Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler

Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler, 07.03.2018 tarihli Resmi Gazete'de yayımlanmıştır.

31.01.2018 tarihli ve 2018/19 karar no.lu Kişisel Verileri Koruma Kurulu Kararı uyarınca, Veri Sorumluları tarafından;

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir.
  2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
  1. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  2. Gizlilik sözleşmelerinin yapılması,
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
  4. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  1. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
  1. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografik anahtarların güvenli ve farklı ortamlara tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  5. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altında alınması,
  6. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  1. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,
  1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  2. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
  1. Özel nitelikli kişisel veriler aktarılacaksa,
  1. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posa adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  2. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  3. Farklı fiziksel ortamlarda sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  4. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi,

Gerekir.

Veri sorumluları, yukarıda belirtilen önlemler yanında aynı zamanda Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayınlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almalıdırlar.

Netice itibarıyla, özetleyecek olursak, Kurul, genel nitelikli kişisel verilere nazaran özel nitelikli kişisel verilerin korunmasında veri sorumluluklarına birçok teknik ve idari yükümlülükler getirmektedir. Bu çerçevede, veri sorumluları, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemeli ve bu amaçla ayrı bir özel nitelikli kişisel veri güvenlik sistemi oluşturmalıdırlar.

Kanun’un 12. Maddesinin 4. Fıkrası uyarınca, Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu nedenle, Kurul’un yukarıda belirtilen kararında yazılı ilke ve kurallar çerçevesinde veri işleyenlerin de özel nitelikli kişisel verilerin güvenliğini sağlamaları kanaatimizce gerekmektedir.

Her ne kadar ilgili kararda yürürlük tarihi hakkında bilgi verilmemiş olsa da, Kurul’un bu kararının Resmi Gazete’de yayınlandığı tarih olan 07.03.2018 tarihi itibarıyla uygulama imkânı bulduğu kanaatindeyiz.

Saygılarımızla,

ÇELİKBAŞ HUKUK BÜROSU