Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİ GÜVENLİĞİ REHBERİ

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte; veri sorumlusu olarak tanımlanmakta olan gerçek ve tüzel kişilere; kişisel verilerin korunmasıyla ilgili pek çok yükümlülük getirilmiştir. Kişisel verilerin korunması alanında oldukça geniş bir yetkiyi haiz olan Kişisel Verilerin Korunması Kurumu (“Kurum”) da bu yükümlülüklerin belki de en önemlilerinden olan veri güvenliği ile ilgili olarak veri sorumlularını ve ilgilileri aydınlatmak üzere bir rehber hazırladı. Bu yazımızda bu rehbere ilişkin genel çerçevede bilgi verilecektir.

Rehberde ilk etapta yapılması gereken mevcut risklerin ve risklere karşı önlemlerin belirlenmesi olarak özetlenmiştir. Riskler belirlenirken verinin gizlilik ve önem derecesi de dikkate alınarak veri sızıntısı olduğu takdirde ilgili kişinin olası zararının boyutunun tespit edilmesi gerektiğine dikkat çekilmiştir. Kişisel veri envanteri oluşturulması suretiyle bu risklerin tespiti çok daha kolay bir hale gelecektir.

Kişisel verilerin güvenliğinin sağlanmasında en kritik faktörlerden biri şüphesiz çalışanların eğitimli olması ve bilinçli bir şekilde hareket etmesidir. Bu itibarla Kişisel Verilerin Korunması Kurumu veri güvenliğinin sağlanması için veri sorumlularının veri güvenliği ve kişisel veriler konusunda işyerinde  farkındalık yaratması, eğitimlerin verilmesi ve kişisel verilerin korunmasına ilişkin kurallara riayet etmeyenlerin disiplin yaptırımlarına tâbi tutulması gerektiğini savunmaktadır. Oldukça isabetli bir şekilde kişisel verilerle ilgili işlemlerde izin verilmedikçe her şeyin yasak olması prensibinin devreye sokulması gerektiği belirtilmiştir.

Kişisel Verilerin Korunması Kurumu ayrıca Kişisel Veri Güvenliği Politikası ve Prosedürleri’nin oluşturulması gerektiğini belirtmektedir. Veri sorumlularının hangi veri kategorilerinde, hangi hassasiyetteki verilerin bulunduğunu iyi bir şekilde bilmesi ve bunlarla ilgili riskleri önceden öngörüp gerekli önlemleri alması büyük önem arz etmektedir. Bu prosedürler çerçevesinde düzenli olarak kontrollerin ve iyileştirmelerin yapılması gerekmektedir.

Elde ne kadar az veri tutulursa o kadar az verinin güvenliği bakımından sorumluluk gündeme geleceğinden Kişisel Verilerin Korunması Kurumu; mevcut verilerin asgari düzeye indirilmesi için gerekli önlemlerin alınması gerektiğini belirtmektedir.

Veri işleyenlerden hizmet almakta olan veri sorumlularının veri güvenliğine ilişkin yetersizlikleri nedeniyle veri sorumluların da doğrudan sorumluluğunun gündeme gelmesi söz konusu olduğundan; veri işleyenle olan ilişkilerin de önemine vurgu yapılmış ve veri sorumlusu ile yapılacak sözleşmeyle ilgili şu tavsiyelerde bulunulmuştur:

  • Sözleşmelerin yazılı olması
  • Yalnızca veri sorumlusunun talimatları doğrultusunda mevzuata uygun olarak veri işlenmesi gerektiğine dair hükmün bulunması
  • Sözleşmenin Kişisel Veri Saklama ve İmha Politikası’na uyumlu olması
  • Veri işleyenin işlediği kişisel veriler hakkında süresiz sır saklama yükümlülüğüne ilişkin hüküm bulunması
  • Olası veri ihlallerinde derhal veri sorumlusuna bildirim yükümlülüğüne yer verilmesi

Öte yandan veri güvenliğinin sağlanması için teknik tedbirlere de yer verilmiştir. Siber güvenlik; tıpkı şirketin mahremiyetinin sağlanması bakımından olduğu gibi kişisel verilerin korunması anlamında da vazgeçilmezdir. Kurumun siber güvenlik bağlamındaki önerileri:

  • İnternet üzerinden izinsiz erişimlerin önlenmesi için güvenlik duvarının oluşturulması; çalışanların risk teşkil eden sitelere ve uygulamalara bağlanmasını önleyecek ağ geçidinin devreye sokulması
  • Kullanılmayan/gereksiz yazılımların kaldırılması ve yüklü yazılımların gerektiğinde güncellenmesi
  • Kişisel verilerin bulunduğu veritabanlarına erişimin kısıtlanması ve kullanıcı adı/şifre ile girişlerin güvenli hale getirilmesi, veri tabanında hangi verilere kimin erişebileceğinin politikalara uygun bir şekilde belirlenmesi
  • Antivirüs, antispam uygulamalarının devreye sokulması
  • Kişisel veri temin edilen ve muhafaza edilen sanal ortamlarda asgari SSL güvenlik sertifikasının kullanılması
  • Siber güvenlik altyapısına ilişkin düzenli takip yapılmasına elverişli bir politika izlenmesi

Kişisel veriler yalnızca sanal ortamlarda tutulmadığından fiziki ortamda tutulan veriler için de güvenlik tedbirlerinin alınması önem arz etmektedir. Bu nedenle örneğin kağıtlar üzerinde tutulan verilerin herkesin ulaşamayacağı bir yerde saklanması ve yangın, deprem gibi dış etkilerden korunması için tedbir alınması Kişisel Verilerin Korunması Kurumu tarafından önerilmektedir. Yine kişisel verilerin tutulduğu dizüstü bilgisayarlar, CD, flashbellek vb. ortamların da çalınmaya, uzaktan erişime ve yetkisiz erişime karşı korunmaları önerilmektedir.

Bulut depolama çözümünün de güvenli bir biçimde verilerin tutulmasını sağlamanın yanında birtakım riskleri de meydana getirmesi söz konusu olduğundan, Kişisel Verilerin Korunması Kurumu; yalnızca azami güvenlik tedbirlerini sağlayan bulut depolama çözümlerinin tercih edilmesi gerektiğini, her bulut çözümü için ayrı şifrelerin belirlenmesi gerektiğini ve hangi bulut depolama sisteminde hangi verinin bulunduğunun veri sorumlusu tarafından sürekli takip edilmesi gerektiğini belirtmektedir.

Bunlar haricinde bilişim sistemlerinin tedarik edilmesi, tamiri ve bakımı esnasında sızıntıların ve üçüncü kişilerin erişiminin önlenmesi için tedbirlerin alınması gerektiği belirtilmiştir.

Kişisel verilerin bozulma, değişme ve erişim engellerine karşı yedeklenmesi gerektiği de Kişisel Verileri Koruma Kurumu’nun belirtmiş olduğu bir diğer tedbirdir.

Konu hakkında detaylı bilgi almak için Ofisimizle iletişime geçebilirsiniz.

Saygılarımızla.

Ortak Avukat Derya Baksı
Avukat Kerem Utku Örer

ŞUBAT 2018

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: