Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler Nelerdir?

Özel nitelikli kişisel verilerin işlenmesi esnasında KVKK'da ve Kurulda açıklanan tedbirlerin alınması zorunludur. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda, "Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü bulunmaktadır. Bu doğrultuda özel nitelikli veri işleyen veri sorumlularınca alınması gereken tedbirler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde açıklanmıştır:

Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken önlemler nelerdir?

• Özel nitelikli kişisel verilerin güvenliğini sağlamak amacıyla yöntemi, kaidesi açık bir biçimde belirlenmiş, yönetilebilir ve sürdürülebilir farklı politika ve prosedürün belirlenmesi,
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak;

1. Düzenli olarak eğitimler verilmesi,
2. Gizlilik sözleşmelerinin yapılması,
3. Verilere erişim yetkisi olan kişilerin, yetki boyut ve zamanlarının net olarak belirlenmesi,
4. Belirli dönemlerde yetkilerinin kontrol edilmesi,
5. İş değiştiren veya işten ayrılan çalışanların bu alandaki yetkilerinin ivedilikle kaldırılması. Veri sorumlusu tarafından çalışana özgülenen envanterin iade alınması,

• Özel nitelikli kişisel veriler, elektronik ortamda işleniyor, saklanıyor ve erişim sağlanıyorsa;

1. Kişisel verilerin kriptografik metotlarla saklanması,
2. Kriptografik anahtarların emniyetli ve farklı ortamlarda tutulması,
3. Kişisel veriler üstünde gerçekleştirilen hareketlerin tamamının işlem kayıtlarının güvenli biçimde loglanması,
4. Verilerin olduğu ortamların güvenlik bakımından takip edilmesi, güncellemelerinin aksatılmaması, lüzumlu olan güvenlik testlerinin periyodik olarak yapılarak test sonuçlarının kayıt altına alınması,
5. Verilere bir yazılım vasıtasıyla erişim sağlanıyorsa, söz konusu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, yazılımların güvenlik testlerinin periyodik olarak yapılması ve test sonuçlarının kayıt altına alınması,
6. Verilere uzaktan erişim sağlanıyorsa minimum iki kademeli kimlik doğrulama sisteminin sağlanması,

• Özel nitelikli kişisel veriler, fiziksel ortamda işleniyor, saklanıyor ve erişim sağlanıyorsa;

1. Hırsızlık, yangın, sel baskınları, elektrik kaçağı gibi durumlara karşı gerekli güvenlik önlemlerinin alınması,
2. Söz konusu ortamların fiziksel olarak güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

• Özel nitelikli kişisel veriler aktarılacaksa;

1. Veriler, e-Posta yoluyla aktarılacaksa şifreli olarak kurumsal e-Posta adresiyle ya da KEP hesabı kullanılarak aktarılması,
2. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılacaksa kriptografik metotlarla şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
3. Farklı fiziksel ortamlardaki sunucular arasında aktarma işlemi yapılıyorsa, sunucular arasında VPN kurularak ya da sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
4. Veriler kağıt ortamda aktarılacaksa belgenin çalınması, kaybolması veya yetkisi olmayanlar tarafından görülmesi vb. risklere karşı gerekli tedbirlerin alınması ve belgenin "gizlilik dereceli belgeler" formatında gönderilmesi gerekmektedir.

Tüm bu önlemlerle birlikte Kişisel Veri Güvenliği Rehberinde açıklanan uygun güvenlik düzeyini sağlamaya yönelik olarak teknik ve idari tedbirler de dikkate alınmalıdır.

Özel nitelikli kişisel veriler hakkında ayrıntılı bilgi almak için Özel Nitelikli Kişisel Veri Nedir? Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir? yazımızı okuyabilirsiniz.