Özel Nitelikli Kişisel Verilerle İlgili Önlemleri İçerir Kurul Kararı Yayınlandı

Özel Nitelikli Kişisel Verilerle İlgili Önlemleri İçerir Kurul Kararı Yayınlandı


6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, yükümlülükleri itibariyle yürürlüğe girmiş durumda. Her ne kadar, Kanun uyarınca kurulan ve faaliyetine başlayan Kişisel Verileri Koruma Kurulu (KVKK) tarafından yayımlanması beklenen, veri sorumluları siciline kayıt yükümlülüğünün başladığına dair bildirim henüz yapılmamış ise de, diğer hükümleri yönünden Kanun yürürlükte.

Nitekim, 7 Mart 2018 tarihli Resmi Gazete’de yayımlanan yeni bir Kurul kararı ile, özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken “yeterli önlemler” belirlenerek kamuoyuna ilan edildi.

Kanun’un 6.maddesi ile kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel verileri olarak kabul edilmiş, bu verilerin, kanunda öngörülen haller dışında, açık rıza olmaksızın “işlenemeyeceği” ana kuralı belirlenmişti. Yine madde ile, özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen “yeterli önlemlerin” alınması şartı getirilmişti.

Geçtiğimiz günlerde, bu madde ile birlikte Kanun’un bir çok hükmüne yönelik “anayasaya aykırılık” itirazı Anayasa Mahkemesi tarafından reddedildi.  Bu kararın ardından, Kurul, özel nitelikli kişisel verileri işleme için alınması zorunlu “yeterli önlemleri “de bu karar ile belirlemiş oldu.

Kurul kararı ile, esas olarak, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, açık, anlaşılır, yönetilebilir, sürdürülebilir bir politika ve prosedür belirlenmesi gerektiği, ifade edilirken, bu verilerin işlenmesi süreçlerinde çalışan kişilere yönelik somut bir takım önlemler sıralanıyor;

  • bu çalışanların özel nitelikli kişisel veri güvenliği konusunda düzenli olarak eğitilmesi,
  • çalışanlarla gizlilik sözleşmeleri yapılması,
  • bu verilere erişim yetkisine sahip çalışan/kullanıcıların, yetki kapsam ve sürelerinin açık bir şekilde tanımlanması ve düzenli olarak kontrol edilmesi,
  • işten ayrılan, görevi değişen çalışanların bu alandaki yetkilerinin derhal kaldırılması, ilgili envanter ve belge/araçların alınması,

Özel nitelikli kişisel verilerin işlenmesinin “teknik” bir yönü olduğu da açık. Bu çerçevede, verilerin işlendiği, saklandığı ortamların elektronik ortam olması halinde; verilerin kriptografik yöntemlerle saklanması, anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde yapılan her işlem kaydının güvenli bir şekilde loglanması, ortam güvenlik test ve güncellemelerinin yapılması, verilere uzaktan erişim yapılıyorsa en az iki kademeli kimlik doğrulama sistemi sağlanması istenirken, fiziki ortamda bulunan/işlenen veriler için de, ortama uygun güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık.. gibi durumlara karşı) alınması, ortama yetkisiz giriş/çıkışların engellenmesi isteniyor.

Özel nitelikli kişisel verilerin aktarımında da, e-posta ile aktarım olacaksa, şifreli olarak, kurumsal e-posta adresiyle ya da KEP adresi kullanılarak aktarım yapılması, taşınabilir bellek, Cd, DVD gibi ortamlarda aktarım olacak ise şifreleme yapılması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN bağlantısı kurularak ya da sFTP yöntemiyle aktarım yapılması, verilerin “kağıt” olarak aktarımı halinde ise, çalınma, kaybolma veya yetkisiz erişim gibi risklere karşı önlem alınarak, evrakın “gizlilik dereceli belgeler” formatında iletilmesi, isteniyor.

Bu karar ile birlikte, özel nitelikli kişisel verilerin işlenip işlenemeyeceği tartışmasının ötesinde, işleme durumunda uyulması zorunlu/gerekli önlemlerin niteliği gibi son derece önemli bir uygulama süreci devreye girmiş oluyor. Kanun hükmü gereği, açık rıza ile veya açık rıza gerektirmeksizin işleme mümkün olabilecek durumlarda, işlemeye yönelik çok ciddi idari ve teknik önlemler alınması gerekiyor.

Veri sorumlusu tüzel kişi açısından, idari ve teknik önlemlerin yerine getirilmesini teminen adım atılması gerekiyor. Kurum tarafından sürekli vurgulandığı üzere, gerek idari gerekse teknik önlemlerin tümünde insan unsuru vazgeçilmez önemde. Bu nedenle, işleme süreçlerinde yer alan çalışanların, özellikle kamuda görevli personelin kapsamlı bir eğitime tabi tutulması, eğitim sırası ve sonrasında görev, yetki ve sorumluluk tanımlarının açık bir şekilde belirlenerek kendilerine bildirilmesi şart.

Eğitimin yanı sıra, sürekli bir kontrol mekanizması kurulması da kaçınılmaz. Zira, yılların alışkanlıklarının bir anda değişmesi oldukça zor. Değişim hızlandıracak olan ise farkındalığa dair eğitimler ile sonrasında yapılan kontroller gibi görünüyor.