KVKK Envanter Otomasyon Modülü
Verbis süreçleri ile  tam uyumludur
Envanter oluşturma ve yönetimini kolaylaştırır.
Manuel iş süreçlerinden sizi kurtarır.
İş akışı otomasyonu sağlar.
İzinsiz veriler için imha yönetimi sağlar.
Detaylı raporlama sunar. API ile raporlama yazılımınıza  entgre olur.
KVKK Veri Keşfi Modülü
KVKK verilerini, sistemlerde, veritabanlarında, dosya tiplerinde veya e-maillerde tarar ve tespit eder.
Hassas veriyi düzenli olarak tespit eder ve raporlama sağlar.
Otomatik tarama ile özel verileri tespit ederek riski minimize eder.
Tüm veritabanları ile uyumludur.
KVKK Verileri Maskeleme Modülü
KVKK verilerini, sistemlerde, veritabanlarında, dosya tiplerinde veya e-maillerde tarar ve tespit eder.
Hassas veriyi düzenli olarak tespit eder ve raporlama sağlar.
Otomatik tarama ile özel verileri tespit ederek riski minimize eder.
Tüm veritabanları ile uyumludur.
KVKK Raporlama Modülü
Hassas verileri tespit raporları
Veri envanteri raporları
Verbise uyumlu raporlar sunar.

TEKLİF İSTEMEK İÇİN TIKLAYINIZ

Kurumların KVKK Genel Yükümlülükleri

KVKK (Kişisel Verilerin Korunması Kanunu), verisi bulunan ilgili kişiye ve kişinin verisinden sorumlu olan ve veriyi işleyen gerçek veya tüzel kişilere bazı haklar vermektedir veya yaptırımlar uygulamaktadır. Bu yazıda kurumların KVKK kapsamında veriyi korumak ve yönetmek için uyması gereken kurallardan bahsedilecektir.

Kişisel Veri Nedir?

Kişisel veri, kişiyle ilişkisi kurulabilecek her türlü bilgiyi ifade etmektedir. Kişinin doğrudan kesin teşhisini sağlayan kimlik bilgilerinin yanı sıra yardımcı veriler aracılığıyla kişinin kimliğine ulaşılabilecek veriler de kişisel veri kapsamına girmektedir.
Kişisel verilerin çeşidi ve büyüklüğünün her geçen gün artmasıyla kişisel veri daha önemli hale gelmiştir. Bu verilerin işlenmesi bazı avantajların yanında özel bilgilerin gizliliği konusunda ortaya çıkan endişeleri de beraberinde getirmiştir. Bu durum kişisel verilerin korunması ve sınır ötesi paylaşımına ilişkin tartışmalara neden olarak verilerin yetkisiz kişilerce ele geçirilmesi, bilinçsiz davranışlar sonucu oluşan veri ihlalleri, kişilerin veri mahremiyetinin sağlanamaması gibi sorunlar ile ilgili yasal düzenlemelerin yapılmasını gerektirmiştir.

KVKK Kapsamında İlgili Kişinin Hakları Nelerdir?

İlgili kişi kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna yönelik bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok  edilmesini isteme, kişisel veriler üzerinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri nelerdir?

İlgili kişinin verisinden sorumlu olan ve veri sorumlusunun kararlarıyla bu veriyi işleyen kişilerin KVKK kapsamında bazı yükümlülükleri vardır. Veri sorumlusu kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.

A) Aydınlatma Yükümlülüğü
Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır. Bunlar;
– Veri sorumlusunun ve varsa temsilcisinin kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– Kişisel verilerin kimlere hangi amaçla akatarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebebi,
– 11. maddede sayılan diğer hakları

olarak belirtilmektedir. İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir.
B) Veri Güvenliğine İlişkin Yükümlülükler
Kanuna göre veri sorumlusu  veri güvenliği konusunda aşağıdaki maddelerden sorumludur:
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak.
Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır. Kişisel veri, veri sorumlusu adına başka bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz. Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum en kısa sürede ilgili kişilere bildirilmelidir.

C) Veri Sorumluları Siciline Kayıt Yükümlülüğü
Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak tutulmaktadır. VERBİS’e kayıt olmak için yapılacak başvuru aşağıdaki bilgileri içermektedir:
– Veri sorumlusunun kimlik ve adres bilgileri,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri konusu kişi grubu ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Kişisel veri güvenliğine yönelik alınan tedbirler,
– Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

D) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerce kendisine iletilen, kanunun uygulanması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir. İlgili kişi red cevabı alması halinde, cevabı öğrendikten sonraki otuz gün içinde Kurula şikayette bulunabilmektedir. Genellikle ücretsiz olan bu işlem,  gerekmesi halinde bir ücret karşılığında da yapılabilmektedir.

E) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Veri sorumlusu, kurula gelen bir şikayet olması ya da kurulun bir ihlali tespit etmesi halinde, konuyla ilgili hukuka aykırılıkların giderilmesi ile sorumludur.

KVKK Kapsamında Suçlar ve Kabahatler

Kişisel Verilerin Korunması Kanununda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bu yaptırımlar suçlar ve kabahatler olarak ikiye ayrılmıştır.

A) Suçlar

Kişisel verilere ilişkin suçlara Türk Ceza Kanununun 135 ila 140’ncı madde hükümleri uygulanır. Türk Ceza Kanununda;
– Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar,
– Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar,
– Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

B) Kabahatler
Kişisel Verilerin Korunması Kanununda;
– Aydınlatma  yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

KVKK Kurumunun Tavsiye Ettiği Teknik Önlemler

Kurumlarda ki veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12’nci maddesinin (1) numaralı fıkrasında bulunan;
a.Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c.Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Teknik önlemler olarak aşağıdaki maddeler belirlenmiştir.
1- Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır.
2- Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
3- Ağ ortamında kullanılan cihazların ve/veya programların yama yönetimi-yazılım güncellemelerinin olup olmadığı, düzgün bir şekilde çalıştığının kontrolü ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi gerekir.
4- Kişisel verileri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
5- Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
6- Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
7- Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
8- Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
9- Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılması gerekmektedir. Kurulan ürünler güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
10- Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
11- Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
12- Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
13- Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
14- Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
15- Kurumda çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
16- Oluşturulan raporlar sistem yöneticisi tarafından en kısa zamanda veri sorumlusuna sunulmalıdır.
17- Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi gerekir. Sistemlerden gelen uyarılar üzerine harekete geçilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerinin sonucuna göre değerlendirme yapılmalıdır.
18- Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
19- Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunması gerekmektedir.
20- Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
21- Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
22- Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.
23- Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
24- Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi veya şifreleme yöntemlerinin kullanılması gerekir. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
25- Cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmeli veya cihazda bulunan önemli veriler dosya halinde şifrelenmelidir.
26- Şifreleme programı olarak uluslararası kabul gören şifreleme programları tercih edilmelidir. Tercih edilen şifreleme yöntemi asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
27- Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
28- Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.
29- Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması gerekmektedir.
30- Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
31- Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
32- Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
33- Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri barındırıyor ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce kişisel verilerin güvenliğinin sağlanması gerekmektedir. Bu cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi, içerisinde bulunan verilerin şifrelenmesi gibi işlemler yapılması gerekmektedir.
34- Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi ve gerekli güvenlik önlemlerinin alınması gerekmektedir.
35- Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumluları yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesi gerekmektedir.
36- Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştirilmelidir.
37- Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır.
38- Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
39- Veri yedeklerinin fiziksel güvenliğinin sağlandığından emin olunmalıdır.
Özet olarak;
Aşağıda belirtilen başlıklar kurum içerisinde gereğiyle yapıldığında verilerin ihlali azaltılmış olur.
– Yetkilendirme matrisi oluşturulmalıdır.
– Yetki kontrolü yapılmalıdır.
– Erişim loğları tutulmalıdır.
– Kullanıcı hesapları yönetilmelidir.
– Ağ ortamının güvenliği sağlanmalıdır.
– Uygulamaların güvenliği sağlanmalıdır
– Veriler şifreleme yöntemleri ile şifrelenmelidir.
– Sızma testleri yapılarak kurum güvenliği test edilmelidir.
– Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
– Log kayıtları incelenmeli ve yedeklenmelidir.
– Veri maskelemeleri yapılmalıdır.
– Veri kaybı önleme yazılımları kullanılmalıdır.
– Yedekleme sistemleri kullanılmalıdır.
– Güncel anti-virüs sistemleri kullanılmalıdır.
– Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.