Merhaba Arkadaşlar, Kişisel Verilerin Korunması Kanunu yıllardır beklenen bir kanundu. Nihayet çıktı.
Kişisel verilerin uygun korunması için teknik ve yönetsel ek önlemler ve veri envanteri oluşturulması, risk analizlerinin veri kısımlarının detaylı yapılması başta olmak üzere birçok konuda eğitim, iş, ürün satmak, ürün desteği vermek, danışmanlık, test, denetim ve hizmeti düşünecek olursanız güvenlik sektörü için de çok olumlu bir gelişme. Meraklıları, konudan ve yazılma sebebinden uzak ise kanun metnini okuduklarında yuvarlak ifadelere çok anlam veremeyebilirler. Bu nedenle nacizane tavsiyem: kanun metnini, kanunun çıkış nedenini, neye yarayacağını, kuruluşunuzda ve ülkemizde ne gibi değişimlere yol açacağını daha iyi anlamak istiyorsanız metne ek olarak aşağıdaki 2 dokümanı da okumanız: - BS 10012 (Personal Information Management System) Standardı - EU Data Protection Directive Aşağıda çok ama çok kısa bir bilgi paylaşayım ama o bilgi sadece merak uyandırma amaçlı yazılmış olup, yeterli olmayacaktır. Güvenliğin ucundan kıyısından var iseniz bu konuyu biraz araştırmanızı, hazır ve kısa bilgilerle yetinmemenizi öneririm. Zira, önümüzdeki birkaç yıl içinde tıpkı ISO 27001 Bilgi Güvenliği Yönetim Sistemi gibi BS 10012 standardı da hayatınızın bir parçası olacak gibi görünüyor. Bizim zaten hayatımızın bir parçası, çünkü 3-4 yıl önce 2 kuruluşa BS 10012 danışmanlığı vermiştik bile :) Türkiye`de bu standardın bahsinin geçtiği ilk yönetmelik KEP (Kayıtlı Elektronik Posta) Yönetmeliği. Merak edenler onu da inceleyebilirler. Kısacık bilgi: Yasa tasarısında, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu kurumları tarafından çeşitli amaçlarla sıkça toplanmakta, işlenmekte, paylaşılmakta ve saklanmaktadır. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi, bazen de kuruluş çalışanının verisi olabilmektedir. Kişisel veriler, asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme gelmektedir. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kurum ve kuruluşları ilgilendiren temel soru ise: “Vatandaştan, müşterilerimizden ve çalışanlarımızdan emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurum ve kuruluşlar, Kişisel Verilerin Korunması Yasasına da uyumlu olacaklardır. Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri: - Kişisel veri sorumlusu belirlemek - Kişisel veri politikası oluşturmak - Kişisel veri envanteri oluşturmak - Kişisel verilerle ilgili riskleri yönetmek - Kişisel veri toplama yöntemlerini belirlemek - Kişisel veri işleme yöntemlerini belirlemek - Kişisel veri saklama yöntemlerini belirlemek - Kişisel veri paylaşma yöntemlerini belirlemek - Kişisel veri güvenliğini sağlama yöntemlerini belirlemek - Kişisel veri imha yöntemlerini belirlemek - Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek olarak özetleyebileceğimiz Kişisel Veri Yönetimi çalışmalarının uygulanmasına bağlıdır. Yukarıda özetlenen kişisel veri yönetim çalışmaları ile ilgili temel ilkeler, BS 10012 Kişisel Bilgi Yönetim Sistemi Standardında tanımlanmıştır. Bu standarda uyum, Kişisel Verilerin Korunması Yasasına uyum sağlamayı amaçlayan kurum ve kuruluşlara, kişisel veri yönetimi çalışmalarını uygulama yolunda rehber olacaktır. Saygılarımla, Aysun Tuncer Kıdemli Yönetim Sistemleri Danışmanı İnnova Bilişim
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
