Sınav özeti
0 - 50 soru tamamlandı
Sorular:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
Bilgi
Kurumunuz Kişisel Verilerin Korunması Kanunu’na hazır mı?
Kişisel Verilerin Korunması Kanunu kişisel veri işleyen her kurumu kapsıyor. Siz de kurumunuzda kişisel veri işliyorsanız kanun’un yükümlülüklerini yerine getirmek durumundasınız.
Mevcut durumunuzun kanunla ne kadar uyumlu olduğunu 50 sorudan oluşan değerlendirme testimiz ile ölçebilirsiniz. Değerlendirmede yer alan sorular kanun maddeleri göz önünde bulundurularak hazırlanmıştır. Ayrıca kanunda yer alan maddelere bağlı kalınarak tamamlayıcı önlemler, süreçler ve kontroller üzerinde durulmuştur.
Test sonrasında kanuna uyum yüzdeniz, değerlendirme ve önerilerin yer aldığı durum raporu oluşturulacaktır.
Değerlendirmeyi kurum adı vermeden, anonim şekilde yapabilirsiniz !
Daha önce bu sınavı bitidiniz ve tekrar alamazsınız.
Sınav yükleniyor...
Sınava başlamak için önce kayıt olmalısınız.
Bu sınavı başlatmak için, aşağıdaki sınav bitirmek zorundasınız:
Sonuçlar
Zaman doldu
Ortalama değer |
|
Sizin sonucunuz |
|
Kategoriler
- Bilgi Güvenliği Yönetimi 0%
- Veri Paylaşımı ve Veri Sahibinin Erişimi 0%
- Veri Politikası 0%
- Veri Yönetimi 0%
-
Uyum konusunda ciddi eksiklikler görünüyor.
Kurumunuz Kişisel Verilerin Korunması Kanunu’na uyumlu değil. Eksik noktaların giderilip uyumlu hale getirilmesi sağlanabilir.
Kişisel Verilerin Korunması Kanunu’na göre kurumların:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
- Veri sahibinin isteklerine cevap verme,
- Veri güvenliğini sağlama zorunluluğu vardır.
Bu kapsamda kategorilere göre detaylı bilgileri aşağıda bulabilirsiniz.
Bilgi Güvenliği Yönetimi:
Kanun’un 12. Maddesinde veri güvenliğine ilişkin yükümlülükler bölümünde:
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır denilmektedir.Bu nedenle kişisel veri işleyen her kurum veri güvenliğini sağlamakla yükümlüdür. Kişisel veri güvenliği üzerindeki tehditer temelde isteyerek (kasten) ve istemeyerek yapılanlar olarak ikiye ayrılabilir. Alınacak önlemler isteyerek veya istemeyerek yapılan tüm veri güvenliği ihlallerini önleyici nitelikte olmalıdır.
Veri sorumlusunun çıkar karşılığı kişisel verileri bir başka kurumla paylaşması kasten ihlale örnek verilebilir. Bu şekilde kurum kişisel verilerin hukuka aykırı olarak erişilmesine ve işlenmesine izin vermiş olacaktır. Kasten yapılan ihlallerin alınan teknolojik önlemler ile engellenmesi zordur. Teknolojik güvenlik önlemlerinin yanında süreçsel güvenlik önlemleri de iyi tasarlanıp etkin kontrol noktaları belirlenmelidir. Bu aşamada kurumlara kanun’a uyma konusunda ciddi görevler düşmektedir.
Diğer tehdit ise kurumların farkında olmadan verilerin kurum içinden veya dışından kötü niyetli kişiler tarafından amacı dışında kullanılması ve güvenliğinin sağlanamamasıdır. Teknolojik ve süreçsel güvenlik önlemleri kurum bilgisi dışında istemeyerek yapılan ihlalleri engelleyebilecektir. Bu yüzden kurum, kişisel veri güvenliğinin sağlanması için her türlü teknik ve idari tedbirleri almak zorundadır. Bunu yapabilmek için birden çok alanda bilgi güvenliği kontrollerinin uygulayıp önlemlerin alınacağı bilgi güvenliği sistemi kurulmalıdır.
Bilgi güvenliği sistemini kurarken aşağıdaki alanlarda kontrollerin uygulanıp, önlemlerin alınması faydalı olacaktır. Alınacak önlemlerin veri güvenliğini etkileyecek doğrudan ve dolaylı tüm tehdit yüzeylerinde uygulanması riski en aza indirecektir.
- Ağ ve sistem güvenliği sağlanmalıdır.
- Verinin güvenli depolanması ve iletilmesi sağlanmalıdır.
- Bilgi güvenliği farkındalık eğitimleri verilmelidir.
- Sistem ve ağ monitor edilip olay kayıtları incelenmelidir.
- Erişim kontrolleri düzenlenmeli, sürekli gözden geçirilmelidir.
- Periyodik sistem zafiyet testleri yapılmalıdır.
- Güncel tehditler takip edilmeli ve önlemler uygulanmalıdır.
- Sadece ihtiyaç duyulan veri saklanmalıdır.
- Yama yönetimi etkin şekilde yapılmalıdır.
- Veri yedeklenmelidir.
- Fiziksel güvenlik sağlanmalıdır.
Bilgi güvenliği alanında yapılan çalışmalar birden fazla alanı ilgilendirdiği için sistemli bir şekilde yapılmalıdır. Yukarıda bahsedilen alanlardan herhangi birinin yapılmaması veya eksik yapılması verinin güvenliğine zarar verecektir. Bu yüzden bilgi güvenliği çalışmalarında sorumluluklar belirlenmeli ve bilgi güvenliği personelinin teknik anlamda donanımlı olmasına özen gösterilmelidir.
Veri Politikası:
Veri koruma sürecinde kanunun tüm gerekliliklerini yerine getirirken veri koruma politikasının olması önemlidir. Veri politikası veri işlemenin hukuka uygun olma, doğru ve gerektiğinde güncel olma, amaçla bağlantılı, sınırlı ve ölçülü olma, veri sahibi isteklerine cevap verebilme gibi yükümlülüklerin kurum içinde uygulanması ve süreçlerin net bir şekilde ifade edilmesini sağlayacaktır. Veri koruma politikasının yönetim onayı ve desteği alması tüm kurum çalışanlarının politikaya uygun hareket etmesi açısından önemlidir.
Kanunda yer alan yükümlülüklerin yerine getirilmesi yanında veri koruma farkındalık eğitimleri, veri koruma komitesi ve veri sınıflandırma gibi destekleyici süreçlerin de belirlenmesi ve uygulanması faydalı olacaktır.
Veri Paylaşımı ve Veri Sahibinin Erişimi:
Kanun’da veri sahibinin hakları detaylı şekilde düzenlenmştir. 11. Madde’de ilgili kişinin hakları bölümünde:
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, haklarına sahiptir şeklinde ifade yer almaktadır.Bu kapsamda kurumunuzda veri sahibinin her türlü isteğini karşılayacak şekilde süreçlerinizin tasarlanması ve uygulanması gerekmektedir. Bu süreçler veri sahibinin başvuru şekli, iletişim yöntemleri, cevap verme prosedürleri gibi tüm alanları içermektedir.
Veri paylaşımı kanun’da veri sahibinin açık rızasına bağlanmıştır. Açık rızanın olduğu veri paylaşım işlemlerinde veri güvenliğinin sağlanması gerekmektedir. Bunun için kurum çalışanlarına veri paylaşımı ile ilgili politikaların ve prosedürlerin anlatılması gerekmektedir. Ayrıca veri sahipleri veri paylaşım süreci hakkında bilgilendirilmelidir.
Veri Yönetimi:
Kanun’da veri işleme verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme gibi bir çok alandan oluşmaktadır. Veri işleme yöntemlerinin tamamı bir veri yönetim süreci içinde değerlendirilmelidir. Verinin depolanmasından imha edilmesine kadar olan tüm işlemler için veri yönetimi politikaları belirlenmelidir ve işletilmelidir. Yönetim desteğinin alınacağı veri yönetim politikası ile veri yönetimi sotumluluklarının belirlenmesi, risk yönetim sürecinin işletilmesi, gizlilik anlaşmalarının yapılması, veri bütünlüğünün sağlanması, fiziksel güvenlik önlemlerinin alınması, veriye erişimlerin kontrol edilmesi ve sınırlandırılması, iş sürekliliği planının yapılması, veri imha sürecinin belirlenmesi, hassas ve hassas olmayan verilerin ayrıştırılması gibi süreçlerin net bir şekilde belirlenmesi ve uygulanabilir olması gerekmektedir.
Danışmak istediğiniz konular için iletişime geçebilirsiniz.
-
Uyum konusunda atılmış adımlar görünüyor. Ancak yeterli değil.
Kurumunuzun Kişisel Verilerin Korunması Kanunu’na uyum konusunda başlangıç yapmış görünüyor. Eksik noktaların giderilip uyumlu hale getirilmesi sağlanabilir.
Kişisel Verilerin Korunması Kanunu’na göre kurumların:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
- Veri sahibinin isteklerine cevap verme,
- Veri güvenliğini sağlama zorunluluğu vardır.
Bu kapsamda kategorilere göre detaylı bilgileri aşağıda bulabilirsiniz.
Bilgi Güvenliği Yönetimi:
Kanun’un 12. Maddesinde veri güvenliğine ilişkin yükümlülükler bölümünde:
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır denilmektedir.Bu nedenle kişisel veri işleyen her kurum veri güvenliğini sağlamakla yükümlüdür. Kişisel veri güvenliği üzerindeki tehditer temelde isteyerek (kasten) ve istemeyerek yapılanlar olarak ikiye ayrılabilir. Alınacak önlemler isteyerek veya istemeyerek yapılan tüm veri güvenliği ihlallerini önleyici nitelikte olmalıdır.
Veri sorumlusunun çıkar karşılığı kişisel verileri bir başka kurumla paylaşması kasten ihlale örnek verilebilir. Bu şekilde kurum kişisel verilerin hukuka aykırı olarak erişilmesine ve işlenmesine izin vermiş olacaktır. Kasten yapılan ihlallerin alınan teknolojik önlemler ile engellenmesi zordur. Teknolojik güvenlik önlemlerinin yanında süreçsel güvenlik önlemleri de iyi tasarlanıp etkin kontrol noktaları belirlenmelidir. Bu aşamada kurumlara kanun’a uyma konusunda ciddi görevler düşmektedir.
Diğer tehdit ise kurumların farkında olmadan verilerin kurum içinden veya dışından kötü niyetli kişiler tarafından amacı dışında kullanılması ve güvenliğinin sağlanamamasıdır. Teknolojik ve süreçsel güvenlik önlemleri kurum bilgisi dışında istemeyerek yapılan ihlalleri engelleyebilecektir. Bu yüzden kurum, kişisel veri güvenliğinin sağlanması için her türlü teknik ve idari tedbirleri almak zorundadır. Bunu yapabilmek için birden çok alanda bilgi güvenliği kontrollerinin uygulayıp önlemlerin alınacağı bilgi güvenliği sistemi kurulmalıdır.
Bilgi güvenliği sistemini kurarken aşağıdaki alanlarda kontrollerin uygulanıp, önlemlerin alınması faydalı olacaktır. Alınacak önlemlerin veri güvenliğini etkileyecek doğrudan ve dolaylı tüm tehdit yüzeylerinde uygulanması riski en aza indirecektir.
- Ağ ve sistem güvenliği sağlanmalıdır.
- Verinin güvenli depolanması ve iletilmesi sağlanmalıdır.
- Bilgi güvenliği farkındalık eğitimleri verilmelidir.
- Sistem ve ağ monitor edilip olay kayıtları incelenmelidir.
- Erişim kontrolleri düzenlenmeli, sürekli gözden geçirilmelidir.
- Periyodik sistem zafiyet testleri yapılmalıdır.
- Güncel tehditler takip edilmeli ve önlemler uygulanmalıdır.
- Sadece ihtiyaç duyulan veri saklanmalıdır.
- Yama yönetimi etkin şekilde yapılmalıdır.
- Veri yedeklenmelidir.
- Fiziksel güvenlik sağlanmalıdır.
Bilgi güvenliği alanında yapılan çalışmalar birden fazla alanı ilgilendirdiği için sistemli bir şekilde yapılmalıdır. Yukarıda bahsedilen alanlardan herhangi birinin yapılmaması veya eksik yapılması verinin güvenliğine zarar verecektir. Bu yüzden bilgi güvenliği çalışmalarında sorumluluklar belirlenmeli ve bilgi güvenliği personelinin teknik anlamda donanımlı olmasına özen gösterilmelidir.
Veri Politikası:
Veri koruma sürecinde kanunun tüm gerekliliklerini yerine getirirken veri koruma politikasının olması önemlidir. Veri politikası veri işlemenin hukuka uygun olma, doğru ve gerektiğinde güncel olma, amaçla bağlantılı, sınırlı ve ölçülü olma, veri sahibi isteklerine cevap verebilme gibi yükümlülüklerin kurum içinde uygulanması ve süreçlerin net bir şekilde ifade edilmesini sağlayacaktır. Veri koruma politikasının yönetim onayı ve desteği alması tüm kurum çalışanlarının politikaya uygun hareket etmesi açısından önemlidir.
Kanunda yer alan yükümlülüklerin yerine getirilmesi yanında veri koruma farkındalık eğitimleri, veri koruma komitesi ve veri sınıflandırma gibi destekleyici süreçlerin de belirlenmesi ve uygulanması faydalı olacaktır.
Veri Paylaşımı ve Veri Sahibinin Erişimi:
Kanun’da veri sahibinin hakları detaylı şekilde düzenlenmştir. 11. Madde’de ilgili kişinin hakları bölümünde:
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, haklarına sahiptir şeklinde ifade yer almaktadır.Bu kapsamda kurumunuzda veri sahibinin her türlü isteğini karşılayacak şekilde süreçlerinizin tasarlanması ve uygulanması gerekmektedir. Bu süreçler veri sahibinin başvuru şekli, iletişim yöntemleri, cevap verme prosedürleri gibi tüm alanları içermektedir.
Veri paylaşımı kanun’da veri sahibinin açık rızasına bağlanmıştır. Açık rızanın olduğu veri paylaşım işlemlerinde veri güvenliğinin sağlanması gerekmektedir. Bunun için kurum çalışanlarına veri paylaşımı ile ilgili politikaların ve prosedürlerin anlatılması gerekmektedir. Ayrıca veri sahipleri veri paylaşım süreci hakkında bilgilendirilmelidir.
Veri Yönetimi:
Kanun’da veri işleme verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme gibi bir çok alandan oluşmaktadır. Veri işleme yöntemlerinin tamamı bir veri yönetim süreci içinde değerlendirilmelidir. Verinin depolanmasından imha edilmesine kadar olan tüm işlemler için veri yönetimi politikaları belirlenmelidir ve işletilmelidir. Yönetim desteğinin alınacağı veri yönetim politikası ile veri yönetimi sotumluluklarının belirlenmesi, risk yönetim sürecinin işletilmesi, gizlilik anlaşmalarının yapılması, veri bütünlüğünün sağlanması, fiziksel güvenlik önlemlerinin alınması, veriye erişimlerin kontrol edilmesi ve sınırlandırılması, iş sürekliliği planının yapılması, veri imha sürecinin belirlenmesi, hassas ve hassas olmayan verilerin ayrıştırılması gibi süreçlerin net bir şekilde belirlenmesi ve uygulanabilir olması gerekmektedir.
Danışmak istediğiniz konular için iletişime geçebilirsiniz.
-
Uyum konusunda neredeyse hazır görünüyorsunuz.
Kurumunuz Kişisel Verilerin Korunması Kanunu’na neredeyse hazır. Biraz daha çalışma ile uyumlu hale getirilebilir.
Kişisel Verilerin Korunması Kanunu’na göre kurumların:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
- Veri sahibinin isteklerine cevap verme,
- Veri güvenliğini sağlama zorunluluğu vardır.
Bu kapsamda kategorilere göre detaylı bilgileri aşağıda bulabilirsiniz.
Bilgi Güvenliği Yönetimi:
Kanun’un 12. Maddesinde veri güvenliğine ilişkin yükümlülükler bölümünde:
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır denilmektedir.Bu nedenle kişisel veri işleyen her kurum veri güvenliğini sağlamakla yükümlüdür. Kişisel veri güvenliği üzerindeki tehditer temelde isteyerek (kasten) ve istemeyerek yapılanlar olarak ikiye ayrılabilir. Alınacak önlemler isteyerek veya istemeyerek yapılan tüm veri güvenliği ihlallerini önleyici nitelikte olmalıdır.
Veri sorumlusunun çıkar karşılığı kişisel verileri bir başka kurumla paylaşması kasten ihlale örnek verilebilir. Bu şekilde kurum kişisel verilerin hukuka aykırı olarak erişilmesine ve işlenmesine izin vermiş olacaktır. Kasten yapılan ihlallerin alınan teknolojik önlemler ile engellenmesi zordur. Teknolojik güvenlik önlemlerinin yanında süreçsel güvenlik önlemleri de iyi tasarlanıp etkin kontrol noktaları belirlenmelidir. Bu aşamada kurumlara kanun’a uyma konusunda ciddi görevler düşmektedir.
Diğer tehdit ise kurumların farkında olmadan verilerin kurum içinden veya dışından kötü niyetli kişiler tarafından amacı dışında kullanılması ve güvenliğinin sağlanamamasıdır. Teknolojik ve süreçsel güvenlik önlemleri kurum bilgisi dışında istemeyerek yapılan ihlalleri engelleyebilecektir. Bu yüzden kurum, kişisel veri güvenliğinin sağlanması için her türlü teknik ve idari tedbirleri almak zorundadır. Bunu yapabilmek için birden çok alanda bilgi güvenliği kontrollerinin uygulayıp önlemlerin alınacağı bilgi güvenliği sistemi kurulmalıdır.
Bilgi güvenliği sistemini kurarken aşağıdaki alanlarda kontrollerin uygulanıp, önlemlerin alınması faydalı olacaktır. Alınacak önlemlerin veri güvenliğini etkileyecek doğrudan ve dolaylı tüm tehdit yüzeylerinde uygulanması riski en aza indirecektir.
- Ağ ve sistem güvenliği sağlanmalıdır.
- Verinin güvenli depolanması ve iletilmesi sağlanmalıdır.
- Bilgi güvenliği farkındalık eğitimleri verilmelidir.
- Sistem ve ağ monitor edilip olay kayıtları incelenmelidir.
- Erişim kontrolleri düzenlenmeli, sürekli gözden geçirilmelidir.
- Periyodik sistem zafiyet testleri yapılmalıdır.
- Güncel tehditler takip edilmeli ve önlemler uygulanmalıdır.
- Sadece ihtiyaç duyulan veri saklanmalıdır.
- Yama yönetimi etkin şekilde yapılmalıdır.
- Veri yedeklenmelidir.
- Fiziksel güvenlik sağlanmalıdır.
Bilgi güvenliği alanında yapılan çalışmalar birden fazla alanı ilgilendirdiği için sistemli bir şekilde yapılmalıdır. Yukarıda bahsedilen alanlardan herhangi birinin yapılmaması veya eksik yapılması verinin güvenliğine zarar verecektir. Bu yüzden bilgi güvenliği çalışmalarında sorumluluklar belirlenmeli ve bilgi güvenliği personelinin teknik anlamda donanımlı olmasına özen gösterilmelidir.
Veri Politikası:
Veri koruma sürecinde kanunun tüm gerekliliklerini yerine getirirken veri koruma politikasının olması önemlidir. Veri politikası veri işlemenin hukuka uygun olma, doğru ve gerektiğinde güncel olma, amaçla bağlantılı, sınırlı ve ölçülü olma, veri sahibi isteklerine cevap verebilme gibi yükümlülüklerin kurum içinde uygulanması ve süreçlerin net bir şekilde ifade edilmesini sağlayacaktır. Veri koruma politikasının yönetim onayı ve desteği alması tüm kurum çalışanlarının politikaya uygun hareket etmesi açısından önemlidir.
Kanunda yer alan yükümlülüklerin yerine getirilmesi yanında veri koruma farkındalık eğitimleri, veri koruma komitesi ve veri sınıflandırma gibi destekleyici süreçlerin de belirlenmesi ve uygulanması faydalı olacaktır.
Veri Paylaşımı ve Veri Sahibinin Erişimi:
Kanun’da veri sahibinin hakları detaylı şekilde düzenlenmştir. 11. Madde’de ilgili kişinin hakları bölümünde:
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, haklarına sahiptir şeklinde ifade yer almaktadır.Bu kapsamda kurumunuzda veri sahibinin her türlü isteğini karşılayacak şekilde süreçlerinizin tasarlanması ve uygulanması gerekmektedir. Bu süreçler veri sahibinin başvuru şekli, iletişim yöntemleri, cevap verme prosedürleri gibi tüm alanları içermektedir.
Veri paylaşımı kanun’da veri sahibinin açık rızasına bağlanmıştır. Açık rızanın olduğu veri paylaşım işlemlerinde veri güvenliğinin sağlanması gerekmektedir. Bunun için kurum çalışanlarına veri paylaşımı ile ilgili politikaların ve prosedürlerin anlatılması gerekmektedir. Ayrıca veri sahipleri veri paylaşım süreci hakkında bilgilendirilmelidir.
Veri Yönetimi:
Kanun’da veri işleme verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme gibi bir çok alandan oluşmaktadır. Veri işleme yöntemlerinin tamamı bir veri yönetim süreci içinde değerlendirilmelidir. Verinin depolanmasından imha edilmesine kadar olan tüm işlemler için veri yönetimi politikaları belirlenmelidir ve işletilmelidir. Yönetim desteğinin alınacağı veri yönetim politikası ile veri yönetimi sotumluluklarının belirlenmesi, risk yönetim sürecinin işletilmesi, gizlilik anlaşmalarının yapılması, veri bütünlüğünün sağlanması, fiziksel güvenlik önlemlerinin alınması, veriye erişimlerin kontrol edilmesi ve sınırlandırılması, iş sürekliliği planının yapılması, veri imha sürecinin belirlenmesi, hassas ve hassas olmayan verilerin ayrıştırılması gibi süreçlerin net bir şekilde belirlenmesi ve uygulanabilir olması gerekmektedir.
Danışmak istediğiniz konular için iletişime geçebilirsiniz.
-
Kanun’a uyumlusunuz. Tebrikler.
Kurumunuz Kişisel Verilerin Korunması Kanunu’na uyumlu görünüyor. Bu şekilde devam etmenizi dileriz.
Kişisel Verilerin Korunması Kanunu’na göre kurumların:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
- Veri sahibinin isteklerine cevap verme,
- Veri güvenliğini sağlama zorunluluğu vardır.
Bu kapsamda kategorilere göre detaylı bilgileri aşağıda bulabilirsiniz.
Bilgi Güvenliği Yönetimi:
Kanun’un 12. Maddesinde veri güvenliğine ilişkin yükümlülükler bölümünde:
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır denilmektedir.Bu nedenle kişisel veri işleyen her kurum veri güvenliğini sağlamakla yükümlüdür. Kişisel veri güvenliği üzerindeki tehditer temelde isteyerek (kasten) ve istemeyerek yapılanlar olarak ikiye ayrılabilir. Alınacak önlemler isteyerek veya istemeyerek yapılan tüm veri güvenliği ihlallerini önleyici nitelikte olmalıdır.
Veri sorumlusunun çıkar karşılığı kişisel verileri bir başka kurumla paylaşması kasten ihlale örnek verilebilir. Bu şekilde kurum kişisel verilerin hukuka aykırı olarak erişilmesine ve işlenmesine izin vermiş olacaktır. Kasten yapılan ihlallerin alınan teknolojik önlemler ile engellenmesi zordur. Teknolojik güvenlik önlemlerinin yanında süreçsel güvenlik önlemleri de iyi tasarlanıp etkin kontrol noktaları belirlenmelidir. Bu aşamada kurumlara kanun’a uyma konusunda ciddi görevler düşmektedir.
Diğer tehdit ise kurumların farkında olmadan verilerin kurum içinden veya dışından kötü niyetli kişiler tarafından amacı dışında kullanılması ve güvenliğinin sağlanamamasıdır. Teknolojik ve süreçsel güvenlik önlemleri kurum bilgisi dışında istemeyerek yapılan ihlalleri engelleyebilecektir. Bu yüzden kurum, kişisel veri güvenliğinin sağlanması için her türlü teknik ve idari tedbirleri almak zorundadır. Bunu yapabilmek için birden çok alanda bilgi güvenliği kontrollerinin uygulayıp önlemlerin alınacağı bilgi güvenliği sistemi kurulmalıdır.
Bilgi güvenliği sistemini kurarken aşağıdaki alanlarda kontrollerin uygulanıp, önlemlerin alınması faydalı olacaktır. Alınacak önlemlerin veri güvenliğini etkileyecek doğrudan ve dolaylı tüm tehdit yüzeylerinde uygulanması riski en aza indirecektir.
- Ağ ve sistem güvenliği sağlanmalıdır.
- Verinin güvenli depolanması ve iletilmesi sağlanmalıdır.
- Bilgi güvenliği farkındalık eğitimleri verilmelidir.
- Sistem ve ağ monitor edilip olay kayıtları incelenmelidir.
- Erişim kontrolleri düzenlenmeli, sürekli gözden geçirilmelidir.
- Periyodik sistem zafiyet testleri yapılmalıdır.
- Güncel tehditler takip edilmeli ve önlemler uygulanmalıdır.
- Sadece ihtiyaç duyulan veri saklanmalıdır.
- Yama yönetimi etkin şekilde yapılmalıdır.
- Veri yedeklenmelidir.
- Fiziksel güvenlik sağlanmalıdır.
Bilgi güvenliği alanında yapılan çalışmalar birden fazla alanı ilgilendirdiği için sistemli bir şekilde yapılmalıdır. Yukarıda bahsedilen alanlardan herhangi birinin yapılmaması veya eksik yapılması verinin güvenliğine zarar verecektir. Bu yüzden bilgi güvenliği çalışmalarında sorumluluklar belirlenmeli ve bilgi güvenliği personelinin teknik anlamda donanımlı olmasına özen gösterilmelidir.
Veri Politikası:
Veri koruma sürecinde kanunun tüm gerekliliklerini yerine getirirken veri koruma politikasının olması önemlidir. Veri politikası veri işlemenin hukuka uygun olma, doğru ve gerektiğinde güncel olma, amaçla bağlantılı, sınırlı ve ölçülü olma, veri sahibi isteklerine cevap verebilme gibi yükümlülüklerin kurum içinde uygulanması ve süreçlerin net bir şekilde ifade edilmesini sağlayacaktır. Veri koruma politikasının yönetim onayı ve desteği alması tüm kurum çalışanlarının politikaya uygun hareket etmesi açısından önemlidir.
Kanunda yer alan yükümlülüklerin yerine getirilmesi yanında veri koruma farkındalık eğitimleri, veri koruma komitesi ve veri sınıflandırma gibi destekleyici süreçlerin de belirlenmesi ve uygulanması faydalı olacaktır.
Veri Paylaşımı ve Veri Sahibinin Erişimi:
Kanun’da veri sahibinin hakları detaylı şekilde düzenlenmştir. 11. Madde’de ilgili kişinin hakları bölümünde:
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, haklarına sahiptir şeklinde ifade yer almaktadır.Bu kapsamda kurumunuzda veri sahibinin her türlü isteğini karşılayacak şekilde süreçlerinizin tasarlanması ve uygulanması gerekmektedir. Bu süreçler veri sahibinin başvuru şekli, iletişim yöntemleri, cevap verme prosedürleri gibi tüm alanları içermektedir.
Veri paylaşımı kanun’da veri sahibinin açık rızasına bağlanmıştır. Açık rızanın olduğu veri paylaşım işlemlerinde veri güvenliğinin sağlanması gerekmektedir. Bunun için kurum çalışanlarına veri paylaşımı ile ilgili politikaların ve prosedürlerin anlatılması gerekmektedir. Ayrıca veri sahipleri veri paylaşım süreci hakkında bilgilendirilmelidir.
Veri Yönetimi:
Kanun’da veri işleme verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme gibi bir çok alandan oluşmaktadır. Veri işleme yöntemlerinin tamamı bir veri yönetim süreci içinde değerlendirilmelidir. Verinin depolanmasından imha edilmesine kadar olan tüm işlemler için veri yönetimi politikaları belirlenmelidir ve işletilmelidir. Yönetim desteğinin alınacağı veri yönetim politikası ile veri yönetimi sotumluluklarının belirlenmesi, risk yönetim sürecinin işletilmesi, gizlilik anlaşmalarının yapılması, veri bütünlüğünün sağlanması, fiziksel güvenlik önlemlerinin alınması, veriye erişimlerin kontrol edilmesi ve sınırlandırılması, iş sürekliliği planının yapılması, veri imha sürecinin belirlenmesi, hassas ve hassas olmayan verilerin ayrıştırılması gibi süreçlerin net bir şekilde belirlenmesi ve uygulanabilir olması gerekmektedir.
Danışmak istediğiniz konular için iletişime geçebilirsiniz.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- Ceveplanan
- Gözden geçirme
-
Soru 1 - 50
1. Soru
Kategori: Veri PolitikasıKurumunuzda üst yönetim tarafından onaylanmış ve yayınlanan veri koruma politikası var mı?
-
Soru 2 - 50
2. Soru
Kategori: Veri PolitikasıKurumunuzda veri koruma sorumlusu bulunuyor mu?
-
Soru 3 - 50
3. Soru
Kategori: Veri PolitikasıKurumunuzda çalışanlara veri koruma farkındalık eğitimleri veriliyor mu?
-
Soru 4 - 50
4. Soru
Kategori: Veri PolitikasıKurumunuzda veri koruma komitesi bulunuyor mu?
-
Soru 5 - 50
5. Soru
Kategori: Veri PolitikasıKurumunuzda kişisel verilerin işlenmesiyle ilgili politikalarınız veri sahiplerinin kolayca ulaşabileceği şekilde midir?
-
Soru 6 - 50
6. Soru
Kategori: Veri PolitikasıKurumunuzda işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sahibini ve veri koruma kurumunu bilgilendirme süreciniz bulunuyor mu?
-
Soru 7 - 50
7. Soru
Kategori: Veri PolitikasıKurumunuzda veri sahiplerinin verilerine erişmek için yaptıkları isteklere cevap verecek bir süreciniz bulunuyor mu?
-
Soru 8 - 50
8. Soru
Kategori: Veri PolitikasıKurumunuzda veri toplama sürecinde veri sahibinin açık rızasını alacak şekilde tasarlanmış süreciniz var mı?
-
Soru 9 - 50
9. Soru
Kategori: Veri PolitikasıKurumunuzda veri toplama sırasında veri sahibi kullanım amaçları hakkında detaylı şekilde bilgilendiriliyor mu?
-
Soru 10 - 50
10. Soru
Kategori: Veri PolitikasıKurumunuzda kişisel verilerin sadece ihtiyacınızı karşılayacak nitelikte toplanmasına ilişkin bir süreciniz bulunuyor mu?
-
Soru 11 - 50
11. Soru
Kategori: Veri PolitikasıKurumunuzda kullanım süresi dolan kişisel verilerin imhasının yapılması için bir süreciniz bulunuyor mu?
-
Soru 12 - 50
12. Soru
Kategori: Veri PolitikasıKurumunuzda kullanım süresi içinde olan kişisel verilere olan ihtiyacınızı analiz ediyor musunuz?
-
Soru 13 - 50
13. Soru
Kategori: Veri PolitikasıKurumunuzda yeni proje başlangıçlarında veri gizliliğinin göz önünde bulundurulmasına ilişkin süreciniz var mı?
-
Soru 14 - 50
14. Soru
Kategori: Veri PolitikasıKurumunuzda hassas kişisel veri hassas olmayan kişisel verilerden ayrıştırılmış mıdır?
-
Soru 15 - 50
15. Soru
Kategori: Veri PolitikasıKurumunuzda veri sınıflandırma süreciniz bulunuyor mu?
-
Soru 16 - 50
16. Soru
Kategori: Veri YönetimiKurumunuzda veri yönetimi ile ilgili sorumluluklar belirlenmiş ve atanmış mıdır?
-
Soru 17 - 50
17. Soru
Kategori: Veri YönetimiKurumunuzda onaylanmış ve yayınlanmış bir veri yönetim politikası bulunuyor mu?
-
Soru 18 - 50
18. Soru
Kategori: Veri YönetimiKurumunuzda veri yönetimi ile ilgili riskler risk yönetim sürecinize dahil midir?
-
Soru 19 - 50
19. Soru
Kategori: Veri YönetimiKurumunuz ile servis sağlayıcılarınız arasında bilgi güvenlik şartlarını sağlayacak gizlilik anlaşması imzalanmış mıdır?
-
Soru 20 - 50
20. Soru
Kategori: Veri YönetimiKurumunuzda verilerin bütünlüğünü düzenli olarak kontrol ettiğiniz bir süreciniz bulunuyor mu?
-
Soru 21 - 50
21. Soru
Kategori: Veri YönetimiKurumunuzda kişisel verilerin fiziksel transferi sırasında verileri koruyacak uygun önlemler alınmış mıdır?
-
Soru 22 - 50
22. Soru
Kategori: Veri YönetimiKurumunuzda kağıt ve elektronik ortamda tutulan kişisel veriler için fiziksel güvenlik önlemleri alınmış mıdır?
-
Soru 23 - 50
23. Soru
Kategori: Veri YönetimiKurumunuzda verilerin tutulduğu depolama ortamlarına erişimler kısıtlanmış mıdır?
-
Soru 24 - 50
24. Soru
Kategori: Veri YönetimiKurumunuzda kişisel veriye erişim hakkı bulunan kullanıcıların yetkileri en az yetki prensibi çerçevesinde mi tanımlanmıştır?
-
Soru 25 - 50
25. Soru
Kategori: Veri YönetimiKurumunuzda kişisel veriye erişim hakkı bulunan kullanıcıların yetki kontrollerinin yapıldığı süreciniz var mı?
-
Soru 26 - 50
26. Soru
Kategori: Veri YönetimiKurumunuzda uygulanan iş sürekliliği planı var mı?
-
Soru 27 - 50
27. Soru
Kategori: Veri YönetimiKurumunuzda kullanım süresi dolan hassas kişisel veriler için ayrı bir imha süreci var mı?
-
Soru 28 - 50
28. Soru
Kategori: Veri YönetimiKurumunuzda elektronik verilerin periyodik şekilde yedeklerinin alınmasıyla ilgili bir süreciniz var mı?
-
Soru 29 - 50
29. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda üst yönetim tarafından onaylanmış ve yayınlanmış bir bilgi güvenliği politikası bulunuyor mu?
-
Soru 30 - 50
30. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda bilgi güvenliği risklerinin belirlendiği, denetlendiği ve yönetildiği bir bilgi güvenlik risk yönetim süreciniz bulunuyor mu?
-
Soru 31 - 50
31. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda bilgi güvenliği sorumluları belirlenmiş ve atanmış mıdır?
-
Soru 32 - 50
32. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda veri sızıntılarına karşı önlemler alınmış mıdır?
-
Soru 33 - 50
33. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda çalışanlara düzenli olarak bilgi güvenliği farkındalık eğitimleri veriliyor mu?
-
Soru 34 - 50
34. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda uzaktan çalışma ile ilgili güvenlik politikanız var mı?
-
Soru 35 - 50
35. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda periyodik olarak sızma testleri (penetration test) yapılıyor mu?
-
Soru 36 - 50
36. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda periyodik olarak kişisel veri kanununa uyum denetimleri yapılıyor mu?
-
Soru 37 - 50
37. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda taşınabilir medya (USB, CD, DVD) kullanımına yönelik kontroller bulunmakta mıdır?
-
Soru 38 - 50
38. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda parola politikası bulunuyor mu?
-
Soru 39 - 50
39. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda zararlı yazılımlara karşı önlemler alınmış mıdır?
-
Soru 40 - 50
40. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda siber güvenlik olaylarına müdahale süreciniz bulunuyor mu?
-
Soru 41 - 50
41. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda kişisel veri sızıntılarını önlemek için sistem ve kullanıcı aktivitelerinin izlendiği log yönetim süreci bulunuyor mu?
-
Soru 42 - 50
42. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda uygulamaların güncel versiyonlarının kullanılmasıyla ve güvenlik yamalarının yüklenmesiyle ilgili bir süreciniz bulunuyor mu?
-
Soru 43 - 50
43. Soru
Kategori: Bilgi Güvenliği YönetimiKurumunuzda internet üzerinden gelebilecek atakları engellemek için gerekli çevresel güvenlik önlemleri alınmış mıdır?
-
Soru 44 - 50
44. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda çalışanlarınız veri paylaşımı ile ilgili politikalarınızı ve prosedürlerinizi biliyor mu?
-
Soru 45 - 50
45. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda veri paylaşımı ile ilgili görev ve sorumluluklar belirlenmiş midir?
-
Soru 46 - 50
46. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda veri paylaşım süreçlerinin kanuna uygunluğu kontrol ediliyor mu?
-
Soru 47 - 50
47. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda veri sahipleri veri paylaşım süreci hakkında bilgilendiriliyor mu?
-
Soru 48 - 50
48. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda veri paylaşımı için güvenli iletişim kanallarını kullanıyor musunuz?
-
Soru 49 - 50
49. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda veri sahiplerinin isteklerini etkili şekilde karşılayabilecek bir süreciniz bulunuyor mu?
-
Soru 50 - 50
50. Soru
Kategori: Veri Paylaşımı ve Veri Sahibinin ErişimiKurumunuzda çalışanlarınıza veri sahiplerinin isteklerini yasalara uygun şekilde karşılayabilecekleri konusunda eğitimler veriyor musunuz?