SED-CEM TURİZM EĞİTİM SAĞLIK İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİ HAKKINDA İÇ YÖNERGE

İÇİNDEKİLER

 BİRİNCİ BÖLÜM

AMAÇ, KAPSAM, DAYANAK VE TANIMLAR

 Madde 1- Amaç

Madde 2- Kapsam

Madde 3- Dayanak

Madde 4- Tanımlar

İKİNCİ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLER VE NİTELİĞİ

Madde 5-Özel Nitelikli Kişisel Veriler

Madde 6- Niteliği

ÜÇÜNCÜ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Madde 6 -Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Yükümlülükler

DÖRDÜNCÜ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE ALINMASI GEREKEN

ÖNLEMLER

Madde 7- Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Önlemler

BEŞİNCİ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERLE İLGİLİ UYGUN GÜVENLİK DÜZEYİNİ TEMİN

ETMEYE YÖNELİKİDARİ VE TEKNİK TEDBİRLER

Madde 8 –Özel Nitelikli Kişisel Verilerle İlgili Uygun Güvenlik Düzeyini Temin Etmeye Yönelik

İdari ve Teknik Tedbirler

ALTINCI BÖLÜM

ÇEŞİTLİ HÜKÜMLER

Madde 9 – Yürürlük

Madde 10 – Yürütme

Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketinden:

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİ HAKKINDA İÇ YÖNERGE

Yönerge No: 19.08.2019/8

BİRİNCİ BÖLÜM

AMAÇ, KAPSAM, DAYANAK VE TANIMLAR

 Amaç

Madde 1- (1) Bu Yönerge’nin amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu, ikincil düzenlemeler ve hukuka  aykırı olarak özel nitelikli kişisel verilerin işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak için, Veri Sorumlusu olarak bu verilerin güvenliğine yönelik sistemli, açık ve anlaşılır bir dille açıklayıcı, yönetilebilir ve sürdürülebilir yükümlülükleri ile uyacağı usul ve esasları düzenlemektir.

Kapsam

Madde 2- (1) Bu Yönerge hükümleri, özel nitelikli kişisel veri işleyen çalışan gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi Veri Sorumlusu hakkında uygulanır.

Dayanak

Madde 3- (1) Bu Yönerge, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesi ve  Kişisel Verileri Kurulunun 31/01/2018 tarih ve 2018/10 sayılı Kararına dayanılarak hazırlanmıştır.

 Tanımlar

Madde 4- (1) Bu Yönerge’nin uygulanmasında;

  1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. İlgili kişi : Kişisel verisi işlenen işçi, stajyer gibi işyerinde çalışan gerçek kişiyi,
  3. İşveren:Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketi’ni,
  4. Kanun: 24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  5. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  6. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  7. Kurul: Kişisel Verileri Koruma Kurulunu,
  8. Kurum: Kişisel Verileri Koruma Kurumunu,
  9. KVK: 07.04.2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  10. Veri işleyen: İşveren’in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen veya tüzel kişiyi,
  11. Veri kayıt sistemi: Kişisel verilerin belirli bir kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  12. Veri kaybı/sızıntısı önleme (DLP): Kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımını,
  13. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan İşveren’i,
  14. Yönerge: İş bu “Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında İç Yönerge”yi,

ifade eder.

İKİNCİ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLER VE NİTELİĞİ

Özel Nitelikli Kişisel Veriler

Madde 5 – (1)  Özel nitelikli kişisel veriler

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkümiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

(2)Niteliği

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikte verilerdir.

Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunun 6 ncı maddesinde  sayılan sınırlı hallerde işlenebilir. Kanunda sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunların örnekseme ya da kıyas yoluyla çoğaltılması mümkün değildir.

Özel nitelikli kişisel verilere ilişkin koruma mutlak değildir, diğer hak ve özgürlüklerde olduğu gibi sınırlanabilir. Bu sınırlamanın Türkiye Cumhuriyeti Anayasasının 13 üncü maddesinde belirtilen esaslara uygun olarak gerçekleştirilmesi gerekmektedir.

ÜÇÜNCÜ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

 

Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Yükümlülükler

Madde 6 – (1)Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kuruluşunda, KVK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

 (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir (KVK m.12).

 

 

DÖRDÜNCÜ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE ALINMASI GEREKEN ÖNLEMLER

 

 

Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Önlemler

Madde 7 – (1) KVK’nun 22 (1) madde fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen Veri sorumlusu tarafından alınması gereken yeterli önlemle Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

Veri Sorumlusunun Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Ayrı Bir Politika Ve Prosedür Belirlemesi

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenecektir.

 

Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak, alınması gereken önlemler şunlardır:

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması.

Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Ve/Veya Erişildiği Ortamlar, Elektronik Ortamsa

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise alınması gereken önlemler şunlardır:

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b)Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, alınması gereken önlemler şunlardır:

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

  1. Özel Nitelikli Kişisel Veriler Aktarılacaksa

Özel nitelikli kişisel veriler aktarılacaksa alınması gereken önlemler şunlardır:

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

 

BEŞİNCİ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERLE İLGİLİ UYGUN GÜVENLİK DÜZEYİNİ TEMİN ETMEYE YÖNELİK İDARİ VE TEKNİK TEDBİRLER

Özel Nitelikli Kişisel Verilerle İlgili Uygun Güvenlik Düzeyini Temin Etmeye Yönelik İdari ve Teknik Tedbirler

Madde 8 – (1) İdari tedbirler

İdari tedbirler belirlenirken, özel nitelikli kişisel verilerin niteliği ve muhafaza edildiği ortam göz önünde bulundurulur.

Özel nitelikli kişisel verilerle ilgili uygun güvenlik düzeyini temin etmeye yönelik alınması gereken idari tedbirler şunlardır:

a) Mevcut risk ve tehditlerin belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle Veri Sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğu, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken;

  • Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
  • Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilir, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulur.

b) Çalışanların eğitilmesi ve farkındalık çalışmaları

Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri Sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın, kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenir ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanır.

c) Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi

Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve bu Yönerge, Veri Sorumlusu’nun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlusu tarafından iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır. Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltacaktır. Bu nedenle veri Sorumlusu’nun, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olması gerekmektedir. Politika ve bu Yönerge kapsamında; düzenli olarak kontroller yapılmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir

.

ç) Kişisel verilerin mümkün olduğunca azaltılması

KVK’nın 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, özellikle uzun süredir faaliyet gösteren Veri Sorumlusu, çok fazla miktarda kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, Veri Sorumlusunca işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir. Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, Veri Sorumlusunın sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi gerekmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında İç Yönergesine uygun ve güvenli bir şekilde imha edilir.

d) Veri işleyenler ile ilişkilerin yönetimi

Veri Sorumlusu, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet alabilir. Veri sorumlusu, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olması gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur. Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece Veri Sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir. Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağına da bu sözleşmede yer alması sağlanır. Yine söz konusu sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal Veri Sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi de, Veri Sorumlusunun bu ihlali derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğünü yerine getirmesi açısından gereklidir. Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, Veri Sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmiş olması, veri işleyenin veri güvenliğini sağlama yükümlüğünü yerine getirmesi açısından gereklidir. Bununla birlikte Veri Sorumlusu, kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir.

Veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri idari tedbirler aşağıda belirtilmiştir.

Veri Sorumlusu tarafından alınacak yukarıda açıklanan idari tedbirler özet olarak aşağıda gösterilmiştir:

– İdari Tedbirler Kişisel Veri İşleme Envanteri

– Hazırlanması Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) – — Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) – – – — Gizlilik Taahhütnameleri

– Kuruluş İçi Periyodik ve/veya Rastgele Denetimler

– Risk Analizleri

– İş sözleşmesi, Disiplin Yönergesi (Kanuna Uygun Hükümler İlave Edilmesi)

– Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

– Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

– Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

(2) Teknik tedbirler

Teknik tedbirler belirlenirken, özel nitelikli kişisel verilerin niteliği ve muhafaza edildiği ortam göz önünde bulundurulur.

Özel nitelikli kişisel verilerle ilgili uygun güvenlik düzeyini temin etmeye yönelik alınması gereken teknik tedbirler şunlardır:

a) Siber güvenliğin sağlanması

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır.

Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması sağlanır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır. Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak Veri Sorumlusu organizasyonu içinde bu politika ve Yönerge uygulamaya alınır.

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve Veri Sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişim sınırlandırılır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.

b) Kişisel veri güvenliğinin takibi

Veri sorumlusunun sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup, çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir. Bu durumun önüne geçebilmek için;

aa) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

bb) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, cc) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), çç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

dd) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir. Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak Veri Sorumlusuna sunulması gerekmektedir.

Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekir. Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanır.

c) Kişisel veri içeren ortamların güvenliğinin sağlanması

Kişisel veriler, Veri Sorumlusunun yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunmalıdır. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması gerekir.

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanır. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir. Aynı seviyedeki önlemlerin Veri Sorumlusu yerleşkesi dışında yer alan ve Veri Sorumlusuna ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınması gerekir. Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekir.

Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınır. Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara yetkisiz erişim önlenmelidir. Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk şifrelemesiyle cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya şifrelenebilir. Bazı yazılımlar ise verilerde değişiklik yapılmasına izin vermemek için şifre koruması sunmakla birlikte bu yazılımlar kişisel verinin yetkisiz kişiler tarafından okunmasını durdurmaz. Bu nedenle hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilir.

ç) Kişisel verilerin bulutta depolanması

Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığı Veri Sorumlusunca değerlendirilir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması yapılır. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilir.

d) Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı

Veri Sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılır, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol edilir ve uygulamalara kontrol mekanizmaları yerleştirilir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanır. Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak işyeri dışına çıkartmasının engellenmesi için gerekli önlemler alınır.

e) Kişisel verilerin yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Veri Sorumlusunun yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekir. Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir. Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilir. Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir kılınır, veri seti yedekleri mutlaka ağ dışında tutulması sağlanır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.

f) Kişisel veri güvenliğine ilişkin teknik ve idari tedbirler kapsamındaki özet tablolar

aa) Teknik Tedbirler

Teknik tedbirler Veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri teknik tedbirler özet olarak şunlardır:

– Yetki Matrisi,

– Yetki Kontrol,

– Erişim Logları,

– Kullanıcı Hesap Yönetimi,

– Ağ Güvenliği,

– Uygulama Güvenliği,

– Şifreleme,

– Sızma Testi,

– Saldırı Tespit ve Önleme Sistemleri,

– Log Kayıtları,

– Veri Maskeleme,

– Veri Kaybı Önleme Yazılımları,

– Yedekleme,

– Güvenlik Duvarları,

– Güncel Anti-Virüs Sistemleri,

– Silme, Yok Etme veya Anonim Hale Getirme,

–  Anahtar Yönetimi.

bb) Veri sorumlusu tarafından alınabilecek idari tedbirler özet olarak şunlardır:

– Kişisel Veri İşleme Envanteri Hazırlanması,

– Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.),

– Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ),

– Gizlilik Sözleşmeleri,

– Veri sorumlusu İçi Periyodik ve/veya Rastgele Denetimler,

– Risk Analizleri,

– İş Sözleşmesi ve Disiplin Yönetmeliği içeriğinde kişisel veri düzenlemelerine yer verilmesi

(Kanuna Uygun Hükümler İlave Edilmesi),

– Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi

vb.)

–  Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve KVK),

– Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim.

ALTINCI BÖLÜM

ÇEŞİTLİ HÜKÜMLER

Yürürlük

Madde 9 – (1) Bu Yönerge Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirket’i Müdürler Kurulu’nun 19.08.2019 tarih ve 8 sayılı Karar tarihinde yürürlüğe girer.

Yürütme

Madde 10 – (1) Bu Yönerge hükümlerini, Veri Sorumlusu adına  Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirket’iMüdürler Kurulu Başkanı yürütür.