VERİ SINIFLANDIRMA

İhtiyacımız olan dokümana erişebilmemiz için gerekli olan kategorilere ayırma, sıralama ve saklama fonksiyonlarının organizasyonudur. Veri sınıflandırmanın iyi planlanması, risk yönetimi, yasal uyumluluk ve dokümanın yaşam döngüsünün oluşturulması açısından son derece önemlidir.

Kişisel Veri Nerelerde?

Veri Sınıflandırma Neden Gerekli?

Verilerin sınıflandırılmasının temel amacı doğru verilere, doğru yetkilerle hızlı bir şekilde ulaşmak olsa da,
yasal uyumluluk ihtiyacı nedeniyle özellikle kişisel veriler içeren dokümanın kategorizasyonu zorunlu hâle gelmiştir.

Gizlilik

Doküman veya kaydın doğru yetki matrisi ile erişim denetiminin sağlanması.

Bütünlük

Gereken kayıt seti ve dokümanların ilgililik ve bütünlük bakımından benzer ortamlarda tutulması.

Güvenlik

Doküman ve kayıtların siber saldırı ve ihlallere karşı korunması.

Ulaşılabilirlik

Doküman ve kayıtların istenildiğinde kullanılabilir hâlde olması.

İki Türde Veri Sınıflandırma

Gizlilik Seviyeleri

Çok Gizli Bilgi (Top Secret) \ Sağlık Verisi

Cevaplanması Gereken Sorular

İnsan Kaynakları ve Veriler

Veri gizliliği ve güvenliğinin sağlanması amacıyla, verilerin sınıflandırılmasına katkıda bulunmak (data classification) ve verilerin, yasaların emrettiği sürece saklanması (retention) için doğru metodolojik yaklaşımlar ortaya koymak İnsan Kaynaklarının önemli rollerinden biridir.

İnsan Kaynakları birimi, bilgi güvenliği risklerini yönetmek için örgütsel süreç ve kurallara uygun bir şekilde doküman standartlarını belirlerken yasal uyumluluğun da sağlandığından emin olmalıdır. İşlenen kayıt ve dosyaların önceden belirlenmiş hassasiyet ve gizlilik seviyelerine sahip olmaması, idari ve teknik anlamda verilerin yeterli derecede korunmadığı anlamına gelmektedir.

İnsan Kaynakları Süreçlerinde Elde Edilen Kişisel Veri Örnekleri

Özlük Dosyalarında Hangi Belgeler Ne Şekilde Saklanmalıdır?

Özlük Dosyalarında Hangi Belgeler Ne Şekilde Saklanmalıdır?

Eski versiyon kimlik, ehliyet vb. kişisel veri barındıran belgelerde bulunan özel nitelikli kişisel veriler karalama yöntemi ile imha edilmelidir.

Özlük Dosyalarında Hangi Belgeler Ne Şekilde Saklanmalıdır?

İnsan Kaynakları’nda Verileri Nasıl İmha Edeceğiz?

Kişisel verilere ait saklama süreleri belirlenmeli, yasaların belirlediği çerçevede işin niteliğine uygun süreler veri türüne göre tanımlanmalıdır.
İmha süreleri belirlenirken yalnızca veri türleri değil veri sahibi kişiler de dikkate alınmalıdır. Örneğin; Çalışan Adaylarından alınan kimlik kategorisindeki veriler ile çalışanlardan alınan kimlik verileri farklı saklama sürelerine tabi olmalıdır.
Mevcut durumda tutulmasında sakınca olmayan belgeler içerisinde bulunan tutulmasına gerek olmayan bilgiler karalama yöntemi ile maskelenmelidir. Örneğin; eski versiyon kimliklerde bulunan din, kan grubu bilgileri vb.
Fiziksel ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. En az P-5 seviye kağıt kırpıcılar kullanılmalıdır.
Dijital ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. Bu hususta kullanılan online sicil sistemlerine gereksiz veri girişi yapılmamalıdır. Daha önce girilen gereksiz veriler anonimleştirme yoluyla imha edilebilir.
İmhaya ilişkin bütün işlemler kayıt altına alınmalı ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmalıdır.

İnsan Kaynakları’nda Verileri Nasıl İmha Edeceğiz?

Kişisel veri işleme faaliyetine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası

Kişisel veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hâllerde, ilgili kişinin açık rızasını geri alması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Yasal Uyumluluk

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12. maddesi gereğince veri sorumlusu “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek; kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu hükümden bahisle, uygun idari ve teknik tedbirlerin alınması, kişisel verilerin doğru sınıflandırılması ve bu sınıflandırmalar doğrultusunda risk analizlerinin yapılmasına bağlıdır

Bu zorunluluğu Kurum veri güvenliği rehberinde alttaki şekilde özetlemiştir;

Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun belirlenmesi; bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde ortaya konarak buna uygun tedbirlerin alınması gerekmektedir.

Diğer taraftan GDPR 32. maddesi kapsamında, veri işleme güvenliği şu şekilde açıklanmıştır:

Veri sorumlusu ve veri işleyen son teknoloji, uygulama maliyetleri ve veri işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri ile ilgili olarak çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, öngörülen risk açısından uygun güvenlik seviyesi sağlamak üzere uygun teknik ve idari tedbirleri uygulamakla yükümlüdür.
Son olarak verilerin gereken süreden fazla saklanarak imha edilmemesi ile ilgili 5237 sayılı Türk Ceza Kanunu’nda yer alan alttaki madde oldukça önemlidir:

Verileri Yok Etme

Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

KVKK & GDPR Danışmanlık

KVKK & GDPR hakkında bilgi almak için bize ulaşabilirsiniz.

 
 

    2003’den Beri Sektördeyiz nesil teknoloji ofis Nesil Teknoloji Arge Binası Nesil Teknoloji Anonim Şirketi 15 yılı aşkın süredir uluslararası standartlarda, kaliteli, yenilikçi ve çözüm odaklı hizmet veren bir teknoloji şirketidir. Farklı sektörlerde 1000’den fazla kuruma hizmet veren Nesil, Türkiye’nin önde gelen şirketleri arasında yer alan 40 farklı sektöre birçok referans proje sunmaktadır. Kamu, Kamu Kuruluşları ve Özel sektörlerine hizmet veren firmamız, TSE ve ISO sertifikalarına sahip olmakla beraber bu standartlar çerçevesinde fark yaratmayı seven ve mükemmeliyetçi iş anlayışına sahip personelleri ile Profesyonel hizmet vermektedir.

    ADRES

    Ankara Ofis Adres
    Cevizlidere Mahallesi 1256. Cadde No: 10/A Balgat, Çankaya/Ankara

    İstanbul Ofis Adres
    Oruçreis, Tekstilkent Cd Tekstilkent Plaza D:B Blok, 34235 Esenler/İstanbul

    Antalya Ofis Adres
    Fener, Tekelioğlu Cd. No:55 D:Kat 2, 07160 Muratpaşa/Antalya

    TELEFON

    Ankara
    0312 911 46 40

    İstanbul
    0212 975 00 97
    0216 232 24 33
    İzmir
    0232 423 45 33

    Adana
    0322 259 01 33

    Antalya
    0242 782 45 33

    Muğla
    0252 440 01 33

    EMAIL

    bilgi@kvkk.com.tc