Avukat / Yönetici Ortak


Avukat

Vcard

[email protected]

[email protected]


A-

A+

Kişisel Verileri Koruma Kurulu’nun Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Tedbirlere Yönelik Kararı Yayınlandı

7 Mart 2018 tarihinde Kişisel Verileri Koruma Kurulu’nun, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı (“Karar”) Resmi Gazete’de yayımlandı. Kurul’un bundan önce yayınlanan yalnız iki adet ilke kararı vardı[1]. Ancak bu karar, Kurul’un Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) uygulanmasına yönelik ilk karar olduğu için önem taşıyor.

KARAR NEYLE İLGİLİ?

Karar, aslında Kanun’un 6. maddesinin 4. fıkrasına ilişkin. Söz konusu hüküm “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının” zorunlu olduğunu belirtmektedir. Kanun’un yürürlüğe girdiği 2016 yılının Nisan ayından bu yana bu konuda Kurul bir karar vermemişti. 7 Mart 2018 tarihine yayınlanan Kurul kararı böylece bir soru işaretini daha gideriyor.

Bu kararın beklenmesinin sebebi sadece madde 6/4 değildi. Aynı zamanda madde 22/ç uyarınca özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemlerin belirlenmesi de Kurul’un görev ve yetkileri arasında sıralanmıştı.

HANGİ TEDBİRLER İSTENİYOR?

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekmektedir. Bu yüzden şirketlerin özel nitelikli kişisel verilerin güvenliği konusunu ayrıca masaya yatırması ve titiz bir politika ve prosedür çalışması yapması gerekiyor.
  1. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik idari ve teknik tedbirlerin alınması gerekmektedir. Kurul, bunun için aşağıdaki tedbirleri belirliyor: 
  • Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi

–> Buradaki en önemli husus genel bir eğitim verilmesinin yeterli olmayacağıdır. Özel nitelikli kişisel veriler bakımından bu eğitimlerin düzenli gerçekleştirilmesi gerekecektir.

  • Gizlilik sözleşmelerinin yapılması

–> Çalışanlarla gizlilik sözleşmesi yapılıyor olsa dahi bu gizlilik sözleşmesinin mutlaka özel nitelikli kişisel verilere yönelik hüküm içermesini tavsiye ederiz. 

  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması

–> Bu yalnız özel nitelikli kişisel verilerin işlenmesi için değil, tüm kişisel verilerin işlenmesine yönelik bir tedbirdir; ancak özel nitelikli kişisel verilere ilişkin özel yetki kapsamı ve sürelerinin tanımlanması gerekmektedir. Örneğin çalışan kişisel verilerine erişen İK departmanı özelinde çalışanın sağlık, meslek kazası gibi kişisel verilerine aynı departmanda çok daha az sayıda kişinin erişmesi sağlanabilir.

  • Periyodik olarak yetki kontrollerinin gerçekleştirilmesi

–> Yetki kontrollerin hangi zaman aralıklarında ve/veya hangi tarihlerde yapılacağının belirlenmesi gerekmektedir.

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması

–> Kişisel verilerin yetkisiz işlenmesi ve aktarılması konusundaki en büyük risklerden biri işten ayrılan çalışandır. Bu sebeple işten ayrılan kişinin kişisel verilere her türlü erişimi ortadan kaldırılmalıdır.

  1. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ve elektronik ortamlara uygun ayrı güvenlik önlemlerinin alınması gerekmektedir. Kurul’un belirlediği önlemler ise aşağıdaki gibidir:

Elektronik ortamlar için;

  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

–> Kurul, hangi kriptografik şifreleme yöntemlerinin kullanılacağı konusunda bir öneri getirmemiştir; ancak Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde (“Rehber”) uluslararası kabul gören şifreleme programlarının kullanılması gerektiği belirtilmektedir. Bu anlamda uluslararası kullanımı olan BitLocker, Veracrypt, Axcrypt gibi yazılımların yanı sıra AES, RSA, SHA gibi kriptografik algoritmalar kullanılabilir.

  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

–> Verilerin güvenliğini sağlayan çözümlerin her daim güncel tutulması sağlanmalıdır. Ayrıca sızma testleri ve güvenlik açığı tespitlerinin hangi aralıklarla yapılacağı belirlenmeli ve bu yolla düzenli tetkikler yapılmalıdır. Test sonuçlarının kaydının da ayrıca tutulması gerekir. Bu tip tetkik, tedbir ve önlemler için DLP çözümleri uygulanabilir.

  • Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

–> İlgili yazılımlarda söz konusu özel nitelikli kişiye kimlerin erişebileceğinin belirlenmesini takiben özel nitelikli kişisel veri içerecek yazılımlarda da yalnız departman özelinde değil yukarıdaki 2. bölümde de belirttiğimiz gibi kişisel verinin niteliğine göre de ayrım yapılması ve yazılımlara erişimin de bu şekilde yetkilendirilmesi gerekir. Yine yazılımlar için de sızma testleri ve güvenlik açığı tespitlerinin hangi aralıklarla yapılacağı belirlenmeli ve bu yolla düzenli tetkikler yapılması ve bunların kaydının tutulması gerekir. Yine bu tip tetkik, tedbir ve önlemler için DLP çözümleri uygulanabilir.

  • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

–> Uzaktan erişimle kastedilenin şirket binası dışındaki bir konumdan şirket ağına bağlanılması olduğu düşünülmektedir. Bu noktada ek güvenlik önlemleri gerekecektir. Bunun için de iki kademeli kimlik doğrulama (two-factor authentication) sistemi gerekmektedir. İki kademeli kimlik doğrulamanın ikinci kademesi uzaktan erişen kişinin şifreye ek olarak sadece kendi sahip olduğu ikinci bir erişim yöntemini kullanmasıdır (sadece bu kişinin sahip olduğu bir bilgi veya anlık, kısa süreliğine üretilen tokenlar olabilir). Kendiliğinden iki kademeli doğrulama sistemi olan uzaktan erişim uygulamaları veya sistemleri kullanılabilir veya bazı authenticator yazılımlarıyla entegre sistemler kurularak bu doğrulama sağlanabilir.

Fiziksel ortamlar için;

  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

–> Rehberde de belirtildiği üzere fiziksel ortamlar bina dışına çıkarılsa dahi çıkarıldığı noktada da aynı fiziksel güvenlik ortamının sağlanması gerekir. 

  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi

–> Bu ortamlara kartlı veya biyometrik sistemlerle (biyometrik veriler de özel nitelikli kişisel veri olduğundan bunlara ilişkin de tedbirler alınmalı ve herhangi bir şekilde veri kayıt ortamına kaydedilmeyen sistemler kullanılmalıdır) veya sadece belli kişilerde bulunan ve güvenli korunan anahtarlarla giriş yapılması sağlanabilir.

  1. Özel nitelikli kişisel verilerin aktarımına ilişkin ek güvenlik önlemleri alınmalıdır. Kurul, bu konuda aşağıdaki güvenlik önlemlerini belirlemiştir: 
  • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması

–> KEP, elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli şeklidir. KEP Hizmet Sağlayıcısı’na başvurularak bir KEP hesabı alınabilir. Şifreli aktarım için HTTPS, transport layer encryption (taşıma katmanı şifrelemesi) veya end-to-end encryption (uçtan uca şifreleme) gibi şifreli aktarım yöntemleri kullanılabilir; ancak hangi şifreleme güvenliklerinin kullanılması gerektiği Kurul tarafından belirlenmediğinden uygun şifreleme mekanizmasının şirket tarafından seçilmesi gerekecektir.

  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi

–> sFTP güvenli dosya aktarımını sağlayan protokoldür. SSH, TLS ve VPN gibi farklı yöntemlerle kullanılabilir.

  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

–> “Gizlilik dereceli belgeler” formatının ne olduğuna dair herhangi bir açıklama yapılmamıştır. Gizlilik dereceli belgeler, mevzuatta genellikle milli ve kamu güvenliğini ilgilendiren hususlarda düzenlenmektedir. Ancak T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın (“Bakanlık”) “Bilgi Varlıklarının Gizlilik Derecelerinin Sınıflandırılması Kılavuzu”nda[2] ““Kişisel Verilerin Korunması Kanunu” gibi yasal hususlar, güncel teknolojiler ve kullanım alanları ile verilere yönelik siber tehditler göz önüne alındığında” belgelerin gizlilik sınıflandırılmasında yeni düzenlemelerin yapılmasının gerekliliğinden bahsetmiş ve bir sınıflandırma yapmıştır. Bu kılavuzda oluşturulan yeni gizlilik derecesi sınıflandırmalarından biri “KİŞİYE GİZLİ” sınıflandırmasıdır ve Bakanlık tarafından “Kişisel Verilerin Korunması Kanunu çerçevesinde özel nitelikli kişisel veri kapsamına giren bilgi için kullanılır.” şeklinde tanımlanmıştır. “Formatın ne olduğu konusunda bir açıklama verilmediğinden şimdilik “Kişiye Gizli” sınıflandırmasıyla özel nitelikli kişisel veri içeren evrakın sınıflandırılmasını öneririz.”

BU TEDBİRLERİ SAĞLAMAK YETERLİ MİDİR?

En az bu tedbirleri sağlamak zorunludur. Ancak Kanun’un 12. maddesinde yer alan veri sorumlusunun güvenlik yükümlülüklerinden bu tedbirlerin söz konusu kişisel verileri korumakta yetersiz olduğu kanaatinde olan veya yetersizliği tespit eden bir veri sorumlusunun ek güvenlik tedbirleri almak için azami gayreti göstermesinin de beklendiği sonucuna varılabilir.

Ayrıca Kurul, aynı kararında bu önlemlerin yanı sıra Rehberde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiğini söylemektedir. Yukarıda ilgili kısımlarda Rehbere yaptığımız atıflar gibi bu Karar kapsamında uygulanacak çözümler için Rehberin ek tedbirler veya tavsiyeler sunup sunmadığına bakılmalıdır.

 

 

[1] http://www.ozbek.av.tr/yayinlar/ilk-kisisel-verileri-koruma-kurulu-ilke-kararlari-yayinla

[2] http://www.udhb.gov.tr/doc/siberg/siberbilgi.pdf

 
Etiketler : #KVKK #KVK #KİŞİSEL VERİ #KİŞİSEL VERİLERİ KORUMA KURULU }

Yayınlara dön