KİŞİSEL VERİLERİ KORUMA KURULUNUN KİŞİSEL VERİ GÜVENLİĞİ REHBERİ KAPSAMINDA VERİLERİN GÜVENLİĞİNİN SAĞLANMASI VE KORUNMASI

Bilindiği üzere kişisel verilerin korunması hakkı 07.05.2010 tarihli 5982 sayılı Kanun ile birlikte Anayasa’nın 20. Maddesini düzenleyen “Özel  Hayatın Gizliliği” maddesi kapsamında bireysel bir Anayasal hak olarak tanımlanmıştır. Bu doğrultuda da kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlemek üzere 24.03.2016 tarihinde 6698 sayıı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir.

Yürürlüğe giren kanunla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmıştır.

Görüldüğü üzere kişisel verilerin korunması anayasal bir hak olup bu hakkın ihlalinin ise gerek cezai gerekse idari anlamda ağır yaptırımlara sebebiyet verebileceği açıktır. Bu sebeple 6698 sayılı Kanun’un 12. Maddesiyle birlikte veri işleme sürecinde veri sorumlusuna alması gereken teknik ve idari tedbirler açıkça belirtilmiştir.

Bu kapsamda KVK Kanunu’nun 12. Maddesi;

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü düzenlemektedir.

Kişisel Verileri Koruma Kurulu tarafından yayımlanan rehberde de belirtildiği üzere veri sorumluluarının teknik ve idari tedbirleri belirlerken dikkat etmesi gereken hususlar şunlardır;

A- İdari Tedbirler

1- Öncelikle mevcut risk ve tehditlerin belirlenmesi gerekmektedir.

Bu kapsamda öncelikle veri sorumlusu tarafından işlenen verilerin neler olduğu, işlenen verilerin korunmasına ilişkin olası risklerin gerçekleşme olasılığı ve risk gerçekleştiği takdirde yol açacağı kayıpların doğru bir şekilde belirlenmesi, akabinde belirlemelerle birlikte gerekli tedbirlerin alınması gerekmektedir.

Risk belirlenirken, işlenen verilerin özel nitelikli olup olmadığı, gizlilik seviyesi, olası ihlale binaen ilgili kişi bakımından ortaya çıkacak zararın tespiti ilgili idari tedbirlerin alınmasında aktif rol oynayacaktır.

2- Kişisel veri güvenliği kapsamında çalışanların eğitilmesi gerekmektedir.

Kişisel veri güvenliğinin ihlaline sebep olan en önemli sebeplerden birisi de siber saldırılardır. Özellikle bu alanda en yaygın örnek, kötü amaçlı yazılım olarak tabir edilen virüslerin spam mailleri ile birlikte gönderilmesi ve siber saldırının bu vesileyle gerçekleşmesi sürekli karşımıza çıkmaktadır. Siber güvenlik her ne kadar farklı bir eğitim gerektirse de veri sorumluları veya yanında çalışanlar en azından siber saldırılara karşı ilk müdahaleyi gerçekleştirerek derecede eğitim aldığı takdirde olası daha ağır ihlallerin önüne geçmiş olacaklardır.

Siber saldırıların yanı sıra Kurul tarafından dikkat çekilen en önemli ihlal ise, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılmasıdır. Bu sebeple de Kurul; “çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemli” olduğunu vurgulamaktadır.

Yine çalışanlarla gizlilik sözleşmesi yapılmalı, gizlilik sözleşmesi ve güvenlik politikası prosedürlerine uyulmadığı takdirde çalışan hakkında da bir disiplin süreci yürütülmesi veri güvenliğinin ihlalini azaltacaktır.

3- Kişisel veri güvenliği politikaları ile prosedürlerinin belirlenmesi gerekmektedir.

Veri sorumlusu, olası güvenlik zaaflarının önüne geçilmesi amacıyla “önceden” gerekli tedbirlerin almak, işlenen verileri bilmek ve alınan güvenlik önlemlerinin incelenerek diğer yasal yükümlülüklerle entegresini sağlamak aracılığıyla çalışma yaparsa önlem alması daha da kolay olacaktır.

Yine alınan güvenlik tedbiri ve politikaları üzerinden sürekli olarak veri güvenliğinin kontrolü yapılmalı, yapılan kontroller belgelendirilmeli, olası güvenlik zaafiyetleri bertaraf edilmeli ve gerekli güncellemeler sürekli yapılmalıdır. Gerekli önlem ve tedbirlerin alındığının ispatı açısından bu hususların belgelendirilmesi Kurul tarafından önem taşımaktadır.

4- Güvenlik riskini azaltmak adına kişisel verilerin azaltılması gerekmektedir.

Uzun süredir veri toplayan veri sorumluları, çoğu zamanda bu verilerin güncelliğini kontrol etmemektedir. Bu sebeple de toplanan veriler herhangi bir amaca hizmet etmez hale gelmektedir. Bu doğrultuda belirli sürelerle veri sorumlusu tarafından toplanan verilerin gerekliliği denetlenmeli ve toplanmasına gerek duyulmayan verilerin de imha politikası gereğince silinmesi, anonim hale getirilmesi veya yok edilmesi önerilmektedir.

Aynı şekilde erişimine gerek duyulmayan veya arşiv olarak tutulan kişisel verilerin ise muhafazası daha güvenli ortamlarda tutulmalı ve erişime mümkün olduğu seviyede kapalı olmalıdır.

5- Veri işleyenin farklı biri olması durumunda da gerekli tedbirler alınmalıdır.

Kanunun 12. Maddesinin 2. Fıkrasında; “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” hükmü yer almaktadır.

Uygulamada veri sorumluları teknolojik ihtiyaçlardan yararlanmak için veri işleyenlerle birlikte çalışmaktadır. Kanunun açık hükmü gereğince de veri sorumluları, veri işleyenlerin de veri güvenliği konusunda gerekli güvenlik tedbirleri aldığı hususunda müşterek olarak veri işleyenlerle birlikte sorumlu olacaktır.

Veri sorumlusu ile veri işleyen arasında “Kişisel Veri Saklama ve İmha Politikası” imzalanması, ayrıca yine taraflarca imzalanacak sözleşmede veri sorumlusu tarafından verilecek talimat ve sözleşme konusu kapsamında verilerin işlenmesinin sağlanması, veri işleyen  tarafından 6698 sayılı Kanun’a uygun davranılması gerekliliği, sır saklama yükümlülüğü ve herhangi bir veri ihlali halinde durumunda veri sorumlusu ile kuruma bildirileceği hüküm altına alınmalıdır.

B- Güvenlik Tedbirleri

1- Siber güvenliğin sağlanması gerekmektedir.

Siber güvenliğin sağlanması adına Kurul’un veri güvenliği konusundaki rehberinde şu ifade kullanılmaktadır;

“Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır.

İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir.

Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir. Ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta olup, kullanılmayan yazılım ve servislerin cihazlardan kaldırılması potansiyel güvenlik açıklarının azalmasını sağlamaya yardımcı olacaktır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilebilecek bir yöntemdir.”

Kurulun rehber niteliğindeki kitapçığında bahsettiğinin yanısıra İnternet Ağ Geçitleri ve Güvenlik Duvarı üzerinde de koruma sağlayan anti virüs programlarının kullanımı yine siber güvenlik kapsamında alınabilecek önlemler arasındadır.

Yine siber güvenlik anlamında alınacak tedbirler kapsamında kişisel verilere erişme imkanı sağlayacak hesap ve depolama hizmetlerinin şifrelerinin küçük, büyük karakter harf ve rakam içerecek şekilde belirlenmesi gerekmektedir.

Bunun yanısıra Kurulu tarafından yayımlanan rehberde de belirtildiği üzere;

“Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir.

Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.”

2- Siber güvenliğe karşı saldırıların takibi ve anında müdahale yapılmalıdır.

Veri sorumlularının kullandığı ve verilerin yer aldığı sistemler yukarıda da belirttiğimiz ölçüde en çok siber saldırılara maruz kalmaktadır. Bu sürekli meydana gelen siber saldırılar veri sorumluları tarafından farkedilememekte ve anlık yapılması gereken müdahaleler yapılamamaktadır.

Kurulu bu konuda veri sorumlularına şu önerilerde bulunmuştur;

“Bu durumun önüne geçebilmek için;

a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.”

İlgili raporlamalar oluşturulduktan sonra bu raporlamaların ve erişim kontrolü kayıtlarının bilişim anlamında sürekli takibi ve varsa olası saldırıların engellenmesinin önüne geçilmesi,  zaafiyet taramaları ile güvenlik açıklarına ilişkin testlerin yapılması ile siber güvenliğin sağlanması hedeflenmelidir.

Yine kurul tarafından belirtilen; “Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.”

3- Verilerin yer aldığı ortamların güvenliği sağlanmalıdır.

Veri sorumlusu, topladığı kişisel verileri gerek fiziksel ortamda gerekse dijital ortamda saklarken güvenliğini de sağlamalıdır. Fiziksel ortamda saklanan kişisel verilere karşı güvenlik önlemlerinin alınması, yangın vb. durumlara karşı da önleyici tedbirlerin alınması, aynı şekilde çalınma vb. durumlara karşı da verilerin saklandığı yerdeki giriş çıkışların kontrol edilmesi ve güvenlik tedbirlerinin alınması gerekmektedir.

Dijital ve ağ ortamında saklanan veriler için erişim kısıtlaması getirilmesi, şifreleme sistemi getirilmesi, siber saldırılara karşı yukarıda da belirtilen gerekli sistemlerin aktif hale getirilmesi vb. tedbirler alınması gerekmektedir. Yine elektronik ortamda ve harici depolama ortamında (bilgisayar, cep telefonu, cd, dvd vb.) saklanan kişisel veriler açısından cihazların bulunduğu odaların ekstra güvenlik kontrolüne tabi tutulması, giriş çıkışların kayıt altına alınması, şifreleme yönteminin kullanılması gibi önlemler önerilmektedir.

Elektronik ortam olan bilgisayar, cep telefonu vb. aygıtlarda saklanan veriler açısından; ilgili aygıtın kontrollerinin yapılmak üzere bakıma gönderilmesi veya tamire gönderilmesi halinde de veri sorumlusu tarafından verilerin bulunduğu veri saklama ortamının sökülmesi ve bu yönüyle kişisel verilerin güvenliğinin sağlanması gerekmektedir.

Bunlarla birlikte bulut depolama alanında saklanan kişisel veriler açısından; depolama hizmeti veren ilgilinin gerekli güvenlik tedbirlerini alıp almadığının tespiti veri sorumlusu açısından önem arz etmektedir. Bu nevi saklama yönteminin kullanılması halinde depolanan kişisel verilerin sürekli yedeklenmesi, uzaktan erişim için iki aşamalı kimlik doğrulama kontrolü konulması, şifrelenmesi önerilmektedir.

4- Verilerin yedeklenmesi veri sorumlusuna fayda sağlayacaktır.

Kişisel verilerin kaybolması, çalınması veya zarar görmesi halinde veri sorumlusu aldığı veri yedeği ile ivedilikle işlem yapabilecektir. Bu sebeple veri sorumlusu tarafından geliştirilecek güvenlik politikalarında kötü amaçlı yazılımlara karşı veri güvenliğinin sağlanması amacıyla veri yedekleme stratejilerinin geliştirilmesi Kurul tarafından önerilmektedir. Veri sorumlusu, yedeklenen kişisel verilere de erişimi yine kısıtlamalı, herkesin erişimine açmasının güvenlik ihlaline neden olabileceğini bilmelidir.

C- Kurul Rehberinde Belirtilen Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler;

1- Teknik Tedbirler Özet Tablosu

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

2- Teknik Tedbirler Özet Tablosu

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

18.12.2020

Av. Kerem Küçükkara

 

** İşbu yazı Kişisel Verileri Koruma Kurulu tarafından oluşturulan “Kişisel Veri Güvenliği Rehberi” kaynak alınarak hazırlanmıştır. İlgili rehbere buradan ulaşabilirsiniz.

UYARI: Bu sitede yer alan bilgiler, makaleler, kararlar ve sair paylaşımlar Avukatlık Kanunu, TBB Reklam Yasağı Yönetmeliği ve TBB Meslek Kuralları ile ilgili mevzuat hükümleri dikkate alınarak ve meslek itibarını zedeleyecek her türlü tavır ve davranıştan özenle kaçınılarak hazırlanmaktadır. Site içeriğindeki paylaşımların herhangi birinde reklam, tanıtım, pazarlama, iş sağlama amacı güdülmemektedir. Bu sebeple, bu bilgilerin profesyonel danışmanlık hizmeti yerine geçtiği kabul edilmemelidir. Site içeriğinde bulunan her türlü paylaşım Göçük Hukuk Bürosu ekibinin bilgi ve emeğinin ürünü olup, FSEK kapsamında eser niteliğindedir ve izinsiz kullanımı yasaktır.