KVKK Nedir? IBM Guardium ve KVKK

KVKK Nedir? IBM Guardium ve KVKK

KVKK Regülasyonu ve IBM Guardium

Günümüzde dijitalleşmenin hızla arttığı bir çağda, bireylerin kişisel verilerinin korunması büyük bir önem taşımaktadır. Türkiye’de bu konuda alınan önemli adımlardan biri de Kişisel Verilerin Korunması Kanunu’dur, kısaca KVKK. Bu blog yazımızda, KVKK’nın ne olduğu, nasıl uygulandığı ve güvenlik açısından neden bu kadar kritik bir öneme sahip olduğunun üzerinde duracağız.

KVKK Nedir?

KVKK, Türkiye’de 7 Nisan 2016 tarihinde kabul edilmiş olan ve 7 Nisan 2018’de resmi olarak yürürlüğe giren bir kanundur. Bu kanun, bireylerin kişisel verilerinin işlenmesini/kullanılmasını düzenler ve ana hedef olarak bu verilerin korunmasını sağlamayı amaçlar. KVKK, Avrupa Birliği(EU)’nin Genel Veri Koruma Yönetmeliği (GDPR) ile benzer prensiplere dayanmaktadır.

KVKK’nın Temel İlkeleri
  • Açık Rıza: Kişisel verilerin işlenmesi/kullanılması için bireylerin açık rızası alınmalıdır.
  • Adil ve Hesap Verilebilir İşleme: Veri sorumluları, kişisel verileri adil ve yasalara uygun bir şekilde işlemelidir.
  • İhtiyaç İlkesi: Sadece gerekli olan kişisel veriler işlenmelidir.
  • Güvenlik: Kişisel verilere yönelik güvenlik önlemleri alınmalıdır.
KVKK’nın Sağladığı Haklar:

KVKK, bireylere çeşitli haklar sağlar. Bu haklar arasında bilgi edinme, düzeltme, silme(anonimleştirme), işleme itiraz etme gibi haklar bulunmaktadır. Bireyler, kişisel verilerinin nasıl işlendiğini ve kullanıldığını öğrenme hakkına kanunen sahiptir.

Neden KVKK Önemlidir?
  • Birey Hakları: KVKK, bireylerin kişisel verileri üzerinde daha fazla kontrol sahibi olmalarını sağlar. Bu gizlilik ve mahremiyet için oldukça önemlidir
  • Şeffaflık: Veri sorumluları, kişisel verilerin nasıl işlendiği konusunda şeffaf olmalı ve açıkça bilgi vermelidir.
  • Cezai Yaptırımlar: KVKK’nın ihlali durumunda ciddi cezai yaptırımlar uygulanabilir. Bu da kurumları veri güvenliği konusunda daha dikkatli olmaya teşvik eder.
Kişisel Veriler Nelerdir:

Kişisel veri, bir bireyi doğrudan veya dolaylı olarak tanımlayan, belirli bir kişiyi kimliklendirebilen ya da bu kişiye özgü olan her türlü bilgiyi ifade eder. İşte kişisel veriye örnekler:

  • Ad ve Soyadı: Bir kişinin adı ve soyadı, en temel kişisel verilerden biridir.
  • T.C. Kimlik Numarası: Türkiye’de kullanılan ve her bireyi benzersiz bir şekilde tanımlayan kimlik numarası.
  • Doğum Tarihi ve Yeri: Bir kişinin doğduğu tarih ve yerle ilgili bilgiler.
  • Adres Bilgisi: Ev, iş yeri veya diğer yerleşim yerlerine ait adres bilgileri.
  • Telefon Numarası: Kişinin kullanmış olduğu telefon numarası.
  • E-posta Adresi: Kişinin iletişim kurmak için kullandığı e-posta adresi.
  • Fotoğraf ve Video Kayıtları: Kişinin fotoğraf ve video görüntüleri.
  • Biometrik Veriler: Parmak izi, retina taraması gibi vücut özelliklerine dayalı tanıma bilgileri.
  • İşyeri Bilgileri: Bir kişinin çalıştığı işyeri, unvanı, çalışma geçmişi gibi işle ilgili bilgiler.
  • Finansal Bilgiler: Banka hesap numarası, kredi kartı bilgileri gibi finansal veriler, kart ekstreleri.
  • Sağlık Bilgileri: Kişinin sağlık durumuyla ilgili bilgiler, tıbbi raporlar, tetkikler ve ilaçlar.
  • Sosyal Medya Profili Bilgileri: Facebook, Twitter(X), Instagram gibi sosyal medya platformlarında paylaşılan bilgiler.
  • Araç Plakası: Bir kişiye ait aracın plaka numarası.
  • Eğitim Bilgileri: Okul, üniversite, diploma bilgileri.
  • İnternet Protokol (IP) Adresi: Kişisel bilgilerle doğrudan ilişkilendirilmese de, çevrimiçi etkinlikleri takip etmek için kullanılan bir numara.

 

Ayrıca özel nitelikli kişisel veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler gibi kişilerin temel hak ve özgürlüklerine ilişkin olan, özel bir önem taşıyan kişisel verileri içerir.

Kişisel veri tanımı, teknolojinin ilerlemesi ve yeni bilgi türlerinin ortaya çıkmasıyla sürekli olarak genişlemektedir. Bu nedenle, kişisel veri kavramını anlamak için mevcut yasal düzenlemelere ve teknolojik gelişmelere de dikkat etmek önemlidir.

Veri Sızıntısı Olaylarına KVKK Yaklaşımı

Veri sızıntıları, Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ciddi bir konudur ve bu durumun ele alınması için belirli adımlar ve yükümlülükler bulunmaktadır. KVKK’nın veri sızıntılarına nasıl yaklaştığını gösteren temel noktalar:

  1. Bildirim Yükümlülüğü:
    • KVKK, veri sorumlularını (veri işleyen kuruluşları) veri sızıntıları hakkında derhal ve gerektiğinde Kişisel Veri İhlali Bildirimi yapmaya zorlar.
    • Veri sorumluları, veri ihlali sonucunda kişisel verilere yetkisiz erişim veya açıklama durumlarında, derhal ve en kısa sürede Kişisel Veri İhlali Bildirimi yapmalıdır.
  1. Kişisel Veri İhlali Bildirimi:
    • KVKK’ya göre, veri sorumluları kişisel veri ihlali durumlarında, bu ihlali derhal ve en kısa sürede Kişisel Veri İhlali Bildirimi ile bildirmelidir.
    • Bildirim, KVKK’nın belirlediği usul ve esaslara uygun olarak yapılmalıdır.
  1. Bildirim İçeriği:
    • Kişisel Veri İhlali Bildirimi, ihlalin türünü, etkilenen kişilerin sayısını, kişisel verilerin ne kadar süreyle yetkisiz kişilerin elinde kaldığını ve alınan veya alınacak düzeltici önlemleri içermelidir.
    • Ayrıca, bu bildirimde, alınan önlemlerin veya yapılacak olan düzeltici önlemlerin bir değerlendirmesi de yer almalıdır.
  1. İhlal Bildiriminde İletişim:
    • Bildirimde bulunacak kişi, genellikle veri sorumlusunun yetkili temsilcisidir.
    • İhlal bildirimi, Kişisel Veri İhlali Bildirim Formu veya benzeri bir araç üzerinden gerçekleştirilir.
  1. İlgili Kişilere Bildirim:
    • KVKK, ciddi bir kişisel veri ihlali durumunda, etkilenen kişilere de bildirim yapılmasını gerektirebilir.
    • Etkilenen kişilere yapılan bildirim, etkilenen kişilerin korunması ve haklarının güvence altına alınması amacını taşır.
  1. Olayın İncelemesi ve Raporlanması:
    • Veri sorumluları, meydana gelen kişisel veri ihlalini detaylı bir şekilde inceleyerek, olayın nedenlerini ve etkilerini değerlendirmelidir.
    • İhlalin detaylı bir raporu oluşturularak, gerekli düzeltici önlemler alınmalı ve bir sonraki ihlal riskini azaltmak için önlemler planlanmalıdır.

 

Bu adımlar, KVKK’nın veri sızıntılarına karşı uygulanan temel yaklaşımları içermektedir. Ancak, bu genel bilgilerdir ve özel durumlar için daha ayrıntılı bir değerlendirme ve danışmanlık gerekebilir. Bu nedenle, konuyla ilgili uzman hukuk ve teknik danışmanlara başvurmanız önemlidir.

IBM Security Guardium Çözümünün KVKK Süreçlerine Katkısı

IBM Security Guardium, veri tabanlarından gelen tehditleri ve hassas veri erişimini gerçek zamanlı izleyen ve denetleyen bir veri güvenliği ve koruma platformudur. KVKK süreçlerine katkı sağlamak için Guardium gibi veri güvenliği platformunu aşağıdaki şekillerde kurumunuzda kullanabilirsiniz:

  1. Veri İzleme ve Denetleme:
    • Guardium, veri tabanlarından gelen veri trafiğini gerçek zamanlı izleyerek, hangi kullanıcıların hangi verilere eriştiğini iz kayıtları şeklinde kaydeder, bu iz kayıtlarının değiştirilemez olmasını da garanti eder. Bu, KVKK kapsamında kişisel verilerin nasıl işlendiğini ve kimler tarafından erişildiğini belirleme konusunda yardımcı olur. Veri erişim noktalarında tam görünürlük sağlar.
  1. Hassas Veri Keşfi:
    • Guardium, veri tabanlarında bulunan hassas verileri tanımlama ve sınıflandırma yeteneklerine sahiptir. Bu özellik, kişisel veri içeren alanları ve tabloları belirleyerek, KVKK kapsamındaki verilerin nerede bulunduğunu tespit etmeye yardımcı olur. Devamlı işleyen bir süreç olduğu için yeni eklenen veya kopya veri(shadow data) içeren tablolar da kolaylıkla keşfedilebilmektedir.
  1. Güvenlik Politikalarının Uygulanması:
    • Guardium, önceden tanımlanmış güvenlik politikalarını uygulayarak, veri tabanlarına erişimi kontrol eder. Bu, KVKK’nın öngördüğü güvenlik önlemlerinin uygulanmasına önemli katkılar sağlar. KVKK verilerine yapılan erişimler için anlık alarmlar üretebilir, bu erişimlerin iç kontrol ve denetim ekiplerine düzenli raporlayabilir.
  1. İhlal Tespit ve Bildirimi:
    • Guardium, anormallikleri ve potansiyel güvenlik ihlallerini tespit edebilir. Bu özellik, KVKK kapsamında kişisel veri ihlallerini erken aşamada tanımlama ve bildirme süreçlerine ciddi katkı sağlar. Proaktif güvenlik yaklaşımı ile ihlallerin oluşma potansiyellerini tespit edebilirisiniz.
  1. Veri Maskeleme ve Anonimleştirme:
    • KVKK, kişisel verilerin güvenliğini sağlamak amacıyla veri maskeleme veya anonimleştirme uygulamalarını önerir. Guardium, veri tabanlarındaki gerçek verileri maskeler veya anonimleştirir, bu da test veya geliştirme ortamlarında güvenli bir şekilde kullanılmasına olanak tanır.
  1. Denetim ve Raporlama:
    • Guardium, veri tabanı etkinliklerini detaylı bir şekilde kayıt altına alarak denetim izlerini güvenlik şekilde oluşturur. Bu iz kayıtları, KVKK kapsamında gerekli olan denetim ve raporlama süreçlerine katkı sağlar.

 

KVKK süreçlerine katkı sağlamak için Guardium veri güvenliği çözümü, kişisel verilerin korunması, erişim kontrolü ve güvenlik politikalarının uygulanması konularında önemli bir rol oynamaktadır.

 

Konu Başlıkları
Hizmetlerimiz
Blog

Size Nasıl Yardımcı Olabiliriz?

Sizi Arayalım

Siber Güvenlik alanında 20 yılı aşkın süredir danışmanlık hizmetleri veren Mernus Bilişim Teknolojileri müşterilerine bilgi birikimlerini aktarmak ve onları siber tehditlere karşı korumak için yola çıktı.

Bülten
Bağlantılar
Adres

Ata 2 Sitesi, Çengelköy, İstanbul

E-MAIL
Copyright 2023 – Mernus | Software & Design – Powered by Much Better.