Site icon Graylog

Turkish KVKK Personal Data Protection Law

İş dünyasında verilerin rolü giderek artmaktadır. Bugünlerde kurumlar geçmistekinden çok daha fazla kişisel veriyi toplamakta, saklamakta, işleme koymakta ve aktarmaktadır; buna karşın da yasal kurumlar mahremiyet yasalarını güncellemektedirler.

Türkiye, 2016 yılında 6698 sayılı Kişisel Verileri Koruma Yasası (KVKY)’nın ilk taslağını yayınladı ve ülkenin veri koruma otoritesi olan Kişisel Verileri Koruma Kurumu (KVKK)’nın kuruluşu da bu yasaya dayanmaktadır. 2021 yılında Türk Hükümeti bu yasayı General Data Protection Regulation (GDPR) yönetmeliğiyle daha iyi örtüşecek şekilde düzenlemeyi planladığını açıkladı. Ne var ki, KVKY 2016’daki haliyle kalmıştır, önümüzdeki yıllarda bazı iyileştirmelerin olması umuluyor.

 

Şirketler merkezileştirilmiş log yönetimi yoluyla güvenlik analizlerini güçlendirip, veri ihlali risklerini azaltabilirler ve böylece Türkiye’nin KVKY yasasıyla uyumlu hale gelebilirler.

 

Kişisel Verileri Koruma Yasası (KVKY) Nedir?

 

24 Mart 2016 tarihinde onaylanan Türk KVKY, şirketler tarafından kişisel veriler işlendiğinde, kişilerin temel mahremiyet haklarını korumayı amaçlamaktadır. Bu yasa verileri alınanların haklarını ve şirketlerin bu hakları korumadaki görevlerini tanımlar.

 

Türk KVKY şu iki türdeki kuruluşları kapsar:

 

Kişisel Verileri Koruma Yasası (KVKY)’nin 6. kısmı Kişisel Verileri Koruma Kurumu (KVKK)’nın görevlerini aşağıdaki şekilde tanımlar:

 

 

Ayrica 21. Maddeye dayanarak Kişisel Verileri Koruma Heyeti kurulmuştur ve görevleri 22. maddede şu şekilde sıralanmıştır:

 

 

KVKY Hangi Veri ve Faaliyetleri Kapsar?

 

Bircok mahremiyet yasası gibi, KVKY kişisel veriyi belirli veya belirlenebilir gerçek bir kişilikle ilgili herhangi bir bilgi olarak tanımlar. Ancak aşağıdaki “özel kategori”deki kişisel verileri de kapsar:

 

KVKY kişisel veriyi “belirli veya belirlenebilir gerçek bir kişilikle ilgili herhangi bir bilgi” olarak tanımlar. Kişisel verilerin işlenmesi elle veya otomatik yapılan işlemlerden şunları içerir:

 

Türkiye’nin Kişisel Verileri Koruma Yasası’nda Bulunan Anahtar Koşullar Nelerdir?

 

KVKY temel olarak şirketlerin kişisel verileri işlerken uyması gerektiği beş genel prensibin çerçevesini şöyle çizer:

 

 

Kisisel Veri İşleyebilme için Gerekli Şartlar

Kisisel verilerin işlenebilmesi için şirketler söz konusu kişiden açık onay almalıdır.

 

KVKY açık onay alma şartının gerekli olmadığı istisnai durumları şu şekilde sıralar:

 

Yasa veri sahibinin açık izni olmadan özel kategorideki kişisel verilerin işlenmesini yasaklar.

 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

 

Veri sahiplerinin veri kontrol işletmecisinden derlediği, sakladığı veya işlettiği herhangi bir kişisel veriyi silmesini, yok etmesini veya anonim hale getirmesini istemeye haklari vardir.

 

Kişisel verinin yurt içi ve yurt dışı transferi

Eğer verinin transferi hukuken istisnai bir duruma tabii değilse, veri kontrol işletmecileri veya veri işlemcileri veri sahibinin açık izni olmadan kişisel verileri yurt içi veya dışında transfer edemezler.

 

Verilerin yurt dışında transferi için şirketler söz konusu ülkenin yeterli önlemleri almış veya alacaklarına dair KVKK tarafından onaylanmış yazılı bir sözleşmeye imza atmış olmaları gerekmektedir.

 

Bilgilendirmeye Tabii İzin

 

Veri Kontrol İşletmecileri veri sahiplerini kişisel veri topladıkları konusunda bilgilendirmek ve asagidakileri sağlamak zorundadırlar:

 

Veri sahiplerinin veri kontrol işletmecisine şunları sorma hakkı vardır:

 

Veri Güvenliği

Veri kontrol işletmecilerinin kişisel verileri teknik ve kurumsal önlemler alarak veri güvenliğini sağlamaları aşağıdaki sebepler icin gereklidir:

 

Veri kontrol işletmecileriyle veri işlemcileri veri güvenliği sağlama sorumluluğunu paylaşırlar ve bunun için de veri işlemcisinin veri işletme konusunda denetimini sağlamalıdırlar.

 

Veri kontrol işletmecileri veri sahiplerini ve KVKK’yı bir veri ihlali durumunda bilgilendirmekle mükelleftirler.

 

Veri Kontrol İşletmecisi Sicili

 

Kişisel veri işletmeciliğine başlamadan önce veri sahipleri Veri Kontrol İşletmecisi Sicili’ne kayıt olmalıdır ve şunları sunmalıdır:

 

 

Cezalar ve müeyyideler

 

Kişisel verilerle ilgili suçlar Türk Ceza Kanunu’nun 5237 numaralı ve 26/9/2004 sayılı kanununun 135. ila 140. maddeleri kapsamına girer.

 

Ayrıca, KVKY’na uygunluk sağlanamaması durumunda uygulanacak idari para cezası tutarları aşağıdaki gibi belirlenmiştir:

 

Veri İhlali Bildirimi Şartları

 

2019 yılında Kişisel Verileri Koruma Kurulu (Kurul) Ki̇şi̇sel Veri̇ İhlali̇ Bi̇ldi̇ri̇m Usul ve Esaslarına i̇li̇şki̇n 24.01.2019 tari̇h ve 2019/10 sayılı kararı yayınlamıştır. 2019/10 sayılı kararda Kurul aşağıdaki süreleri belirlemiştir:

 

Türk Kişisel Veri Koruma Yasası İle Uyum için Merkezi Log Yönetimi

KVKY teknik detay içermese de Kurul kararlarının bazıları hadiselere bakışı ve idari cezaları nasıl uyguladığı konusunda fikir verir.

2019 yılında, Kurul birkaç kuruluşa cezai müeyyide uyguladı ve gerekçelerini açıkladı, bunlardan bazıları şunlardır:

 

Şirketler veri analizlerini merkezi log yönetim sistemi kullanarak geçeklestirirlerse KVKY’nin en son kriterleriyle uyum halinde olabilir ve ayrıca ilerde gelişebilecek yasa değişiklikleriyle de uyumlu, güçlü bir güvenlik gözetlemesi metoduna sahip olabilirler.

 

Güvenlik analizi ile birlikte kullanınca merkezi log yönetimi güvenlik gözetmelerini düzenler ve aşağıdakileri daha görünür kılar:

 

Dahası, kullanıcı ve varlık davranışı analizi (KVDA)’yı gözetleme programlarına dahil eden kuruluşlar aşağıdakilere sahip olur:

 

 

Erişim Gözetlemesi

 

Merkezi log yönetimi çözümleri, kimlik ve erişim yönetimi (IAM) ve KVDA ile kompleks bir ortamda eşleşince erişim gözetlemesinde başarı sağlarlar.

 

 

Bu hazır analizlerle, aşağıdakiler gibi güvenlik sorunları yönetilebilir:

 

Ağ Güvenliği

 

Merkezi log yönetimi, ağ güvenliği gözetleme araçlarının sağladığı bazı verileri incelemek ve ilişkilendirmek suretiyle iyi kurgulanmış uyarılar oluşturmanıza ve bir güvenlik olayı sayılabilecek şüpheli davranışları tespit edebilmenizi sağlar.

 

Güvenlik duvarları şüpheli trafikle ilgili bizi uyarır ve örneğin bir siber suçlu tarafından kontrol edilen sunucuya verilerin girmesi gibi bir durumda saldırı tespit sisteminiz (IDS)/saldırı önleme sisteminiz (IPS) sızma tekniğini gözetleme imkanı sunar.

 

 

Genel ağ trafiği taban çizgilerini belirledikten sonra, güvenlik analizleri kullanarak anormal faaaliyetlerle ilgili daha iyi tespitler yapabilirsiniz.

 

 

Veri Sızdırma

 

Fidye yazılım ve kötü amaçlı yazılımlar ile yapılan saldırılarda çalınan verilerin miktarında artış gözlemlenmektedir, bunun için de sistemlerle veri sızmalarını gözetlemek böyle olayların hızlı tespiti için son derece önemlidir.

 

İyi kurgulanmış uyarılar oluşturmak için de güvenlik analizi ve saldırı istihbaratı bulunduran paneller kurulabilir. Merkezi log yönetimi çözümünüz şimşek hızında inceleme yapma özelliğine sahipse, 72 saatlik dilimin içinde kalarak uygunluk yasalarını ihlal etme riskini azaltabilirsiniz.

 

Ağ gözetimi, virüs önleme logları ve KVDA ile sorun olabilecek uygunsuz veri indirmelerini tespit edecek kurallar oluşturabilirsiniz.

 

 

Olay Yönetimi ve Otomatikleştirilmiş Tehdit Avcılığı

 

Olay inceleme ve karşılık verme programınızı geliştirmek ve daha başarılı bir süreç oluşturmak için, hızlı araştırma ve proaktif tehdit avcılığına baş vurabilirsiniz.

 

Parametrelerle sorgular kurarak aramalarınızı optimize edip gerçek zamanlı öngörüler ve cevaplar alabilirsiniz. Spesifik değerler arama yerine parametreli arama yapma size tehdit avcılığını otomatikleştirme için gereken esnekliği verir ve aşağıdakileri izleyebilmenizi sağlar:

 

Uyumluluk ve olay sonrası raporlama

 

Merkezi log yönetimi sisteminizde panel olusturabildiğiniz zaman, bu görselleri karmaşık teknik bilgileri muhataplarınıza anlayabilecekleri, çizelge ve şemalardan oluşan bir güvenlik olayi değerlendirme raporu şeklinde sunabilirsiniz.

 

Örneğin, aşağıdakileri gösteren paneller kurabilirsiniz:

 

Graylog Güvenlik: Gelecekte de Güvenlik Analizleri ile Uyumluluk

 

Graylog Güvenlik’in analitik ve anomali tespit etme özellikleriyle güncel KVKY’nın koşullarıyla uyumlu ve ilerde eklenebilecek kosullara da uyum sağlayabilecek bir güvenlik ve uyumluluk programı oluşturabilirsiniz. Graylog Güvenlik önceden hazırlanmış arama şablonları, paneller, ilişkilendirilmiş uyarılar ve dinamik başvuru çizelgeleriyle beraber gelir ve uygun maliyetli tek bir çözüm ile güvenlik ve uyumluluk programlarınızı ileriye götürmenizi sağlar.

 

Hassas tespit sistemimizi, şimşek hızındaki aramalarımızı ve kolay anlaşılır arabirimimizi kullanmakla olayları hızlı bir şekilde araştırabilirsiniz. Graylog Güvenlik size verilerinizi koruma ve uyumluluk faaliyetlerinizi belgeleme için gereken tüm işlevselliği saglar.

 

Graylog Güvenlik’in KVKY’yla uyumunuzu sağlamada size nasıl yardımcı olabileceğini görmek icin bize ulasin.

Exit mobile version