Veri
Sınıflandırma

Veri SınıflandırmaNeden Gerekli

VERİ SINIFLANDIRMA

İhtiyacımız olan dokümana erişebilmemiz için gerekli olan kategorilere ayırma, sıralama ve saklama fonksiyonlarının organizasyonudur. Veri sınıflandırmanın iyi planlanması, risk yönetimi, yasal uyumluluk ve dokümanın yaşam döngüsünün oluşturulması açısından son derece önemlidir.

Kişisel Veri Nerelerde?

Image

Ayse Çelik, 35

Finans Uzmanı

Merkez Ofis

Kisisel Bilgiler

Adres - Telefon

Etkinlik

Seyahat
20%
Kültür
50%
Macera
90%
Heyecan
30%
Network
60%

Hedefler

İngilizce makale yazma konusunda beceri kazanmak

Zorluklar

  • Ekip Çalışması
  • Zaman Yönetimi
  • İletişim

Motivasyon

Ödüllendirme, mentorluk.

EKLİ DOKÜMANLAR

  • CV
  • Nüfus Cüzdanı
  • Pasaport
  • İşe Giriş Belgesi

Hobi ve Aktiviteler

Veri Sınıflandırma Neden Gerekli?

Verilerin sınıflandırılmasının temel amacı doğru verilere, doğru yetkilerle hızlı bir şekilde ulaşmak olsa da,
yasal uyumluluk ihtiyacı nedeniyle özellikle kişisel veriler içeren dokümanın kategorizasyonu zorunlu hâle gelmiştir.

Güvenlik


Doküman ve kayıtların siber saldırı ve ihlallere karşı korunması.

Gizlilik


Doküman veya kaydın doğru yetki matrisi ile erişim denetiminin sağlanması.

Ulaşılabilirlik


Doküman ve kayıtların istenildiğinde kullanılabilir hâlde olması.

Bütünlük


Gereken kayıt seti ve dokümanların ilgililik ve bütünlük bakımından benzer ortamlarda tutulması.

Bütünlük


Gereken kayıt seti ve dokümanların ilgililik ve bütünlük bakımından benzer ortamlarda tutulması.

Ulaşılabilirlik


Doküman ve kayıtların istenildiğinde kullanılabilir hâlde olması.

Güvenlik


Doküman ve kayıtların siber saldırı ve ihlallere karşı korunması.

Gizlilik


Doküman veya kaydın doğru yetki matrisi ile erişim denetiminin sağlanması.

İki Türde Veri Sınıflandırma

Saklama Sürelerine Bağlı Sınıflandırma

Kişisel veriler, imha zamanının belirlenebilmesi için tüm departmanların sahip olduğu her bir süreç özelinde kategorilere ayrılarak sınıflandırılmalıdır. Bu kategoriler, saklama süreleri ve ilgili oldukları süreçler birlikte değerlendirilerek belirlenmelidir. Saklama sürelerinin belirlenmesi, yasal zorunluluk ve organizasyonun meşru menfaati gözetilerek gerçekleştirilir.

Sınıflandırma Departman/Süreç Süre
5651 sayılı yasaya göre
tutulan kayıtlar
Bilgi İşlem 2 yıl (yasal zorunluluk)
Çalışan Özgeçmişleri
(Kabul Edilmeyen)
İnsan Kaynakları 3 yıl (en fazla)
Çalışan Aktif
Directory Kayıtları
İnsan Kaynakları / Kalite 10 yıl

Hassasiyete Bağlı Sınıflandırma

Kişisel verilerin saklama koşullarının belirlenebilmesi için tüm departmanlarda tutulan veriler, her bir süreç özelinde hassasiyet etiketine sahip olmalıdır. Örneğin, özel nitelikli kişisel veriler Çok Gizli Bilgi etiketi ile saklanmalı ve bu verilerin yasada belirtilen saklama koşulları sağlanmalıdır.

Gizlilik Seviyeleri

ConfidentialHighly ConfidentialInformation!​

GizliÇok GizliBilgi içermektedir.

TOP SECRETCONFIDENTIALFOR YOUR EYES ONLY

Cevaplanması Gereken Sorular

İnsan Kaynakları ve Veriler

Veri gizliliği ve güvenliğinin sağlanması amacıyla, verilerin sınıflandırılmasına katkıda bulunmak (data classification) ve verilerin, yasaların emrettiği sürece saklanması (retention) için doğru metodolojik yaklaşımlar ortaya koymak İnsan Kaynaklarının önemli rollerinden biridir.


İnsan Kaynakları birimi, bilgi güvenliği risklerini yönetmek için örgütsel süreç ve kurallara uygun bir şekilde doküman standartlarını belirlerken yasal uyumluluğun da sağlandığından emin olmalıdır. İşlenen kayıt ve dosyaların önceden belirlenmiş hassasiyet ve gizlilik seviyelerine sahip olmaması, idari ve teknik anlamda verilerin yeterli derecede korunmadığı anlamına gelmektedir.

İnsan Kaynakları Süreçlerinde Elde Edilen
Kişisel Veri Örnekleri

Kişisel Veri örnekleri

Özlük Dosyalarında Hangi Belgeler Ne Şekilde Saklanmalıdır?


Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.


Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.


AGİ bilgisi için çalışanın doldurduğu form esas alınmalı ek olarak eş ve çocuğa ait kimlik belgeleri talep edilmemelidir.


AGİ bilgisi için çalışanın doldurduğu form esas alınmalı ek olarak eş ve çocuğa ait kimlik belgeleri talep edilmemelidir.


Sağlık verisi içeren belgeler özlük dosyasında değil, iş yeri hekimi odasında kilitli dolaplarda saklanmalıdır.


Sağlık verisi içeren belgeler özlük dosyasında değil, iş yeri hekimi odasında kilitli dolaplarda saklanmalıdır.


Yalnızca çalışılacak pozisyon gerektirdiği müddetçe adli sicil kaydının istenmesi (“amaçla sınırlı kullanım”) gerekmektedir.


Yalnızca çalışılacak pozisyon gerektirdiği müddetçe adli sicil kaydının istenmesi (“amaçla sınırlı kullanım”) gerekmektedir.


Özlük dosyalarında ve dijital ortamda sicil kartlarında tutulan bilgiler doğru ve güncel olmalıdır.


Özlük dosyalarında ve dijital ortamda sicil kartlarında tutulan bilgiler doğru ve güncel olmalıdır.


Sürücü belgesi yalnızca organizasyon işlemleri için araç kullanacak kişilerden talep edilmelidir.


Sürücü belgesi yalnızca organizasyon işlemleri için araç kullanacak kişilerden talep edilmelidir.


Özlük dosyalarının saklama sürelerine uygun şekilde saklanması, saklama süresi bitenlerin imha edilmesi gerekmektedir.


Özlük dosyalarının saklama sürelerine uygun şekilde saklanması, saklama süresi bitenlerin imha edilmesi gerekmektedir.


Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.


Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmalı, özlük bilgilerinin güvenliği sağlanmalıdır.

Özlük Dosyalarında Hangi Belgeler
Ne Şekilde Saklanmalıdır?

Eski versiyon kimlik, ehliyet vb. kişisel veri barındıran belgelerde bulunan özel nitelikli kişisel veriler karalama yöntemi ile imha edilmelidir.
Image
Image

İnsan Kaynakları Süreçlerinde Saklama Süresi Örnekleri

Olumlu Sonuçlanan
İş Başvurusu Kayıtları

10 YIL

Olumsuz Sonuçlanan
İş Başvurusu Kayıtları

2 YIL

Personel Özlük Dosyası ve
İK Süreçlerine Ait Kayıtlar

10 YIL

Personel Sigorta
Poliçeleri

10 YIL

İş Sağlığı ve Güvenliği
Kayıtları

15 YIL

Eğitim Kayıtları

10 YIL

Personel
Mahkeme ve İcra Talepleri

10 YIL

İnsan Kaynakları’nda Verileri Nasıl İmha Edeceğiz?

Kişisel verilere ait saklama süreleri belirlenmeli, yasaların belirlediği çerçevede işin niteliğine uygun süreler veri türüne göre tanımlanmalıdır.

İmha süreleri belirlenirken yalnızca veri türleri değil veri sahibi kişiler de dikkate alınmalıdır. Örneğin; Çalışan Adaylarından alınan kimlik kategorisindeki veriler ile çalışanlardan alınan kimlik verileri farklı saklama sürelerine tabi olmalıdır.

Mevcut durumda tutulmasında sakınca olmayan belgeler içerisinde bulunan tutulmasına gerek olmayan bilgiler karalama yöntemi ile maskelenmelidir. Örneğin; eski versiyon kimliklerde bulunan din, kan grubu bilgileri vb.

Fiziksel ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. En az P-5 seviye kağıt kırpıcılar kullanılmalıdır.

Dijital ortamlarda bulunan bilgi ve belgeler ilgili saklama süreleri takip edilerek uygun yöntemler ile imha edilmelidir. Bu hususta kullanılan online sicil sistemlerine gereksiz veri girişi yapılmamalıdır. Daha önce girilen gereksiz veriler anonimleştirme yoluyla imha edilebilir.

İmhaya ilişkin bütün işlemler kayıt altına alınmalı ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmalıdır.

Verilerin İmha Edilmesini Gerektiren Hâller

Kişisel veri işleme faaliyetine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

Kişisel veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hâllerde, ilgili kişinin açık rızasını geri alması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Yasal Uyumluluk

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12. maddesi gereğince veri sorumlusu "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek; kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu hükümden bahisle, uygun idari ve teknik tedbirlerin alınması, kişisel verilerin doğru sınıflandırılması ve bu sınıflandırmalar doğrultusunda risk analizlerinin yapılmasına bağlıdır.


Bu zorunluluğu Kurum veri güvenliği rehberinde alttaki şekilde özetlemiştir;

Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun belirlenmesi; bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde ortaya konarak buna uygun tedbirlerin alınması gerekmektedir.

Diğer taraftan AB Genel Veri Koruma Tüzüğü’nün (GDPR) 32. maddesi kapsamında, veri işleme güvenliği şu şekilde açıklanmıştır:

Veri sorumlusu ve veri işleyen son teknoloji, uygulama maliyetleri ve veri işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri ile ilgili olarak çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, öngörülen risk açısından uygun güvenlik seviyesi sağlamak üzere uygun teknik ve idari tedbirleri uygulamakla yükümlüdür.

Son olarak verilerin gereken süreden fazla saklanarak imha edilmemesi ile ilgili 5237 sayılı Türk Ceza Kanunu’nda yer alan alttaki madde oldukça önemlidir:

Verileri Yok Etme

Madde 138 - (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?