A-

A+

Kişisel Veri Güvenliği Rehberi Yayınlandı

Kişisel Verileri Koruma Kurumu (“Kurum”), Kişisel Verileri Koruma Kanunu’nu (“Kanun”) kapsamında kişisel verilerin işlenmesine dair en çok merak edilen sorulardan biri olan veri güvenliğine ilişkin Kişisel Veri Güvenliği Rehberi’ni (“Rehber”)[1] yayınladı. Rehber, veri sorumluları için birçok güvenlik önlemi belirliyor ve öneriler getiriyor.

MEVCUT RİSK VE TEHDİTLER NASIL BELİRLENMELİDİR?

Rehber, risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerektiğini belirtmiştir. Kurum’a göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:

  • Özel nitelikli kişisel veri olup olmadıkları,
  • Mahiyetleri gereği hangi derecede gizlilik seviyesi gerektirdikleri,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

Rehber, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanacağını belirlemektedir:

  • Maliyet
  • Uygulanabilirlik
  • Yararlılık

Bu bakımdan Kurum’un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır.

ÇALIŞANLARIN EĞİTİLMESİ

Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimiydi. Rehber, çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklemektedir:

  • Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
  • Çalışanlara yönelik farkındalık çalışmalarının yapılması
  • Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
  • Hangi konumda çalıştıklarına bakılmaksızın çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluklarının farkında olması
  • Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci oluşturulması
  • Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; ilgili yeni eğitimlerin yapılması
  • Kişisel veri güvenliğine ilişkin bilgilerin güncel tutulmasının sağlanması.

Rehber, ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunmaktadır.

Rehber, son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibinin değil “İzin Vermedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerektiğini vurgulamıştır.

GÜVENLİK POLİTİKALARI VE PROSEDÜRLERİ NASIL BELİRLENMELİDİR?

Rehber, kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerektiğini belirtmektedir:

  • Doğru ve tutarlı olması
  • Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmesi
  • Veri sorumluların veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan emin olunması
  • Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklere uyumlu hareket edildiğinden emin olunması.

Rehber, politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerektiğini vurgulamaktadır

  • Düzenli kontrollerin yapılması
  • Yapılan kontrollerin belgelenmesi
  • Geliştirilmesi gereken hususların belirlenmesi
  • Gerekli güncellemeler yerine getirildikten sonra da düzenli kontrollerin devam etmesi
  • Her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğinin açıkça belirlenmesi.

KİŞİSEL VERİLERİN AZALTILMASI

Rehber, bu bölümde, veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılmasının önemini vurgulamaktadır. Rehber, Kanunu kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önermektedir:

  • Veri sorumlularının, işleme amaçları bakımından uzun süreler zarfında toplamış oldukları yüklü verilere hala ihtiyaç duyup duymadıklarını değerlendirmeleri ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olmaları
  • Veri sorumlularınca sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi
  • İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası çerçevesinde ilgili yönetmelik kapsamında imha edilmesi[2]

VERİ SORUMLUSUNUN KİŞİSEL VERİLERİN İŞLENMESİ İÇİN ÜÇÜNCÜ BİR KİŞİYLE ÇALIŞTIĞI HALLERDE NELER YAPILMALIDIR?

Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun’un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.

Bu sebeple Rehber, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamıştır ve veri sorumlularının veri işleyenle;

  • Veri işleyenin veri sorumlusunun talimatları doğrultusunda,
  • Sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve
  • Kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içeren,
  • Yazılı

bir sözleşme imzalamalarını önermektedir.

Rehber’in, sözleşmede yer alması gerektiğini belirttiği ve önerdiği hükümleri aşağıdaki şekilde sıralayabiliriz:

  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü
  • Veri işleyenin, herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirme yükümlülüğü
  • Sözleşmenin niteliği elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi
  • Veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapma veya yaptırma, denetim sonucunda ortaya çıkan raporları ve veri işleyeni yerinde inceleme hakkı

HANGİ SİBER GÜVENLİK ÖNLEMLERİ ALINMALIDIR?

Rehber, kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanmasını önermektedir.

Rehber’in siber güvenliğin sağlanması için gerekli olduğunu belirttiği önlemler aşağıdadır:

  • Öncelikle güvenlik duvarı ve ağ geçidinin sağlanması
  • Hemen hemen her yazılımın ve donanımın kurulum ve yapılandırma işlemlerine tabi tutulması
  • Yama yönetimi ve yazılım güncellemelerinin yapılması
  • Yazılım ve donanımların düzgün bir şekilde çalışıp çalışmadığının ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli kontrolü
  • Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisinin tanınması
  • Sistemlere kullanıcı adı ve şifre kullanmak suretiyle erişim sağlanması
  • Şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesinin sağlanması
  • Şifre girişi deneme sayısının sınırlandırılması
  • Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması
  • Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması
  • Veri sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
  • Bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
  • Yukarıda belirtilen ürünlerin güncel tutulması ve gereken dosyaların düzenli olarak tarandığından emin olunması
  • Farklı İnternet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

Bunlara ek olarak Rehber, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesini önermektedir.

Rehber, ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınmasını önermektedir.

KİŞİSEL VERİLERİN BULUNDUĞU SİSTEMLERİN GÜVENLİĞİ NASIL TAKİP EDİLMELİDİR?

Rehber, kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiğini belirtmektedir:

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (Log kaydının tutulması gibi)
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
  • Çalışanların sistem ve servislerindeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürünün oluşturulması
  • Raporlama sürecinde oluşturulacak raporların otomatik olması halinde, raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması
  • Güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi
  • Sistemlerden gelen uyarılar üzerine harekete geçilmesi
  • Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması
  • Ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
  • Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması

KİŞİSEL VERİLERİN BULUNDUĞU ORTAMLARIN GÜVENLİĞİ NASIL SAĞLANMALIDIR?

Rehber, bu bölümde, sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de önerileri ve gereklilikleri belirtmektedir.

Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;

  • Bu cihazların ve kağıtların çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
  • Kişisel verilerin yer aldığı fiziksel ortamların yangın ve sel gibi dış risklere karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması

Kişisel veriler elektronik ortamda saklanıyor ise;

  • Kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişimin sınırlandırılmasının veya bileşenlerin ayrılmasının sağlanması

Rehber, yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiğini belirtmektedir.

Bunlara ek olarak;

  • Kâğıt ortamındaki evrak, sunucu, yedekleme cihazları, CD, DVD ve USB gibi cihazlarının ek güvenlik önlemlerinin olduğu başka bir odaya alınması
  • Kişisel veri içeren kâğıt ortamındaki evrakın kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması ve bu evraka yetkisiz erişimin önlenmesi
  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağladığı durumlar için yeterli güvenlik tedbirlerinin alınması.
  • Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
  • Elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi
  • Şifre anahtarının sadece yetkili kişilerin erişebileceği ortamda saklanması ve yetkisiz erişimin önlenmesi
  • Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunması amacıyla uluslararası kabul gören şifreleme programlarının kullanılması
  • Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde anahtar yönetimi süreçlerine özen gösterilmesi

BULUT SİSTEMLERİNİN KULLANILMASI HALİNDE GÜVENLİK NASIL SAĞLANMALIDIR?

Rehber, veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gereklilikler ve önerilerden bahsetmektedir:

  • Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
  • Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi
  • İlgili kişisel verilerin yedeklenmesi
  • İlgili kişisel verilerin senkronizasyonunun sağlanması
  • İlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

Bunlara ek olarak, Kurum’un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi’nde de bahsettiği gibi[3], Rehber, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerektiğini belirtmiştir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir.

BİLGİ TEKNOLOJİ SİSTEMLERİNİN TEDARİĞİ, GELİŞTİRİLMESİ VE BAKIMI

Rehber, veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemlerine de değinmektedir:

  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması
  • Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığının kontrol edilebilmesi için uygulamalara kontrol mekanizmalarının yerleştirilmesi
  • Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması
  • Bakım veya teknik destek için üçüncü kişilere gönderilen cihazların, gönderilmeden önce, veri saklama ortamlarının sökülerek saklanması veya sadece arızalı parçaların gönderilmesi
  • Bakım ve onarım için dışarıdan personelin geldiği durumlarda, personelin kişisel verileri kopyalayarak kurumun dışına çıkartmasını engellemek için gerekli önlemlerin alınması

KİŞİSEL VERİLERİN YEDEKLENMESİ

Rehber, sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmemiş, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerektiğini belirterek yedekleme ile ilgili öneriler ve yönlendirmelerde bulunmuştur:

  • Kişisel verilerin yedeklenmesine ilişkin stratejilerin geliştirilmesi
  • Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmesi
  • Veri seti yedeklerinin ağ dışında tutulması
  • Tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunması

GENEL TEKNİK VE İDARİ TEDBİRLER

Rehber, son olarak, alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralamıştır. Bu tedbirler, veri sorumlusunun Kanun ve ilgili mevzuat kapsamında almakla yükümlü olduğu tedbirlerin yanında yukarıda belirtilen tedbirleri ve başkaca diğer tedbirleri kapsamaktadır.

Kurul’un buna ilişkin belirttiği özet tedbirler aşağıdadır:

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

İdari Tedbirler

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

BUNDAN SONRA NE YAPMALI?

Rehber’de belirtilen, Kurum’un ve Kurum’a bağlı olan Kişisel Verileri Koruma Kurulu’nun Kanun’un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.

Kanun’da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.

Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.

Buna ek olarak Rehber’de de ayrıca belirtilen, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyoruz. Halihazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, varolan politika ve uygulamalarını Rehber’de berlitilenler çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. Daha envanter çalışmalarını başlatmamış ya da politikalarını belirlememiş veri sorumlularının ise hiç vakit kaybetmeden bu çalışmalara başlamaları ve Kurul’un çıkardığı ikincil düzenlemeler ve rehberler ışığında uyum programlarını tamamlamaları çok önemlidir.  

[1] http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

[2] Buna ilişkin detaylı bilgi için bkz: http://www.ozbek.av.tr/yayinlar/kisisel-verilerin-silinmesi-yok-edilmesi-veya-anonim-hale-getirilmesi-hakkinda-yonetmelik/ ve http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/

[3] Bkz. http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/