Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
Batuhan AYTAÇ Avukat
[email protected]
20 Ocak 2018
A-
A+
Kişisel Verileri Koruma Kurumu (“Kurum”), Kişisel Verileri Koruma Kanunu’nu (“Kanun”) kapsamında kişisel verilerin işlenmesine dair en çok merak edilen sorulardan biri olan veri güvenliğine ilişkin Kişisel Veri Güvenliği Rehberi’ni (“Rehber”)[1] yayınladı. Rehber, veri sorumluları için birçok güvenlik önlemi belirliyor ve öneriler getiriyor.
MEVCUT RİSK VE TEHDİTLER NASIL BELİRLENMELİDİR?
Rehber, risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerektiğini belirtmiştir. Kurum’a göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:
Rehber, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanacağını belirlemektedir:
Bu bakımdan Kurum’un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır.
ÇALIŞANLARIN EĞİTİLMESİ
Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimiydi. Rehber, çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklemektedir:
Rehber, ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunmaktadır.
Rehber, son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibinin değil “İzin Vermedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerektiğini vurgulamıştır.
GÜVENLİK POLİTİKALARI VE PROSEDÜRLERİ NASIL BELİRLENMELİDİR?
Rehber, kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerektiğini belirtmektedir:
Rehber, politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerektiğini vurgulamaktadır
KİŞİSEL VERİLERİN AZALTILMASI
Rehber, bu bölümde, veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılmasının önemini vurgulamaktadır. Rehber, Kanunu kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önermektedir:
VERİ SORUMLUSUNUN KİŞİSEL VERİLERİN İŞLENMESİ İÇİN ÜÇÜNCÜ BİR KİŞİYLE ÇALIŞTIĞI HALLERDE NELER YAPILMALIDIR?
Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun’un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.
Bu sebeple Rehber, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamıştır ve veri sorumlularının veri işleyenle;
bir sözleşme imzalamalarını önermektedir.
Rehber’in, sözleşmede yer alması gerektiğini belirttiği ve önerdiği hükümleri aşağıdaki şekilde sıralayabiliriz:
HANGİ SİBER GÜVENLİK ÖNLEMLERİ ALINMALIDIR?
Rehber, kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanmasını önermektedir.
Rehber’in siber güvenliğin sağlanması için gerekli olduğunu belirttiği önlemler aşağıdadır:
Bunlara ek olarak Rehber, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesini önermektedir.
Rehber, ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınmasını önermektedir.
KİŞİSEL VERİLERİN BULUNDUĞU SİSTEMLERİN GÜVENLİĞİ NASIL TAKİP EDİLMELİDİR?
Rehber, kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiğini belirtmektedir:
KİŞİSEL VERİLERİN BULUNDUĞU ORTAMLARIN GÜVENLİĞİ NASIL SAĞLANMALIDIR?
Rehber, bu bölümde, sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de önerileri ve gereklilikleri belirtmektedir.
Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;
Kişisel veriler elektronik ortamda saklanıyor ise;
Rehber, yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiğini belirtmektedir.
Bunlara ek olarak;
BULUT SİSTEMLERİNİN KULLANILMASI HALİNDE GÜVENLİK NASIL SAĞLANMALIDIR?
Rehber, veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gereklilikler ve önerilerden bahsetmektedir:
Bunlara ek olarak, Kurum’un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi’nde de bahsettiği gibi[3], Rehber, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerektiğini belirtmiştir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir.
BİLGİ TEKNOLOJİ SİSTEMLERİNİN TEDARİĞİ, GELİŞTİRİLMESİ VE BAKIMI
Rehber, veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemlerine de değinmektedir:
KİŞİSEL VERİLERİN YEDEKLENMESİ
Rehber, sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmemiş, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerektiğini belirterek yedekleme ile ilgili öneriler ve yönlendirmelerde bulunmuştur:
GENEL TEKNİK VE İDARİ TEDBİRLER
Rehber, son olarak, alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralamıştır. Bu tedbirler, veri sorumlusunun Kanun ve ilgili mevzuat kapsamında almakla yükümlü olduğu tedbirlerin yanında yukarıda belirtilen tedbirleri ve başkaca diğer tedbirleri kapsamaktadır.
Kurul’un buna ilişkin belirttiği özet tedbirler aşağıdadır:
Teknik Tedbirler
İdari Tedbirler
BUNDAN SONRA NE YAPMALI?
Rehber’de belirtilen, Kurum’un ve Kurum’a bağlı olan Kişisel Verileri Koruma Kurulu’nun Kanun’un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.
Kanun’da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.
Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.
Buna ek olarak Rehber’de de ayrıca belirtilen, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyoruz. Halihazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, varolan politika ve uygulamalarını Rehber’de berlitilenler çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. Daha envanter çalışmalarını başlatmamış ya da politikalarını belirlememiş veri sorumlularının ise hiç vakit kaybetmeden bu çalışmalara başlamaları ve Kurul’un çıkardığı ikincil düzenlemeler ve rehberler ışığında uyum programlarını tamamlamaları çok önemlidir.
[1] http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
[2] Buna ilişkin detaylı bilgi için bkz: http://www.ozbek.av.tr/yayinlar/kisisel-verilerin-silinmesi-yok-edilmesi-veya-anonim-hale-getirilmesi-hakkinda-yonetmelik/ ve http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/
[3] Bkz. http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/
Yayınlara dön