Kişisel Verileri Koruma Kurumu’nun (“KVKK”) 31.01.2018 tarihli, özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler hakkında ilke niteliğinde kararı 07.03.2018 tarihli Resmi Gazete’de yayımlandı.
Bu karar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6(4) altında düzenlenen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır” hükmüne istinaden çıkarılmıştır.
KVKK kararında, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir çerçeve ile belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerektiğini ortaya koymuş ve bu verilere ilişkin alınacak somut önlemlere yer vermiştir.
Özel Nitelikli Veri İşleyen Veri Sorumlusu Çalışanlarına İlişkin Düzenlemeler
Veri sorumlularına, hassas nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlarına (örneğin insan kaynaklarında çalışanlar bu kapsamda düşünülebilir) yönelik aşağıdaki ek yükümlülükler getirilmiştir:
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak çalışanlara eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
- Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması.
Özel Nitelikli Kişisel Verilerin Bulunduğu Ortama İlişkin Özel Düzenlemeler
KVKK, kararının devamında özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamları, elektronik ve fiziki olmak üzere ikiye ayırmış ve her biri için uyulması gereken yükümlülükleri açıklamıştır.
Bu bağlamda kararda, söz konusu ortam elektronik ise
- Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
- veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak tutulması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi,
- verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması,
- verilerin bulunduğu ortamlar için gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması ve
- verilere uzaktan erişim gerekiyorsa yeterli düzeyde kimlik doğrulama sisteminin sağlanması gerektiğine,
Söz konusu ortam fiziksel ortam ise;
- ortamın niteliğine göre yeterli güvenlik önlemlerinin alındığından emin olunması ve
- bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerektiğine kararda yer verilmiştir.
Özel Nitelikli Kişisel Verilerin Aktarımına İlişkin Düzenlemeler
KVKK, özel nitelikli kişisel verilerin aktarılması sırasında seçilecek platforma göre farklı güvenlik tedbirler öngörmüştür. Bu bağlamda verilerin;
- E-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
- Fiziki ortamda aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerektiğine değinilmiştir.
Son olarak kararda, açıkça belirtilen önlemlerin yanı sıra KVKK’nın internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiği ifade edilmiştir.
PDF indir