Makale
Özel nitelikli kişisel verilerin işlenmesi ve güvenliğinin sağlanması, Kişisel Verileri Koruma Kurulu'nun 2018/10 sayılı kararı ile özel önlemlere tabi tutulmuştur. Veri sorumluları, bu veriler için sistematik politikalar oluşturmalı, elektronik ve fiziksel ortamlarda en üst düzey teknik ve idari güvenlik tedbirlerini hayata geçirmelidir.
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği
Kişisel Verilerin Korunması Hukuku kapsamında, özel nitelikli kişisel veriler, yapıları gereği yetkisiz kişilerin eline geçmesi halinde ilgili kişi üzerinde ayrımcılık yaratma veya mağduriyete sebep olma riski taşıyan hassas nitelikteki bilgilerdir. Bu verilerin işlenmesi ve muhafazası, genel nitelikli kişisel verilere kıyasla çok daha katı kurallara bağlanmıştır. Nitekim Kişisel Verileri Koruma Kurulu'nun 31/01/2018 tarihli ve 2018/10 sayılı kararı ile özel nitelikli kişisel verilerin güvenliğinin sağlanması adına veri sorumluları tarafından alınması gereken yeterli önlemler özel olarak listelenmiştir. Veri sorumlularının, söz konusu hassas verilerin hukuka aykırı işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla genel tedbirlerin yanı sıra kendilerine özgülenmiş kuralları sıkı bir disiplinle uygulamaları yasal bir zorunluluktur. Kurul kararı, bu tür verilerin güvenliğinin tesadüflere bırakılamayacağını, şansa dayalı bir korumanın hukuken geçerli kabul edilemeyeceğini net bir biçimde ortaya koymaktadır.
Ayrı Bir Politika ve Prosedür Belirleme Zorunluluğu
Özel nitelikli kişisel veri işleyen veri sorumlularının atması gereken ilk ve en temel adım, bu verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemektir. Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne tabi olup olunmadığına, yıllık gelire veya çalışan sayısına bakılmaksızın her veri sorumlusu bu özel politikayı oluşturmak ve uygulamakla mükelleftir. Bu yükümlülük, veri işleme faaliyetinde bulunan herkesin görev tanımlarının ve yetki sınırlarının açıkça çizilmesini gerektirir. Gerçekten de özel nitelikli veri güvenliğinin sağlanabilmesi, önceden yazılı hale getirilmiş, çalışanlara ilan edilmiş ve veri sorumlusu tarafından denetlenen somut kuralların varlığına bağlıdır. Sadece kağıt üzerinde kalan değil, kurum kültürüne entegre edilmiş bir işleyiş benimsenmediği sürece, ihlallerin önlenmesi söz konusu olamayacaktır.
Çalışanlara Yönelik İdari Güvenlik Tedbirleri
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde doğrudan yer alan çalışanların eğitimi ve denetimi, veri güvenliği mimarisinin en hassas ayaklarından birini oluşturur. Kurul ilke kararı doğrultusunda, özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi ve iş süreçlerine dahil olan herkesle gizlilik sözleşmelerinin yapılması şarttır. Ancak yalnızca sözleşme imzalatmak yeterli bir güvenlik tedbiri olarak kabul edilemez. Sürece dahil olan personelin verilere erişim yetkilerinin kapsam ve sürelerinin net olarak tanımlanması ile bu yetkilerin periyodik olarak kontrol edilmesi elzemdir. Çalışanın görev değişikliği veya işten ayrılması gibi durumlarda, veriye erişim yetkilerinin derhal kaldırılması ve bu işlemlerin kayıt altına alınması gerekmektedir. İdari amirlerin ve süreç yöneticilerinin bu denetimleri aksatmadan sürdürmesi, kurum içi farkındalığın devamlılığını sağlar.
Ortam Güvenliği ve Transfer Süreçleri İçin Alınacak Önlemler
Verilerin saklandığı ortamın fiziksel veya elektronik olmasına göre alınması gereken güvenlik önlemleri farklılaşmaktadır. Kurul kararı ışığında, özel nitelikli kişisel verilerin güvenliğini her ortam için özelleştirmek ve dışarıdan gelebilecek siber saldırılar ile iç tehditler kaynaklı veri sızıntılarına karşı maksimum direnci sağlamak esastır. Eğer veriler elektronik ortamda işleniyorsa, kriptografik yöntemler kullanılarak muhafaza edilmesi, şifreleme anahtarlarının farklı bir ortamda saklanması ve sistem üzerinde gerçekleştirilen tüm hareketlerin güvenli olarak loglanması zorunludur. Uzaktan erişim gereken hallerde ise mutlak surette en az iki kademeli kimlik doğrulama sistemi hayata geçirilmelidir. Fiziksel ortamlarda ise evrakın deprem, yangın, su baskını veya hırsızlık gibi risklere karşı kilitli sistemlerle korunması ve yetkisiz giriş çıkışların sınırlandırılması gerekmektedir. Aşağıdaki listede, özel nitelikli kişisel verilerin aktarım süreçlerinde uygulanması gereken asgari kurallar özetlenmiştir:
- E-posta ile aktarım: Verilerin şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak iletilmesi.
- Taşınabilir bellek ile aktarım: USB, CD, DVD gibi donanımlar kullanılacaksa, verilerin kriptografik yöntemlerle şifrelenmesi ve şifre çözücü anahtarın farklı bir yolla iletilmesi.
- Sunucular arası aktarım: Farklı fiziksel ortamlardaki sunucular arasında işlem yapılıyorsa, VPN kurularak veya FTP yöntemiyle veri transferinin gerçekleştirilmesi.
- Kâğıt ortamında aktarım: Fiziksel evrak gönderiminde, belgenin yetkisiz kişilerce görülmesini veya kaybolmasını önleyecek tedbirlerin alınması ve evrakın gizlilik dereceli belgeler formatında zarflanarak gönderilmesi.