KVKK Kişisel Veri Güvenliği Rehberini Yayımladı

19.01.2018 tarihinde Kişisel Verileri Koruma Kurumu (“KVKK“) internet sitesinde “Kişisel Veri Güvenliği Rehberi” (“Rehber“)’ni yayımladı. Bu rehber 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)’nun 12 nci maddesinin 1 inci fıkrasında yer alan;

“(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

hükümleri uyarınca veri sorumlularınca, kişisel verilerin güvenliğinin sağlanmasına yönelik olarak alınması gereken teknik ve idari tedbirleri açıklıyor. Rehber’in amaç kısmında da, Rehber’in kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla hazırlandığı belirtiliyor.

KVKK, diğer düzenleyici kurumlardan farklı olarak sorumlu olduğu mevzuatın (6698 sayılı Kanun’un) uygulamasına açıklık getirmek amacıyla Yönetmelik ve Tebliğ benzeri alt düzenlemeler yayımlamak yerine daha çok rehberlerle ilerlemeyi tercih ediyor. Bunun temel sebebi 6698 sayılı Kanun’da yayımlanması öngörülen Yönetmelik başlıklarının sınırlı olması. Bu yazının yayıma hazırlandığı tarih itibarıyla KVKK’nın internet sitesinde “yayınlarımız” başlığı altında yayımlanmış 14 adet rehber var. Bu rehberlerin önemli bir kısmı Kanun’daki temel kavramlar ve düzenlemeler hakkında uygulamaya açıklık getirecek bilgiler içeriyor. Ancak, sorun şu ki henüz yeni oluşan ve uygulaması hakkında oldukça fazla tereddüt bulunan bir mevzuatla ilgili yayımlanan bu rehberlerin mevzuat çerçevesindeki yeri ve hangi ölçekte uygulanması gerektiği bir soru işareti.

Bu tip iyi uygulama rehberlerini yayımlanan bir başka kurum da Bankacılık Düzenleme ve Denetleme Kurumu (BDDK). Ancak, BDDK mevzuatında Kurum’un yayınladığı iyi uygulama rehberlerine uyumun nasıl gerçekleştirileceği de düzenlenmiş durumda. BDDK, yayımladığı rehberlere bankaların uyum seviyesinin belirlenmesinde “ölçülülük ilkesi”nin esas alınacağını belirtiyor ve bu ilke uyarınca bankaların kendi ölçeklerini; risk profillerini; faaliyetlerini, iş ve işlemlerinin hacmini, mahiyetini ve karmaşıklığını dikkate alarak ilkeleri uygulamalarını, tümüyle veya kısmen uygulanmayan ilkeler için ise açıklama yapmalarını ve bunları yazılı hale getirerek saklamalarını istiyor. Bu açıdan, KVKK mevzuatında Kurum’un yayımlandığı rehberlere uyumla ilgili benzeri bir düzenleme olmamasının mevzuatta bir boşluk yarattığını dile getirmemiz gerekiyor.

Bu uzun girizgahtan sonra yazımız konusu rehbere dönersek rehber içeriğinde yer alan teknik ve idari tedbirlere baktığımızda bankalar gibi uzun yıllardır BDDK’nın Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği’ne tabi olan ve bilgi sistemleri alanında düzenli olarak denetlenen kurumsal yapılarda bu tedbirlerin birçoğunun hali hazırda uygulamada olduğu görülüyor. SPK’nın uygulamasına başladığı Bilgi Sistemleri Yönetimi Tebliği uyarınca da SPK denetimindeki kurumlarda da bu tedbirlerin bir çoğu uygulama geçmiş olduğunu ya da geçeceğini söylemek yanlış olmayacaktır. Ancak, KVKK mevzuatını uygulamakla yükümlü şirketlerin sayısı ve çeşitliliğini düşünürsek Kanunu uygulamakla yükümlü tüm veri sorumlularında bu tedbirlerin aynı ölçüde uygulamaya geçmesi biraz zahmetli bir süreç olacak gözüküyor.

Rehber’in dördüncü bölümünde, Rehber içerisinde açıklaması yapılan tedbirler kapsamında oluşturulan özet tablolara yer veriliyor. Bu tablolarda belirtilen tedbirlerin detayı da Rehber’in ikinci ve üçüncü bölümlerinde belirtiliyor. Bu çerçevede, Rehber’de belirtilen tedbirler ana hatlarıyla aşağıdaki şekilde ortaya çıkıyor.

KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER

Rehber’de kişisel verilerin güvenliğine ilişkin alınabilecek idari tedbirler arasında aşağıdaki hususlar sayılıyor:

1- Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları ve çalışanlara yönelik farkındalık çalışmaları yapılması,

2- Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi,

3- Kişisel veri içeren ortamlara erişim hakkı verilirken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi,

4- İşe alınma süreçlerinin bir parçası olarak çalışanların gizlilik anlaşmalarını imzalaması,

5- Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci olması,

6- Kişisel veri güvenliği politika ve prosedürlerinin belirlenmesi,

7- Bilgi teknolojileri ihtiyaçlarını karşılamak için başka bir veri işleyenden hizmet alındığında,

a) veri sorumlularının söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları,

b) Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması,

c) Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması,

d) Yine söz konusu sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi,

e) sözleşmenin niteliği buna elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmiş olması,

f) veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapması veya yaptırmasına denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde incelemesine imkan verecek bir yapı kurgulanması.

TEKNİK TEDBİRLER

Rehber’de kişisel verilerin güvenliğinin sağlanması için önerilen teknik tedbirlerden önemli görülenler aşağıda verilmektedir:

1- kişisel veri içeren sistemlere erişimin sınırlı olması; çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanması,

2- erişim yetki ve kontrol matrisi oluşturulması ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması,

3- Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

4- Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,

5- Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması; aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması,

6- Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi  fiziksel güvenliğin arttırılmasına ilişkin önlemler alınması,

7- Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmeden önce kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması; bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması.

Saygılarımızla,

KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (TEKNİK VE İDARİ TEDBİRLER)