Kişisel Verileri Koruma Kurulu'nun 31/01/2018 tarihli ve 2018/10 sayılı kararı 07/03/2018 tarihinde Resmi Gazete'de yayımlandı. Karar, özel nitelikli kişisel verilerin işlenmesinde alınması önerilen yeterli önlemler hakkında.

Bildiğiniz üzere 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK)'nun 6. maddesinde özel nitelikli kişisel verilerin neler oldukları ve bu verilerin hangi şartlarda işlenebileceği belirtilmektedir. İlgili maddenin birinci fıkrası özel nitelikli kişisel verileri "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir." şeklinde tanımlamaktadır. Yine aynı maddenin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesi için Kurul'un belirlediği yeterli önlemlerin alınması gerektiği belirtilmektedir.

Özel Nitelikli Veri İşliyor Musunuz?

İlk bakışta birçok kişi/şirket yukarıda tanımı yapılan verileri işlemediğini düşünse de bu verilerin özellikle şirketler tarafından sıklıkla toplandığı ve işlendiği çalışmalarımızda tarafımızca görülmektedir. Birkaç örnek vermek gerekir ise; bir şirketin insan kaynakları departmanı tarafından işe giriş sürecinde toplanan sağlık raporları, çalışanlara özel sağlık sigortası yapılması söz konusu ise bu sigorta için toplanan sağlık verileri, parmak izi, retina vb. biyometrik veri baz alınarak işletilen giriş-çıkış sistemlerinin kullanılması örnekleri en sık karşılaşılan örnekler arasında sayılabilir. Bu çerçevede, yukarıda bahsedilen örnek işleme faaliyetlerinden herhangi biri tarafınızca gerçekleştiriliyorsa, Kurul'un kararında belirtilen önlemleri alma zorunluluğunuz bulunmaktadır.

Önlemleri Almamanın Müeyyidesi Nedir?

Yukarıda bahsettiğimiz üzere Kanun'un 6. maddesinin 4. fıkrası söz konusu önlemlerin alınmasını şart koşmaktadır. Bu çerçevede, söz konusu tedbirler alınmaksızın gerçekleştirilen özel nitelikli kişisel veri işleme faaliyetinin, söz konusu faaliyet açık rızaya dayansa dahi, hukuka aykırı bir işleme faaliyeti olarak değerlendirileceği kanaatindeyiz. Bu hukuki değerlendirmenin bir sonucu olarak, söz konusu faaliyetin Türk Ceza Kanunu'nun 135. maddesinin 2. fıkrası uyarınca 18 ay ile 54 ay arası hapis cezası ile cezalandırılabileceğini değerlendirmekteyiz. Buna ek olarak, söz konusu işleme faaliyetinin yeterli önlemler alınmaksızın gerçekleştirilmesi Kurul'un kararlarına uymamak olarak da değerlendirilebileceğinden, KVKK'nın 18. maddesinin 1. fıkrasının c. bendi uyarınca 25.000 ila 1.000.000 Türk Lirası tutarında bir idari para cezasının da uygulanabileceği düşüncesindeyiz.

Yukarıda yapılan açıklamalar çerçevesinde, Kurul tarafından verilen kararda belirtilen yeterli önlemlerin alınması önermekteyiz. Aşağıda Kurul tarafından belirtilen yeterli önlemleri bulabilirsiniz;

"1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  2. Gizlilik sözleşmelerinin yapılması,
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
  4. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

  1. Verilerin kriptografık yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografık anahtarların güvenli ve farklı ortamlarda tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  5. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  6. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

  1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  2. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

  1. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  2. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  3. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  4. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın "gizlilik dereceli belgeler" formatında gönderilmesi gerekir.

6 - Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun İnternet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde1 belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.2"

Footnotes

[1] http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

[2] http://www.resmigazete.gov.tr/eskiler/2018/03/20180307.htm

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.