listesi) Kurulca belirlenerek ilan edilecektir. Ayrıca her iki halde KVKK kapsamında tüm idari ve teknik tedbirleri yerine getirmek zorunda olduğunuzu da bilmeniz gerekmektedir. |
Verilerinizi yurt içinde tuttuğunuzda dahi KVKK kapsamındaki tüm idari ve teknik tedbirlere uygun şekilde veri işlemek zorunda olduğunuzu unutmamalısınız. |
İlgili kişilerin size başvurmalarını sağlayan Başvuru Formu’ nuzu oluşturdunuz mu? | |
Evet | Hayır |
Oluşturduğunuz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde metin yapılmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
İnternet adresinizde bir gizlilik politikası oluşturarak site ziyaretçilerinin bilgilerini toplama yönteminizle ilgili bir bilgilendirme yaptınız mı? | |
Evet | Hayır |
Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
Şirket tedarik sözleşmeleriniz ve ilgili diğer evraklarınıza KVKK ile ilgili hükümleri eklediniz mi? | |
Evet | Hayır |
KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
Şirket personel sözleşmelerinize KVKK ile ilgili hükümleri eklediniz mi? | |
Evet | Hayır |
KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
Şirket personellerinize zorunlu KVKK eğitiminizi aldırdınız mı? | |
Evet | Hayır |
Kişisel veri ile muhatap olan tüm elemanlarınızın bu eğitimi aldığından emin olmalı ve eğitim tarihinden sonra istihdam olan personellerinize de bu eğitimi aldırmak zorunda olduğunuzu unutmamalısınız. | Şirket personellerinize Kanun kapsamında yapılaması gerekli işlemleri neler olduğunda ilişkin eğitimi aldırmanız gerekmektedir. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. |
Elektronik ortamda tutulan VERBİS sistemine kayıt oldunuz mu? | |
Evet | Hayır |
KVKK ile ilgili hükümleri eklediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz. | Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilmektedir. |
Yetki Matrisi Oluşturuldu mu? | |
Evet | Hayır |
Yetki Matrisi Şirketlerde paylaşılan her türlü dosya ve Database için kimin erişim yetkisi olduğu, kimin ne zaman ne şekilde hangi cihazdan erişim sağladığı yada erişimim yetkisinin olduğu yazılan tablolardır. | Yetki Matrisi oluşturulmadıysa, en kısa zamanda oluşturulması gereklidir, şirket bünyesinde var olan tüm dosyalara kimlerin erişim yetkisinin olduğu tablo şeklinde görülmeli KVVK kapsamında denetim olması halinde ilk sorulacak olan matris tablosu olacaktır. |
Yetki Kontrol Listesi Bulunmakta mıdır? | |
Evet | Hayır |
Yetki Kontrol listeleri yetki matrisleri ile beraber oluşturulan, bir dosya üzerinde yetkilerinin kimin olduğunu gösteren tablolardır. Yetki matrisi listesinde bulunup Okuma, yazma, taşıma ya da değiştirme yetkilerinin kimde olduğunu gösteren yetki matrisi ile beraber oluşturulan tablolardır. Yetki Matrisinin olmadığı yerde yetki kontrol listesini oluşturmak olası değildir. | Yetki kontrol listesi elinizde yoksa, yetki matrisinin oluşturulmasında problemli bir süreç oluşmuştur. Yetki kontrol listesi oluşturmanız olası bir denetimde sorulacak olan bu database üzerinde ki yetkilileri görebilir miyiz? Sorusunun cevabı olacaktır. |
Erişim Logları var mı? | |
Evet | Hayır |
Bilgisayarın gerçekleştirdiği etkinliğin kayıtlarının tutulması anlamında kullanılır. Örneğin yerel bilgisayarınız karşılaştığı tüm hata olaylarını tanım ve tarih bilgisi ile bir dosyada saklar. Ya da web sitenizi barındırdığınız sunucu, olmayan bir sayfanın çağrılması, kodda bir hata olması vb. tüm gerekçelerle oluşan hataların tanım ve tarihlerini bir dosyada tutarken, başka dosyalarda da tüm başarılı işlemleri, ya da e-posta etkinliklerinin hatalarını tutar. Hangi bilgisayardan hangi işlemlerin yapıldığına dair liste tutmanızı sağlar olası bir denetimde erişim loğları talep edilmektedir. | Eğer şirketinizde Erişim Loğ kayıtları yoksa hemen aktif hale getirilmelidir. Şirket içerisinde yetkisiz bir erişimin ya da Kişisel bir verinin kim tarafından ne şekilde dışarı çıkıldığı bilgisi bu loğlar sayesinde bulunmaktadır. Üzerlerinde zaman mühürleri bulunduğundan dolayı hangi zamanda ihlalin gerçekleştiği bilgisi bu loğlar sayesinde öğrenilir. |
Kullanıcı Hesap Yönetimleri yapıldı mı? | |
Evet | Hayır |
Bu prosedürün amacı şirket bünyesinde veya yan kuruluşlarda çalışan ve network Alanı’na dahil olan kullanıcıların şifrelerinin azami ölçüde güvenlikli ve sağlam bir yapıda oluşturulmasını, korunmasını ve değiştirme sıklığının bir standartla belirlenmesidir. | Bu prosedür uygulamaya sokulmadığı taktirde, şirket bünyesinde ki kullanıcılar saldırganlar tarafından basitçe tahmin edilecek olan “12345” vb. şifreleri kullanabilme hakkı elde ederler, bu şirket bünyesinde kritik noktalarda çalışan personellerin basit, kırılabilir şifre oluşturulmasına yol açacaktır. |
Ağ Güvenliği ile alakalı olarak IDS ve IPS sistemleri mevcut mu? | |
Evet | Hayır |
IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur.
IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altına alan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi olası olmayan saldırıları tespit etmenizi sağlarlar. |
IDS ve IPS sistemleriniz bulunmuyorsa, sistem üzerinde network üzerinde gezen yada ortamda ki herhangi bir bilgisayarda ki virüs, trojen vb. yazılımları keşfetmeniz olası değildir. Bu sistemler olmadığı durumda her makinenin manuel olarak işleme tabi tutulması gerekmektedir. Uzun mesailer sonrasında bile zararlı yazılımları ulaşamaya bilirsiniz. |