COVID-19 SÜRECİNDE VERİ GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI

Tüm dünyayı kısa sürede etkisi altına alan Koronavirüs (COVID-19) sebebiyle bulaşıcı hastalığın etkilerinin azaltılması amacıyla ülkemiz genelinde gerekli tedbirler alınmış ve bu kapsamda bir çok işveren, çalışanlarını ve iş organizasyonunu korumak amacıyla evden ve uzaktan çalışma kararı almıştır. Ancak söz konusu evden ve uzaktan çalışma ile iş ve işleyişin dijital ortamda ve bir çok kişisel veri işlenerek devam etmesi sonucunda, 6698 sayılı Kişisel Verilerin Koruması Kanunu (“KVK Kanunu”) kapsamında düzenlenen hak ve yükümlülükler  uyarınca işverenler ve çalışanlar açısından dikkat edilmesi gereken hususlar ortaya çıkmış, Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) bu konuda uyarılarda bulunmuştur.

  • Evden ve Uzaktan Çalışma Kavramları ve Hukuki Nitelikleri

Günümüzde gelişen teknoloji ile birlikte evden çalışma ve uzaktan çalışma kavramları hayatımıza girmiş olup giderek yaygınlaşmaktadır. Ülkemizi ve tüm dünyayı etkisi altına alan Koronavirüs salgın hastalığı ise bulaş riskinin önüne geçebilmek amacıyla evden veya uzaktan çalışma sistemine geçilmesi bu süreci hızlandırmış bulunmaktadır. Sık sık karşılaştığımız bu kavramları açıklamak gerekirse, evden çalışma, 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) 461. maddesi ve devamı maddeleri uyarınca düzenlenmiş ve evde hizmet sözleşmesi “işverenin verdiği işi, işçinin kendi evinde veya belirleyeceği başka bir yerde, bizzat veya aile bireyleriyle birlikte bir ücret karşılığında görmeyi üstlendiği sözleşmedir.” hükmü ile tanımlanmıştır.  Uzaktan çalışma ise, 4857 sayılı İş Kanunu’nun 14. madddesi uyarınca “işçinin, işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini evinde ya da teknolojik iletişim araçları ile iş yeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisidir.” olarak açıklanmıştır. Buna göre uzaktan çalışmanın esaslı unsurları organizasyon, mesafe ve teknoloji olarak belirtilmektedir.  Görüldüğü gibi olağan şartlarda söz konusu evden çalışma ve uzaktan çalışma hükümleri gereğince tarafların arasında yazılı bir anlaşmanın varlığı aranırken koronavirüs sebebiyle kamu sağlığı ve çalışanların sağlığı açısından önleyici tedbir olarak uzaktan çalışma sistemine geçilmesi hususunda dürüstlük kuralı gereğince ve iş organizasyonunun elverişli olduğu ölçüde çalışanın onayının alınmasının zorunlu olmaması gerektiği kanısındayız.

  • Evden ve Uzaktan Çalışma Sürecinde İşverenin Yükümlülükleri

Önemle belirtmek gerekir ki, evden ve uzaktan çalışma esasına geçilmesi ile işçi ve işveren arasındaki çalışma düzenine ilişkin olarak ilgili mevzuat gereğince yerine getirilmesi gereken hak ve yükümlülükler geçerliliğini korumaktadır. Bu kapsamda işveren, uzaktan çalışma yapılan sürede işin niteliğine göre iş sağlığı ve güvenliği önlemlerini almalı, çalışanlarını bilgilendirmeli ve gerektiğinde çalışanlarına bu konuda eğitim verilmesini sağlamalıdır.

Ayrıca, unutulmamalıdır ki evden veya uzaktan çalışma ile çalışanlar teknolojik imkanlardan yararlanarak dijital ortamda iş görme edimlerini yerine getirmektedirler.  Bu süreçte ise çalışanlar işyerlerinde ulaştıkları tüm verilere ve kaynaklara uzaktan erişim sağlamaktadırlar.  Bu sebeple uzaktan çalışma sırasında verilerin güvenli bir şekilde kulanımı, depolanması ve transferi büyük önem taşımaktadır.  İşveren söz konusu süreçte oluşabilecek riskleri önlemek amacıyla gerekli teknik altyapıları ve dijital güvenliği sağlamalı, siber tehditlere karşı önlem almalıdır.

Evden veya uzaktan çalışma sistemine geçilmesi ile Kişisel Verilerin Korunması mevzuatı gereğince işverenin, işlenen kişisel verilerinin korunmasına yönelik yükümlülüklerini yerine getirmesi ve gerekli idari ve teknik tedbirleri alması gerekmektedir.

KVK Kanunu uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Buna göre işverenler, söz konusu durumların varlığı halinde veri sorumlusu olarak nitelendirilmekte olup çalışanları bakımından “veri sorumlusu” kabul edilmektedir. Evden ve uzaktan çalışma sürecinde ise, işveren veri sorumlusu olarak çalışanlarının kişisel verilerinin güvenliğini sağlamalıdır.

KVK Kurulu tarafından, içinde bulunduğumuz olağanüstü durumda kişisel verilerin işlenmesi hususunda alınabilecek önlemlere ilişkin olarak 27.03.2020 tarihli ve “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı Kamuoyu Duyurusu yayımlanmış olup uzaktan çalışma sürecinde alınması gereken önlemlere de işbu duyuru ile değinilmiştir. Buna göre olağan süreçte olduğu gibi genel ilkelere riayet edilerek kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.  Bunun yanında KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak işlenmesi ile kanuna uygunluk sağlanmalı, veri sorumlusunun yükümlülükleri kapsamında sayılan aydınlatma yükümlülüğü yerine getirilmelidir. Koronavirüs salgın hastalığının yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de veri minimizasyonu sağlanarak  amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Ayrıca veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalı ve etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Evden ve uzaktan çalışma ile ilgili olarak KVK Kurulu söz konusu Kamuoyu Duyurusu’nda, Kişisel Verilerin Korunması mevzuatının evden ve uzaktan çalışmanın önünde bir engel olmadığını, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerektiğini vurgulamıştır. Buna göre, uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.

Kişisel verilerin korunması kapsamında çalışanların da gerekli önlemleri alması gerekmektedir. Ancak söz konusu duyuru ile çalışanlar tarafından alınacak tedbirlerin veri sorumlusunun yükümlülüğünü ortadan kaldırmadığı belirtilmiş olup bu kapsamda öncelikle çalışanlar, işveren tarafından  kişisel verilerin korunması hususunda bilgilendirilmeli,  gerekli görüldüğü takdirde çalışanlara eğitim verilmeli ve çalışanların söz konusu yükümlülükleri yerine getirip getirmediği denetlenmelidir.

  • Evden ve Uzaktan Çalışma Sürecinde Alınması Gereken Güvenlik Önlemeri

Koronavirüs salgın hastalığı sebebiyle işveren tarafından alınan önlemler kapsamında evden ve uzaktan çalışma sistemine geçilmesi ile bu sürece hazırlıklı bulunmayan ve gerekli teknolojik altyapı sistemleri yeterli olmayan şirketler ve/veya kurumlar siber saldırı tehlikesi altında bulunmaktadır. Zira iş yeri dışından gerekli bilgilere ulaşmak, uzaktan erişim teknolojisinin doğası gereği iş yeri içinden bilgilere erişmekten daha fazla güvenlik riski oluşturmakta olup  ev ya da uzak noktalardaki ağ bağlantıları ise genellikle işyerleri içindeki bağlatılar ile aynı güvenlik önlemlerine sahip bulunmamaktadır.

Söz konusu evden ve uzaktan çalışma sistemine geçilmesinin yaratabileceği risklere karşı yetkili kurum ve kuruluşlar da işverenler ve çalışanlar tarafından alınması gereken önlemler konusunda uyarılarda bulunmaktadır. Bu kapsamda Bilgi Teknolojileri ve İletişim Kurumu bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi, yaygınlaşan uzaktan çalışmanın güvenli olarak sürdürülebilmesi amacıyla iş yerleri, kurumlar ve personeller için dikkat edilmesi gereken hususlar ile alınması gereken önlemlere ilişkin örnekleri içeren “Güvenli Uzaktan Çalışma Kuralları” rehberi yayımlanıştır. Söz konusu rehber uyarınca alınması gereken tedbirler sıralanmıştır. Buna göre;

  1. Güvenlik ve çalışma koşullarına ilişkin risklerin belirlenmesi ve minimize edilerek uzaktan çalışma koşullarının oluşturulması için teknik ve idari personelin içinde bulunduğu bir çalışma grubunun oluşturulması önem arz etmektedir.
  2. Uzaktan erişime açılamayacak derecede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekmektedir. Uzaktan erişime uygun olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, yeterli sayıda personelin yedekli biçimde iş yerinde bulundurulması ve görevlendirilmesi sağlanmalıdır.
  3. Uzaktan çalışan tüm personele özellikle güçlü parola kullanımı, sosyal mühendislik saldırıları ve güvenlik yazılımları hakkında farkındalık eğitimi verilmeli ve oryantasyon yapılmalıdır.
  4. Uzaktan erişim için VPN veya uzaktan yönetim servisi (RDP, SSH vb.) kullanılması durumunda;
    • İlgili sistemlerin en güncel/stabil/güvenli versiyonu kullanılmalıdır.
    • Sistemlerin desteklediği tüm güvenlik önlemleri doğru ve tam şekilde yapılandırılmalıdır.
    • Üretilen iz kayıtları (logların) olası bir saldırıyı tespit edecek şekilde düzenli olarak kayıt altına alınmalı,
    • Yetkisiz erişim, kaba kuvvet (brute force) saldırıları vb. anomalilerin tespiti için alarm mekanizmaları oluşturulmalıdır.
    • Yetkiler “en az gerekli yetki” (least privileged access) prensibine uygun verilmelidir.
    • Sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanmalıdır.
    • Uzaktan çalışma boyunca tanımlanan kurallar geçici süreliğine oluşturulmalıdır.
    • Mümkün olduğu durumlarda uzaktan bağlantılar için “kaynak IP” kısıtlaması yapılmalıdır.
  5. Erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınmalıdır.
  6. Uzaktan çalışan personel için güvenlik önlemleri alınmış sistemler/bilgisayarlar verilmesi gerekmektedir.
  7. Risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izni verilmediğinden emin olunması gerekmektedir.

Evden ve uzaktan çalışanların ise bireysel olarak alması gereken önlemler sıralanmıştır;

  1. Uzaktan çalışma için kullanılan sistemlerde (PC, laptop, tablet, telefon vb.) gerekli güvenlik yazılımlarının yüklendiğinden, güncel yazılımların kullanıldığınden, zararlı yazılım bulunmadığından emin olunmalıdır.
  2. Uzaktan çalışma sırasında dahi olsa, kurum dışına herhangi bir kritik verinin çıkarılmaması ve kaydedilmemesi gerekmektedir.
  3. Dışarıya çıkarılması zorunlu, kritik olmayan verilerin, kopyalandığı veya taşındığı sistemlerin takip edilmesi, söz konusu verilerin güvenliğinin sağlanması gerekmektedir.
  4. Bağlantının büyük bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme, SSID gizleme gibi önlemlerin alınması gerekmektedir.

 

Tüm bu hususlar ile birlikte uzaktan çalışmanın güvenli bir şekilde sağlanabilmesi için iş organizasyonun niteliğine göre alınacak tedbirler uzman kişilerce belirlenmeli, gerekli ek tedbirler sağlanmalıdır.  Örneğin , mobil uygulamalar uçtan uca güçlü şifreleme ile güvenli hale getirilmeli, çalışanların kimlik doğrulama işlemleri iki faktörlü kimlik doğrulama kullanılarak yapılmalı, VPN sistemleri kullanılmalı, otlama mailleri ve fidye yazılımlar hakkında çalışanlar bilgilendirilmelidir.

Kişisel Verilerin Korunması mevzuatı gereğince ise KVK Kurulu tarafından açıklanan gerekli teknik tedbirler alınmış olmalıdır. Bunlar;  yetki matrisi, yetki kontrol, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme, yok etme veya anonim hale getirme, anahtar yönetimi olarak Kurul tarafından belirtilmiştir.  Şirket alt yapısının uzaktan çalışmaya uygun olması ve veri güvenliğini sağlamak için gerekli tedbirlerin alınması gerekli olup aksi takdirde KVK Kanunu’nun 12. maddesi kapsamında veri güvenliğini sağlama yükümlülüğüne aykırılık meydana gelebilecektir. Bu halde ise veri güvenliğini sağlamayan veri sorumlusu hakkında idari para cezasına hükmedilmesi söz konusu olabilecektir.

Dikkat edilmesi gereken bir diğer husus ise çalışanların dijital ortamda gerçekleştirdikleri toplantılarda veri güvenliğinin sağlanmasına ilişkindir. Çalışanların çevrimiçi olarak gerçekleştirdikleri toplantılarda video,ses ve görüntü kayıtlarının alınması halinde söz konusu kayıtlar kişisel veri teşkil edecektir.  Bununla birlikte veri merkezleri yurt dışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından KVK Kanunu kapsamında yurt dışına veri aktarımı olarak nitelendirilecek olup bu kapsamda gerekli yükümlülüklerin yerine getirilmesi gereklidir. Bu bağlamda, evden ve uzaktan çalışma amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı göz önünde bulundurulmalıdır.

 

ÇELİKBAŞ HUKUK BÜROSU

 

*Yasal Uyarı*

İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.

Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.