Veri
Sınıflandırma
Veri SınıflandırmaNeden Gerekli
VERİ SINIFLANDIRMA
İhtiyacımız olan dokümana erişebilmemiz için gerekli olan kategorilere ayırma, sıralama ve saklama fonksiyonlarının organizasyonudur. Veri sınıflandırmanın iyi planlanması, risk yönetimi, yasal uyumluluk ve dokümanın yaşam döngüsünün oluşturulması açısından son derece önemlidir.
Kişisel Veri Nerelerde?
Ayse Çelik, 35
Finans Uzmanı
Merkez Ofis
Kisisel Bilgiler
Etkinlik
Hedefler
Zorluklar
- Ekip Çalışması
- Zaman Yönetimi
- İletişim
Motivasyon
EKLİ DOKÜMANLAR
- CV
- Nüfus Cüzdanı
- Pasaport
- İşe Giriş Belgesi
Hobi ve Aktiviteler
Veri Sınıflandırma Neden Gerekli?
Verilerin sınıflandırılmasının temel amacı doğru verilere, doğru yetkilerle hızlı bir şekilde ulaşmak olsa da,
yasal uyumluluk ihtiyacı nedeniyle özellikle kişisel veriler içeren dokümanın kategorizasyonu zorunlu hâle gelmiştir.
Güvenlik
Doküman ve kayıtların siber saldırı ve ihlallere karşı korunması.
Gizlilik
Doküman veya kaydın doğru yetki matrisi ile erişim denetiminin sağlanması.
Ulaşılabilirlik
Doküman ve kayıtların istenildiğinde kullanılabilir hâlde olması.
Bütünlük
Gereken kayıt seti ve dokümanların ilgililik ve bütünlük bakımından benzer ortamlarda tutulması.
Bütünlük
Gereken kayıt seti ve dokümanların ilgililik ve bütünlük bakımından benzer ortamlarda tutulması.
Ulaşılabilirlik
Doküman ve kayıtların istenildiğinde kullanılabilir hâlde olması.
Güvenlik
Doküman ve kayıtların siber saldırı ve ihlallere karşı korunması.
Gizlilik
Doküman veya kaydın doğru yetki matrisi ile erişim denetiminin sağlanması.
İki Türde Veri Sınıflandırma
Saklama Sürelerine Bağlı Sınıflandırma
Kişisel veriler, imha zamanının belirlenebilmesi için tüm departmanların sahip olduğu her bir süreç özelinde kategorilere ayrılarak sınıflandırılmalıdır. Bu kategoriler, saklama süreleri ve ilgili oldukları süreçler birlikte değerlendirilerek belirlenmelidir. Saklama sürelerinin belirlenmesi, yasal zorunluluk ve organizasyonun meşru menfaati gözetilerek gerçekleştirilir.
| Sınıflandırma | Departman/Süreç | Süre |
|---|---|---|
| 5651 sayılı yasaya göre tutulan kayıtlar | Bilgi İşlem | 2 yıl (yasal zorunluluk) |
| Çalışan Özgeçmişleri (Kabul Edilmeyen) | İnsan Kaynakları | 3 yıl (en fazla) |
| Çalışan Aktif Directory Kayıtları | İnsan Kaynakları / Kalite | 10 yıl |
Hassasiyete Bağlı Sınıflandırma
Kişisel verilerin saklama koşullarının belirlenebilmesi için tüm departmanlarda tutulan veriler, her bir süreç özelinde hassasiyet etiketine sahip olmalıdır. Örneğin, özel nitelikli kişisel veriler Çok Gizli Bilgi etiketi ile saklanmalı ve bu verilerin yasada belirtilen saklama koşulları sağlanmalıdır.
Gizlilik Seviyeleri
Çok Gizli Bilgi (Top Secret) \Sağlık VerisiKişisel Veri
ConfidentialHighly ConfidentialInformation!
GizliÇok GizliBilgi içermektedir.
TOP SECRETCONFIDENTIALFOR YOUR EYES ONLY
Cevaplanması Gereken Sorular
İnsan Kaynakları ve Veriler
Veri gizliliği ve güvenliğinin sağlanması amacıyla, verilerin sınıflandırılmasına katkıda bulunmak (data classification) ve verilerin, yasaların emrettiği sürece saklanması (retention) için doğru metodolojik yaklaşımlar ortaya koymak İnsan Kaynaklarının önemli rollerinden biridir.
İnsan Kaynakları birimi, bilgi güvenliği risklerini yönetmek için örgütsel süreç ve kurallara uygun bir şekilde doküman standartlarını belirlerken yasal uyumluluğun da sağlandığından emin olmalıdır. İşlenen kayıt ve dosyaların önceden belirlenmiş hassasiyet ve gizlilik seviyelerine sahip olmaması, idari ve teknik anlamda verilerin yeterli derecede korunmadığı anlamına gelmektedir.
İnsan Kaynakları Süreçlerinde Elde Edilen
Kişisel Veri Örnekleri
Özlük Dosyalarında Hangi Belgeler Ne Şekilde Saklanmalıdır?
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.
AGİ bilgisi için çalışanın doldurduğu form esas alınmalı ek olarak eş ve çocuğa ait kimlik belgeleri talep edilmemelidir.
AGİ bilgisi için çalışanın doldurduğu form esas alınmalı ek olarak eş ve çocuğa ait kimlik belgeleri talep edilmemelidir.
Sağlık verisi içeren belgeler özlük dosyasında değil, iş yeri hekimi odasında kilitli dolaplarda saklanmalıdır.
Sağlık verisi içeren belgeler özlük dosyasında değil, iş yeri hekimi odasında kilitli dolaplarda saklanmalıdır.
Yalnızca çalışılacak pozisyon gerektirdiği müddetçe adli sicil kaydının istenmesi (“amaçla sınırlı kullanım”) gerekmektedir.
Yalnızca çalışılacak pozisyon gerektirdiği müddetçe adli sicil kaydının istenmesi (“amaçla sınırlı kullanım”) gerekmektedir.
Özlük dosyalarında ve dijital ortamda sicil kartlarında tutulan bilgiler doğru ve güncel olmalıdır.
Özlük dosyalarında ve dijital ortamda sicil kartlarında tutulan bilgiler doğru ve güncel olmalıdır.
Sürücü belgesi yalnızca organizasyon işlemleri için araç kullanacak kişilerden talep edilmelidir.
Sürücü belgesi yalnızca organizasyon işlemleri için araç kullanacak kişilerden talep edilmelidir.
Özlük dosyalarının saklama sürelerine uygun şekilde saklanması, saklama süresi bitenlerin imha edilmesi gerekmektedir.
Özlük dosyalarının saklama sürelerine uygun şekilde saklanması, saklama süresi bitenlerin imha edilmesi gerekmektedir.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.
Özlük Dosyalarında Hangi Belgeler
Ne Şekilde Saklanmalıdır?
İnsan Kaynakları Süreçlerinde Saklama Süresi Örnekleri
Olumlu Sonuçlanan
İş Başvurusu Kayıtları
Olumsuz Sonuçlanan
İş Başvurusu Kayıtları
Personel Özlük Dosyası ve
İK Süreçlerine Ait Kayıtlar
Personel Sigorta
Poliçeleri
İş Sağlığı ve Güvenliği
Kayıtları
Eğitim Kayıtları
Personel
Mahkeme ve İcra Talepleri
İnsan Kaynakları’nda Verileri Nasıl İmha Edeceğiz?
Kişisel verilere ait saklama süreleri belirlenmeli, yasaların belirlediği çerçevede işin niteliğine uygun süreler veri türüne göre tanımlanmalıdır.
İmha süreleri belirlenirken yalnızca veri türleri değil veri sahibi kişiler de dikkate alınmalıdır. Örneğin; Çalışan Adaylarından alınan kimlik kategorisindeki veriler ile çalışanlardan alınan kimlik verileri farklı saklama sürelerine tabi olmalıdır.
Mevcut durumda tutulmasında sakınca olmayan belgeler içerisinde bulunan tutulmasına gerek olmayan bilgiler karalama yöntemi ile maskelenmelidir. Örneğin; eski versiyon kimliklerde bulunan din, kan grubu bilgileri vb.
Fiziksel ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. En az P-5 seviye kağıt kırpıcılar kullanılmalıdır.
Dijital ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. Bu hususta kullanılan online sicil sistemlerine gereksiz veri girişi yapılmamalıdır. Daha önce girilen gereksiz veriler anonimleştirme yoluyla imha edilebilir.
İmhaya ilişkin bütün işlemler kayıt altına alınmalı ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmalıdır.
Verilerin İmha Edilmesini Gerektiren Hâller
Kişisel veri işleme faaliyetine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
Kişisel veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hâllerde, ilgili kişinin açık rızasını geri alması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Yasal Uyumluluk
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12. maddesi gereğince veri sorumlusu "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek; kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu hükümden bahisle, uygun idari ve teknik tedbirlerin alınması, kişisel verilerin doğru sınıflandırılması ve bu sınıflandırmalar doğrultusunda risk analizlerinin yapılmasına bağlıdır.
Bu zorunluluğu Kurum veri güvenliği rehberinde alttaki şekilde özetlemiştir;
Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun belirlenmesi; bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde ortaya konarak buna uygun tedbirlerin alınması gerekmektedir.
Diğer taraftan AB Genel Veri Koruma Tüzüğü’nün (GDPR) 32. maddesi kapsamında, veri işleme güvenliği şu şekilde açıklanmıştır:
Veri sorumlusu ve veri işleyen son teknoloji, uygulama maliyetleri ve veri işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri ile ilgili olarak çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, öngörülen risk açısından uygun güvenlik seviyesi sağlamak üzere uygun teknik ve idari tedbirleri uygulamakla yükümlüdür.
Son olarak verilerin gereken süreden fazla saklanarak imha edilmemesi ile ilgili 5237 sayılı Türk Ceza Kanunu’nda yer alan alttaki madde oldukça önemlidir:
Verileri Yok Etme
Madde 138 - (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
Bilgilendirme Metni!