Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
Batuhan AYTAÇ Avukat
[email protected]
09 Mart 2018
A-
A+
7 Mart 2018 tarihinde Kişisel Verileri Koruma Kurulu’nun, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı (“Karar”) Resmi Gazete’de yayımlandı. Kurul’un bundan önce yayınlanan yalnız iki adet ilke kararı vardı[1]. Ancak bu karar, Kurul’un Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) uygulanmasına yönelik ilk karar olduğu için önem taşıyor.
KARAR NEYLE İLGİLİ?
Karar, aslında Kanun’un 6. maddesinin 4. fıkrasına ilişkin. Söz konusu hüküm “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının” zorunlu olduğunu belirtmektedir. Kanun’un yürürlüğe girdiği 2016 yılının Nisan ayından bu yana bu konuda Kurul bir karar vermemişti. 7 Mart 2018 tarihine yayınlanan Kurul kararı böylece bir soru işaretini daha gideriyor.
Bu kararın beklenmesinin sebebi sadece madde 6/4 değildi. Aynı zamanda madde 22/ç uyarınca özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemlerin belirlenmesi de Kurul’un görev ve yetkileri arasında sıralanmıştı.
HANGİ TEDBİRLER İSTENİYOR?
–> Buradaki en önemli husus genel bir eğitim verilmesinin yeterli olmayacağıdır. Özel nitelikli kişisel veriler bakımından bu eğitimlerin düzenli gerçekleştirilmesi gerekecektir.
–> Çalışanlarla gizlilik sözleşmesi yapılıyor olsa dahi bu gizlilik sözleşmesinin mutlaka özel nitelikli kişisel verilere yönelik hüküm içermesini tavsiye ederiz.
–> Bu yalnız özel nitelikli kişisel verilerin işlenmesi için değil, tüm kişisel verilerin işlenmesine yönelik bir tedbirdir; ancak özel nitelikli kişisel verilere ilişkin özel yetki kapsamı ve sürelerinin tanımlanması gerekmektedir. Örneğin çalışan kişisel verilerine erişen İK departmanı özelinde çalışanın sağlık, meslek kazası gibi kişisel verilerine aynı departmanda çok daha az sayıda kişinin erişmesi sağlanabilir.
–> Yetki kontrollerin hangi zaman aralıklarında ve/veya hangi tarihlerde yapılacağının belirlenmesi gerekmektedir.
–> Kişisel verilerin yetkisiz işlenmesi ve aktarılması konusundaki en büyük risklerden biri işten ayrılan çalışandır. Bu sebeple işten ayrılan kişinin kişisel verilere her türlü erişimi ortadan kaldırılmalıdır.
Elektronik ortamlar için;
–> Kurul, hangi kriptografik şifreleme yöntemlerinin kullanılacağı konusunda bir öneri getirmemiştir; ancak Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde (“Rehber”) uluslararası kabul gören şifreleme programlarının kullanılması gerektiği belirtilmektedir. Bu anlamda uluslararası kullanımı olan BitLocker, Veracrypt, Axcrypt gibi yazılımların yanı sıra AES, RSA, SHA gibi kriptografik algoritmalar kullanılabilir.
–> Verilerin güvenliğini sağlayan çözümlerin her daim güncel tutulması sağlanmalıdır. Ayrıca sızma testleri ve güvenlik açığı tespitlerinin hangi aralıklarla yapılacağı belirlenmeli ve bu yolla düzenli tetkikler yapılmalıdır. Test sonuçlarının kaydının da ayrıca tutulması gerekir. Bu tip tetkik, tedbir ve önlemler için DLP çözümleri uygulanabilir.
–> İlgili yazılımlarda söz konusu özel nitelikli kişiye kimlerin erişebileceğinin belirlenmesini takiben özel nitelikli kişisel veri içerecek yazılımlarda da yalnız departman özelinde değil yukarıdaki 2. bölümde de belirttiğimiz gibi kişisel verinin niteliğine göre de ayrım yapılması ve yazılımlara erişimin de bu şekilde yetkilendirilmesi gerekir. Yine yazılımlar için de sızma testleri ve güvenlik açığı tespitlerinin hangi aralıklarla yapılacağı belirlenmeli ve bu yolla düzenli tetkikler yapılması ve bunların kaydının tutulması gerekir. Yine bu tip tetkik, tedbir ve önlemler için DLP çözümleri uygulanabilir.
–> Uzaktan erişimle kastedilenin şirket binası dışındaki bir konumdan şirket ağına bağlanılması olduğu düşünülmektedir. Bu noktada ek güvenlik önlemleri gerekecektir. Bunun için de iki kademeli kimlik doğrulama (two-factor authentication) sistemi gerekmektedir. İki kademeli kimlik doğrulamanın ikinci kademesi uzaktan erişen kişinin şifreye ek olarak sadece kendi sahip olduğu ikinci bir erişim yöntemini kullanmasıdır (sadece bu kişinin sahip olduğu bir bilgi veya anlık, kısa süreliğine üretilen tokenlar olabilir). Kendiliğinden iki kademeli doğrulama sistemi olan uzaktan erişim uygulamaları veya sistemleri kullanılabilir veya bazı authenticator yazılımlarıyla entegre sistemler kurularak bu doğrulama sağlanabilir.
Fiziksel ortamlar için;
–> Rehberde de belirtildiği üzere fiziksel ortamlar bina dışına çıkarılsa dahi çıkarıldığı noktada da aynı fiziksel güvenlik ortamının sağlanması gerekir.
–> Bu ortamlara kartlı veya biyometrik sistemlerle (biyometrik veriler de özel nitelikli kişisel veri olduğundan bunlara ilişkin de tedbirler alınmalı ve herhangi bir şekilde veri kayıt ortamına kaydedilmeyen sistemler kullanılmalıdır) veya sadece belli kişilerde bulunan ve güvenli korunan anahtarlarla giriş yapılması sağlanabilir.
–> KEP, elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli şeklidir. KEP Hizmet Sağlayıcısı’na başvurularak bir KEP hesabı alınabilir. Şifreli aktarım için HTTPS, transport layer encryption (taşıma katmanı şifrelemesi) veya end-to-end encryption (uçtan uca şifreleme) gibi şifreli aktarım yöntemleri kullanılabilir; ancak hangi şifreleme güvenliklerinin kullanılması gerektiği Kurul tarafından belirlenmediğinden uygun şifreleme mekanizmasının şirket tarafından seçilmesi gerekecektir.
–> sFTP güvenli dosya aktarımını sağlayan protokoldür. SSH, TLS ve VPN gibi farklı yöntemlerle kullanılabilir.
–> “Gizlilik dereceli belgeler” formatının ne olduğuna dair herhangi bir açıklama yapılmamıştır. Gizlilik dereceli belgeler, mevzuatta genellikle milli ve kamu güvenliğini ilgilendiren hususlarda düzenlenmektedir. Ancak T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın (“Bakanlık”) “Bilgi Varlıklarının Gizlilik Derecelerinin Sınıflandırılması Kılavuzu”nda[2] ““Kişisel Verilerin Korunması Kanunu” gibi yasal hususlar, güncel teknolojiler ve kullanım alanları ile verilere yönelik siber tehditler göz önüne alındığında” belgelerin gizlilik sınıflandırılmasında yeni düzenlemelerin yapılmasının gerekliliğinden bahsetmiş ve bir sınıflandırma yapmıştır. Bu kılavuzda oluşturulan yeni gizlilik derecesi sınıflandırmalarından biri “KİŞİYE GİZLİ” sınıflandırmasıdır ve Bakanlık tarafından “Kişisel Verilerin Korunması Kanunu çerçevesinde özel nitelikli kişisel veri kapsamına giren bilgi için kullanılır.” şeklinde tanımlanmıştır. “Formatın ne olduğu konusunda bir açıklama verilmediğinden şimdilik “Kişiye Gizli” sınıflandırmasıyla özel nitelikli kişisel veri içeren evrakın sınıflandırılmasını öneririz.”
BU TEDBİRLERİ SAĞLAMAK YETERLİ MİDİR?
En az bu tedbirleri sağlamak zorunludur. Ancak Kanun’un 12. maddesinde yer alan veri sorumlusunun güvenlik yükümlülüklerinden bu tedbirlerin söz konusu kişisel verileri korumakta yetersiz olduğu kanaatinde olan veya yetersizliği tespit eden bir veri sorumlusunun ek güvenlik tedbirleri almak için azami gayreti göstermesinin de beklendiği sonucuna varılabilir.
Ayrıca Kurul, aynı kararında bu önlemlerin yanı sıra Rehberde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiğini söylemektedir. Yukarıda ilgili kısımlarda Rehbere yaptığımız atıflar gibi bu Karar kapsamında uygulanacak çözümler için Rehberin ek tedbirler veya tavsiyeler sunup sunmadığına bakılmalıdır.
[1] http://www.ozbek.av.tr/yayinlar/ilk-kisisel-verileri-koruma-kurulu-ilke-kararlari-yayinla
[2] http://www.udhb.gov.tr/doc/siberg/siberbilgi.pdf
Yayınlara dön