| Okuma Süresi: 4 Dakika

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN ÖNLEMLER

AV. ALİ HAYDAR GÜL

1.    Genel olarak

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesinde Kişisel Verileri Koruma Kurulu’nun kişisel verilerin işlenmesine ilişkin yaygın ihlalin bulunduğu hallerde, ilke karar alabileceği düzenlenmiş ve Kanun’un 18. maddesinde Kurul’un aldığı karara uymayanların 25.000,00.-TL ile 1.000.000.-TL arasında idari para cezası yaptırımına tabi tutulacağı ifade edilmiştir. Bu bağlamda Kişisel Verileri Koruma Kurulu, 21.12.2017 tarihi itibariyle ilke kararlar almaya başlamıştır. Kurul, ilke kararlar almaya yönelik çalışmalarını devam ettirmiş ve 07.03.2018 tarihli ve 30353 sayılı Resmi Gazete’de yayımlanan 31.01.2018 tarihli ve 2018/3 sayılı kararı ile yeni bir ilke karara imza atmıştır. Kurul’un söz konusu kararı, özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken önlemlere ilişkin olup; Kurul kararı, detayları ve açıklamaları ile birlikte aşağıda dikkatlerinize sunulacaktır.

 

2.    Özel Nitelikli Kişisel Veri

Bilindiği üzere; kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3/1-d maddesinde ‘’ kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ‘’ olarak tanımlanmıştır. Bununla birlikte Kanun’da bazı verilere daha hassas bir şekilde yaklaşılmış ve bu verilerin işlenme usullerinde daha sıkı haller öngörülmüştür. Kanun koyucu, bu verileri özel nitelikli kişisel veri olarak tanımlamıştır. Özel nitelikli kişisel veriler, Kanun’da sınırlı sayıda belirtilmiş olup; Kurul’un ilke kararının detaylarını paylaşmadan önce bu verilerin bir kez daha hatırlanmasında fayda bulunmaktadır. Buna göre; kişilerin,

 

–    Irkı,

–    Etnik kökeni,

–    Siyasi düşüncesi,

–    Felsefi inancı, dini, mezhebi veya diğer inançları,

–    Kılık ve kıyafeti,

–    Dernek, vakıf ya da sendika üyeliği,

–    Sağlığı,

–    Cinsel hayatı,

–    Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,

–    Biyometrik ve genetik verileri

özel nitelikli kişisel veridir. Görüldüğü üzere; kanun koyucu, veri sahibinin bilgisi dışında yayılması, ele geçirilmesi, kullanılması ve benzeri işleme hallerinde veri sahibinin bilgi güvenliği ve özel yaşam hakkını ve somut olaya göre değişebilecek temel hak ve hürriyetlerini çok önemli ölçüde ortadan kaldırabilecek niteliğe sahip verileri, özel nitelikli kişisel veri olarak tanımlamış ve Kanun detayında da bu verileri, diğer kişisel verilerden ayrık tutarak işleme prosedürleri, daha farklı detaylandırmıştır. Nitekim Kurul’un işbu yazımız ile değerlendirilen kararı da özel nitelikli kişisel verilere yönelik ayrı bir hassasiyet taşındığına işaret etmektedir.

 

3.    Veri Güvenliği ve Özel Nitelikli Kişisel Verilerin Güvenliğinin Sağlanması

6698 sayılı Kanun’un 12. maddesi ile veri sorumlusuna veri güvenliğine ilişkin bir takım yükümlülükler yükümlenmiştir. Buna göre; veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmuştur.

Bununla birlikte kanun koyucu, özel nitelikli kişisel verilerek yönelik hassasiyetini, veri güvenliği noktasında da göstermiş ve Kanun’un 6/4 maddesi kapsamında özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınmasını şart olarak belirlemiştir. Bu bağlamda Kurul, 07.03.2018 tarihli Resmi Gazete’de yayımlanan ilke kararı ile özel nitelikli kişisel verilerin işlenmesinde veri güvenliğinin sağlanabilmesi için aşağıda belirtilen önlemlerin alınması gerektiğine hükmetmiştir. Bu bağlamda önemle belirtmek gerekir ki; Kanun’un 18/1-b kapsamında veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında 15.000,00.-TL ile 1.000.000,00.-TL arasında idari para cezası yaptırımı uygulanabileceği düzenlenmiştir. Bu nedenle Kurul tarafından alınan söz konusu ilke karara hassasiyetle uyulması gerektiğini bir kez daha dile getirmek isteriz.

Buna göre; Kurul, ilke kararında ilk olarak özel nitelikli kişisel verilerin genel güvenliğini düzenlemiş ve bu kapsamda veri sorumlularının özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemeleri gerektiğine karar vermiştir. Bu kapsamda veri sorumluları tarafından özel nitelikli verilerin işlenme süreçlerinin iyi bir şekilde analiz edilmesi, özel nitelikli kişisel verilere yönelik veri envanterinin çıkarılması ve bunu takiben veri güvenliğine yönelik politika ve prosedürlerin oluşturulması gerekmektedir.

 

Devamla Kurul, veri sorumlularının özel nitelikli verilerin işlenmesi süreçlerinde yer alan çalışanlarına yönelik, bir kural getirmiştir. Buna göre; veri sorumlularının,

-Çalışanlarına Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler vermesi veya verilmesini sağlamaları,

-Çalışanları ile gizlilik sözleşmeleri yapmaları,

-Verilere erişim yetkisine sahip çalışanlarının yetki kapsam ve sürelerini net olarak belirlemeleri,

-Periyodik olarak yetki kontrollerini gerçekleştirmeleri,

-Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırmaları ve bu kapsamda söz konusu çalışanlara tahsis edilen envanteri iade almaları,

gerekmektedir.

 

Giderek Kurul, özel nitelikli verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara göre bir düzenleme yapma gereği duymuş ve bu kapsamda ilk olarak söz konusu ortamın elektronik olması halinde yapılması gerekenleri kararında ifade etmiştir. Buna göre; özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ise,

-Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

-Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

-Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

-Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

-Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

-Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

gerekmektedir. Eğer, özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ise,

 

-Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

-Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi

gerekmektedir.

 

Kurul, bir işleme yöntemi olarak aktarma hususuna da ilişkin de önlemler alınması gerektiğine değinmiştir. Buna göre; özel nitelikli kişisel veri aktarılacaksa;

-Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

-Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

-Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucunlar arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

-Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın ‘’ gizlilik dereceli belgeler ‘’ formatında gönderilmesi,

gerekmektedir. Bununla birlikte Kurul, tüm bu önlemlere ek olarak Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin alınması gerektiğine de kararında yer vermiştir.

 

4.    Sonuç

Kişisel Verileri Koruma Kurulu’nun ilke kararlarının uygulama açısından son derece yönlendirici olduğu bir gerçek olup; Kişisel Verilerin Korunması Kanunu’na uyum sürecinde bu kararların dikkate alınması ve süreçlerin bu şekilde yönlendirilmesi uyum sürecinin sağlıklı sonlandırılması noktasında büyük önem arz etmektedir. Bu çerçevede veri sorumlularının gerekli hassasiyeti göstermelerini ve Kurul kararlarını da dikkate alarak uyum süreçlerini yönetmelerini tavsiye ederiz.