Duyurumuz; Kişisel Verileri Koruma Kurulunun (Kurul) “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı 31.01.2018 tarih ve 2018/10 sayılı kararı hakkındadır.
Karar Hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 6. maddesinde yer verilen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile Kurula, özel nitelikli kişisel verilerin işlenmesiyle ilgili alınacak yeterli önlemleri belirleme yükümlülüğü getirilmiştir.
Kurul Kanunda öngörülen bu yükümlülük doğrultusunda, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konusunun görüşülmesi için toplanmış olup; işbu toplantıda özel nitelikli kişisel veri işleyen veri sorumlularının alması gereken yeterli önlemler aşağıdaki şekilde sayılmış ve söz konusu karar 07.03.2018 tarihli ve 30353 sayılı Resmî Gazete ’de yayımlanmıştır.
Yeterli Önlemler;
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür hazırlanmalıdır.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli olarak eğitimler verilmeli, gizlilik sözleşmeleri yapılmalı, verilere erişimi bulunan kullanıcıların yetki kapsamları ve süreleri net bir şekilde belirlenmeli, periyodik yetki kontrolleri yapılmalı, görev değişikliği ya da işten ayrılma hallerinde yetkiler derhal sonlandırılmalı ve bu kapsamda veri sorumlusu tarafından çalışana tahsis edilen envanter iade alınmalıdır.
Özel nitelikli kişisel veriler elektronik ortamda işleniyor, muhafaza ediliyor ve/veya bunlara erişim elektronik ortamdan sağlanıyor ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ortamlarda muhafaza edilmesi, veriler üzerinde gerçekleştirilen tüm işlemlerin güvenli olarak loglanması, verilerin bulunduğu ortamlara ilişkin güvenlik güncellemelerinin sürekli olarak takip edilmesi, gerekli testlerin yaptırılması ve sonuçların kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.
Özel nitelikli kişisel veriler fiziki ortamda işleniyor, muhafaza ediliyor ve/veya bunlara erişim fiziki ortamdan sağlanıyor ise; verilerin bulunduğu ortama yönelik sel, yangın, hırsızlık ve sair tehditlere karşı önlem alınması, bu ortamlara yetkisiz giriş ve çıkışların önlenmesi gündeme gelecektir.
Özel nitelikli kişisel verilerin aktarılması halinde; e-posta yoluyla aktarımların şifreli kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) adresi kullanılarak gerçekleştirilmesi, Taşınabilir Bellek/CD/DVD gibi ortamlarla aktarımların kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı bir ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarımların sunucular arasında VPN kurularak veya SFTP yöntemiyle gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması/kaybolması/yetkisiz kişilerce görülmesi ve sair tehditlere karşı gerekli önlemlerin alınması ve aktarımın “gizlilik dereceli belgeler” formatında gerçekleştirilmesi gerekmektedir.
Sayılan bütün bu önlemlerin yanı sıra, karar metninde, Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi” kapsamında öngörülen teknik ve idari tedbirlerin de alınması gerektiği belirtilmiştir.
İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.
|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |