Frequently Asked Questions
Neden Sızma Testi Yaptırmak Zorundayız?
Öncelikle sızma testleri siber güvenliğin tamamlayıcı unsurudur. Bilgi güvenliği noktasında alınan tüm tedbirlerin etkinliğini ölçmemizi ve bir bilgisayar korsanı gözünden sistemlerimizi test edebilmemizi sağlar. Ayrıca
- KVKK, GDPR uyumlulukları;
- ISO-27001, PCI, HIPAA gibi uluslararası güvenlik standartlarına uyumluluk;
- Veri sızdırılması risklerine ve bilgi sistemlerinde bulunan zafiyetlere karşı önlem almak sızma testlerini yaptırmak için diğer nedenler olarak gösterilebilir.
Özel Nitelikli Kişisel Veri Nasıl İşlenir?
Özel nitelikli kişisel verilerin işlenmesi faaliyeti ilgili kişinin açık rızası alınarak yerine getirilecektir. Ancak Kanunda iki istisnai durum sayılmıştır. Buna göre;
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Bu durumların dışında ilgili kişinin açık rızası alınmadan özel nitelikli kişisel verisi işlenir ise hukuka aykırılık söz konusu olacaktır.
Siber Güvenliğe Neden Önemlidir?
Tüm sistemlerimiz veri işlemek için tasarlanmıştır ve bu sistemlerin doğru işlemesi kadar güçlü siber güvenlik önlemleriyle de korunması gerekmektedir.
Siber Güvenlik Tehditleri Artıyor mu?
Evet, tehditler karmaşıklık, yoğunluk, çeşitlilik ve hacim açısından katlanarak artıyor. Siber uzmanlar, özellikle suç örgütlerinden ve yabancı devlet destekli faaliyetlerden kaynaklanan dış siber saldırılarda önemli bir artış olduğunu bildiriyor.
Sızma Testinin Faydaları Nelerdir?
Sızma testleri, yazılım ve sistemleri tehlikeli güvenlik açıklarını önceden tespit ederek korumayı amaçlayan proaktif bir yaklaşımdır. Sızma testleri;
- Zafiyetleri tespit etmeyi,
- Alınan tedbirlerin etkinliğini tespit etmeyi,
- Veri gizliliği ve güvenliği düzenlemeleriyle uyumluluğu (ör. PCI DSS, HIPAA, GDPR, KVKK)
- Yönetim için mevcut güvenlik durumu ve bütçe önceliklerini tespit etmeyi sağlar.
VERBİS Nedir?
Açılımı Veri Sorumluları Sicil Bilgi Sistemidir. Veri sorumlularının Sicili Başkanlık tarafından oluşturulan ve yönetilen, internet üzerinden erişilebilen bir kayıt sistemidir. Bu sistem kamuya açıktır. İnternet sitesine buradan ulaşabilirsiniz. (https://verbis.kvkk.gov.tr/Query/Search)
VERBİS’e kayıt kriterlerinden yıllık çalışan sayısı nasıl belirlenecektir?
Öncelikle bir yılın tamamlanmış olması gerekir. Bir yılın içerisinde dikkate alınacak çalışan sayısı 12 aydan en az 7 ayının her birisinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan MUHTASAR ve PRİM HİZMET BEYANNAMESİ’nde bildirilen çalışan sayısıdır. Bu 7 ayın ardı ardına olması gerekmemekte fakat aynı yıla dahil olmalıdır. Örnekle açıklamak gerekirse 2022 yılı içerisinde SGK ya verilmiş olan Muhtasar ve Prim Hizmet Beyannamelerin en az 7 ayında bildirmiş olduğu çalışan sayısı 50 ve üstü ise bu veri sorumlusu VERBİS’e kayıt ve bildirim yapmak zorundadır.
Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler Nelerdir?
Veri sorumluları öncelikle işledikleri kişisel verilerinin ne kadar önemli olduğunu ve kötü kişilerin eline geçmesi halinde ilgililerine ne boyutta zarar vereceğinin farkında olmaları gerekmektedir. Bu farkındalık ile veri sorumlularının kişisel verilerin korunmasına ilişkin gerekli teknik ve idari yükümlülükleri daha dikkat ve özenle yerine getirmelerini sağlayacaktır. Her veri sorumlusunun kişisel veri güvenliğine ilişkin bir politikası ve prosedürü bulunmalıdır. Kullanım süresi biten ya da işlenme amacı sona eren kişisel veriler hemen ilk periyotta imha edilmelidir ki bunları korumak adına ekstra bir yükümlülük altına girilmemiş olunacaktır. İmha işleminin güvenli yapılması riski azaltır. Siber saldırılara, fidye yazılımlara karşı güvenlik duvarı gibi ağ güvenlik cihazları kullanmak faydalı olacaktır. Ayrıca tehdit içerikli internet sitelerine erişimin engellenmesi de risk ortamını daraltacaktır. Düzenli lisanslı antivirüs programları kullanmak ve bunlarla sık aralıklarla virüs taraması yapmak ve bu programları güncel halleriyle tutmak önem arz edecektir. Sisteme sadece yetkili kişilerin girmesine izin verilmesi, güçlü parola sisteminin kullanılması ve çift doğrulama sisteminin kullanılması faydalı olacaktır. Sızma testi yaptırmak riski azaltacaktır. Ayrıca Kurul’un web sitesinde yayınladığı Kamuoyu Duyurusu’nda şu tavsiyelere yer verilmiştir: Çift kademeli doğrulama sistemi kullanılması, başka bir cihaz ile bağlanılması durumunda bunun bilgisinin verilmesi, uygulamaların en üst seviyede güvenlik ayarları ile korunması, başarısız girişlerin olması halinde sistemde bunların görüntülenebilmesi, güçlü parolanın oluşturulması ve sık aralıklarla parolanın değiştirilmesi, üçüncü parti yazılım/servis kullanılması halinde bunların denetlenerek güncel tutulması konusunda tavsiyelerde bulunmuştur.
Veri ihlali gerçekleşmesi durumunda veri sorumlusu bunu en kısa sürede Kurul’a bildirmek zorundadır. Ayrıca bu sürenin 72 saati geçmesi durumunda en kısa sürede bildirimde bulunulmadığı için veri sorumlusu yaptırımla karşı karşıya kalır.
Veri Sorumlusu Kimdir?
Kişisel verilerin işlenme amaçlarını, nasıl işleneceğine dair araçlarını belirleyen, veri kayıt sisteminin kurulmasından, yönetilmesinden, korunmasından ve denetlenmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusudur. Kanun kimlerin veri sorumlusu olacağına ilişkin herhangi bir ayrıma gitmemiştir. Gerçek kişiler, kamu kurum ve kuruluşları, dernekler, sendikalar, vakıflar veya özel tüzel kişiler (şirketler gibi) veri sorumlusu olabilirler. Burada dikkat edilmesi gereken husus, veri sorumlusunun ayrı bir tüzel kişiliğinin olmasıdır. Veri sorumlusu olanlar KVKK’da yer alan ilke ve hükümlere uygun davranmak ve belirtilen yükümlülükleri de yerine getirmek zorundadır. Hukuka aykırı işlenen bir kişisel veriden dolayı kişiler mağduriyet yaşar ise onu tazmin etmekle de mükelleftirler.
Veri Sorumlusu, kişisel verilerin toplanma ve yöntemini, toplanacak kişisel verinin türlerini, hangi amaçla kişisel veri toplanacağını, bunların herhangi bir 3. Kişi ile paylaşılıp paylaşılmayacağını, paylaşılması durumunda kimlerle paylaşılacağını ve ne kadar süre ile kişisel verileri saklayabileceğini belirlemekte yetkilidir. Veri sorumlusu Kanunda belirtilen usul ve esaslara ve ilkelere göre kişisel verilerin işlenmesini sağlamakla yükümlüdür. Bunun yanında aydınlatma yükümlülüğü, verilerin korunmasına ilişkin teknik ve idari tedbirleri almak, kişisel verilerin silinmesini takip etmek, gizlilik çerçevesinde bu kişisel verileri saklaması, Kişisel Verileri Koruma Kurulu’nun kararlarına uymak, Veri Sorumluları Sicili’ne kayıt ve bildirimde bulunmak, ilgili kişinin haklarına riayet etmek gibi yükümlülükleri bulunmaktadır.
Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler şeklinde tanımlanmıştır. Veri işleyen veri işleme faaliyetinin teknik kısmını yapandır. Ayrıca veri sorumlularının yanında veri işleyenlerde veri güvenliğinin sağlanması konusunda müştereken sorumludur. Bu sebeple veri sorumlusunun, veri işleyenin yaptığı çalışmaları denetlemesi yararına olacaktır.
Yıllık mali bilanço toplamı nasıl hesaplanacaktır?
Bunun hesaplanmasında da bir yıl dolmuş olması gerekmektedir. 1 yılda veri sorumlusunca yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyannamesi ekinde yer alan mali tablolardaki mali bilanço VERBİS kayıt ve ibrazı içinde geçerli olacaktır. Kurul’un belirttiği üzere bu hesaplamada ciro ya da net satış/brüt satış hâsılatının dikkate alınmayacaktır.
