Kişisel Veri Güvenliği Rehberi’ne İlişkin Değerlendirmelerimiz
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. Maddesinin 1. fıkrasında; “Veri sorumlusu; (i) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (iii) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Veri Güvenliği Rehberi (“Rehber”) hazırlanmıştır.
Rehberin hazırlanması esnasında çoğunlukla, kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerektiği vurgulanmıştır.
Rehber incelendiğinde Kurulun’un risk temelli bir yaklaşımı dikkate aldığını söylemek mümkündür. Risk bazlı yaklaşımda veri envanterinin çıkartılması, özel nitelikli kişisel verilerin ayrıca tespit edilmesi, bu verilerin gizlilik seviyelerine göre sınıflandırılması ve bu verilerin başına bir olay geldiğindeki zararın ne olabileceğinin belirlenmesi ana adımlar olarak sıralanabilecektir. Risk analizinin uluslararası standartlar tarafından kabul görmüş metodolojilere göre yapılması, analiz verilerinin kişisel verilerin korunması özelinde değil diğer regülasyonlar için de kullanılmasına da olanak sağlayacaktır.
I.Kişisel Veri Güvenliğine İlişkin İdari Tedbirler
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken; (i) Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, (ii) Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, (iii) Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.
Ek olarak, kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.
Öte yandan, bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadır. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Bu minvalde, taraflar arasındaki sözleşmenin yazılı olması, sır saklama ve mevzuata uygun hareket etme yükümlülüklerine ilişkin hükümler içermesi ve benzeri tedbirler önerilmektedir.
II.Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler
Kişisel veri güvenliğinin sağlanması için birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanması gerekmektedir. Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir.
İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir.
Yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi de olası güvenlik açıklarının kapatılması için gereklidir. Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
Şirketlerde katmanlı bir bilgi güvenliği süreç ve altyapısının olması, güvenlik seviyesinin üst düzeyde olmasını sağlayacaktır. Bu yüzden internet bağlantısında kullanılmakta olan güvenlik duvarlarından başlayarak, şirkette mevcut olan tüm ağ, güvenlik ve sunucu sistemlerinin belli güvenlik sıkılaştırma prensiplerine göre yapılandırılması esastır.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması, dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir.
Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir. Kişisel verinin taşınabilir medya (CD, DVD, USB, vb.) üzerinde depolandığı durumlarda bu ortamlardaki verinin gizliliğine uygun şifreleme yöntemleri kullanılmalıdır.
Kişisel verilerin bulutta saklanmasına, kanun ve yönetmelik izin vermektedir. Ancak bu verilerin envanterinin bilinmesi, verilerin güçlü kriptolama algoritmaları ile şifrelenmesi gerekmektedir. Farklı bulut sistemleri kullanılıyorsa, her bir bulut sistemi için ayrı ayrı şifreleme anahtarlarının kullanılması gerekmektedir.
Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. Arızalanan cihazların şirket dışına gönderilmesi gerektiğinde kişisel veri saklayan ortamların cihazlardan sökülmesi gerekmektedir. Yerinde müdahalelerde ise kişisel verilerin kopyalanmaması ve kurum dışına çıkartılmaması için önlemler alınmalıdır.
III.Sonuç
İşbu kurallara riayet edilmeksizin veri işlemeye devam edilmesi halinde Kanun kapsamındaki idari ve cezai yaptırımlar uygulama alanı bulacaktır. Kurul, çok yakın zamanda, teknik ve idari tedbirlerin alınmasında kusurunun bulunması nedeniyle bilişim ve turizm alanında faaliyet gösteren iki büyük firmaya ciddi meblağlara ulaşan cezalar kesmiştir.
Konu ile ilgili daha detaylı bilgi ve görüşlerimiz için hukuk büromuz ile irtibata geçmenizi rica ederiz.
Bu makalede yer alan açıklamalar, yazarının konu hakkındaki kişisel görüşünü yansıtmaktadır. Makaledeki bilgi ve açıklamalardan dolayı Canaz Yılmaz’a sorumluluk iddiasında bulunulamaz. Verilen bilgiler yalnızca genel amaçlıdır; kopyalanamaz ve çoğaltılamaz. Bilgilerin uygulanabilirliği, güncelliği ve güvenilirliği konusunda garanti verilmemektedir. Mevzuatın sık değiştirilen ve farklı anlayışlarla yorumlanabilen yapısı nedeniyle, herhangi bir konuda uygulama yapılmadan önce konunun uzmanlarından profesyonel yardım alınmasını tavsiye ederiz.