Bilindiği üzere her veri sorumlusu barındırdığı kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak için gereken idari ve teknik önlemleri almalıdır. Bu yazımızda kişisel veri içeren ortamların nasıl muhafaza edilmesi gerektiğinden bahsedeceğiz.
Birçok şirket barındırdığı kişisel verileri ofis yerleşkelerinde bulunan cihazlarda ya da kağıt üzerinde saklamaktadır. Bu durum için akla gelen ilk risk bu cihazların ve kağıtların kaybolmasıdır. Kaybolma tehlikesine karşı alınacak ilk önlem ofis yerleşkesinde fiziksel güvenliğin sağlanmasıdır. Ayrıca ilgili alanlar yangın,sel vb. risklere karşı da korunmalı, gerekli kontroller yapılmalıdır. Elektronik ortamda bulunan verilerin korunmaya alınması için;
- Erişim sınırlandırılması yapılmalıdır.
- Bileşenlerin ayrılması sağlanmalıdır.
ÖRNEK: Kullanılmakta olan ağ, sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.
Yukarıda bahsi geçen önlemler yalnızca ofis yerleşkesindeki kişisel veri barındıran elektronik ortamlar değik, şirkete ait tüm elektronik ortamlarda da sağlanmalı, konuyla alakalı gerekli takip yapılmalıdır. Halihazırda kişisel veri barındıran şirket bilgisayarları, şirket telefonları, şirkete ait kişisel veri barındıran flash diskler de güvenlik anlamları olan başka bir alanda kullanılmadığı zamanlar için kilit altında tutulabilir. Kilitli odalarda güvenlik amaçlı giriş çıkış kayıtları tutulmalıdır. Kişisel verilerin bulunduğu cihazların çalınması, kaybolması durumlarına karşı erişim kontrol yetkilendirilmesi, şifreleme yöntemleri kullanılmalıdır.
Şifreleme İşlemi Kapsamında Nasıl Önlemler Alınabilir?
Şifre anahtarı yalnızca yetkilendirilen çalışanların erişebileceği ortamlarda muhafaza edilmelidir. Şifre anahtarlarına yetkisiz erişim önlenmelidir. Şifreleme birbirinden farklı formlarda kullanılabilir. Tam disk şifreleme yöntemi ile cihazın tümüne ya da cihazda bulunan önemli bir dosya da şifrelenebilir. Uluslararası kabul gören, yetkisiz kişiler tarafından yapılacak değişimlere asla izin vermeyen şifreleme yazılımları tercih edilmelidir. Şifreleme eğer asimetrik olacak ise yukarıda bahsi geçen anahtar yönetimi süreçleri özenle takip edilmelidir.
Yazımızda bahsi geçen hususlara tüm veri sorumluları dikkat etmeli, KVKK uyum süreçlerinin idari ve teknik tedbir aşaması özenle takip edilmelidir.
