Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. madde hükümleri, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile değiştirilmiş ve anılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmişti.
Kanun değişikliği ile özel nitelikli kişisel veri kategorilerinin işlenme şart ve istisnaları arasındaki ayrım kaldırılmış olup yeni işleme şartları ihdas edilmiştir. Kişisel Verileri Koruma Kurumu tarafından 26.02.2025 tarihinde Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”) yayımlanmış olup Rehber ile özel nitelikli kişisel veriler, özel nitelikli kişisel verilerin işlenme şartları, veri sorumlularınca Kanun’a uyum için yapılması gerekenler açıklanmıştır. Rehber ile değinilen hususlara ilişkin bilgilendirmeye aşağıda yer verilmiştir.
I- ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Rehberde Özel Nitelikli Kişisel Veriler kişilerin ırk ve etnik kökenine ilişkin veriler, kişilerin siyasi düşüncesine ilişkin veriler, kişilerin felsefi inancı, dini, mezhebi veya diğer inançlarına ilişkin veriler, kişilerin kılık ve kıyafetine ilişkin veriler, kişilerin dernek, vakıf ya da sendika üyeliğine ilişkin veriler, kişilerin sağlık ve cinsel hayatına ilişkin veriler, kişilerin ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, kişilerin biyometrik verileri ve kişilerin genetik verileri başlıkları altında açıklanmış olup bu verilerin sayınlarla ile sınırlı olduğu ve kıyas yoluyla genişletilmesinin mümkün olmadığı vurgulanmıştır.
II- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Bilindiği üzere özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak tüm temel hak ve özgürlüklerde olduğu gibi, özel nitelikli kişisel verilere ilişkin koruma da mutlak olmayıp sınırlandırılabilir. Bu sınırlandırmanın Anayasa’nın 13. maddesinde belirtilen esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Bu nedenle, özel nitelikli kişisel verilerin tam olarak hangi durum ve şartlar dahilinde işlenebileceği Kanun’da öngörülmüştür.
Kanun’un ilk halinde “Özel nitelikli kişisel verilerin işlenme şartları”nı düzenleyen 6. maddesinin 2. fıkrasında, “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu”, 3. fıkrasında; “Sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel verilerin işlenmesi faaliyetinin kanunlarda öngörülmüş olması halinde ilgili kişinin açık rızası olmaksızın işlenebileceği”, “Sağlık ve cinsel hayata ilişkin kişisel verilerin ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından ilgili kişinin açık rızası olmaksızın işlenebileceği” hükmüne yer verilmiştir.
Kişisel veriler, her geçen gün artan bir biçimde iş süreçlerine dahil edilerek, kamu hizmetlerinin sunumunu iyileştirilmekte ve daha verimli ekonomik modeller oluşturulmaktadır. Bununla birlikte, özel nitelikli kişisel verilerin işlenmesine ilişkin Kanun’da yer alan mevcut düzenlemenin kamu kurum ve kuruluşları, özel sektör paydaşları ve sivil toplum kuruluşları tarafından gerçekleştirilen faaliyetleri kısıtladığı, hatta bu kuruluşların mevzuattan kaynaklı birtakım yükümlülüklerini yerine getirebilmelerini dahi engellediği değerlendirilerek, Kanun’un 6. maddesi bakımından, kişisel verilerin korunması alanında Avrupa Birliği (“AB”) müktesebatına uyumun sağlanması, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyonun sağlanması amaçlarıyla, AB Genel Veri Koruma Tüzüğü (“GVKT”)’de yer alan hükümler ile uygulamada karşılaşılan eksiklikler de dikkate alınarak özel nitelikli kişisel veri kategorileri arasındaki işleme şartlarına yönelik ayrımın kaldırılması ve yeni işleme şartlarının getirilerek değişiklik yapılması öngörülmüştür.
Bu çerçevede 7499 sayılı Kanun vasıtasıyla Kanun’un 6. maddesinde yapılan değişiklikler sonucunda:
• Kanun’a göre özel nitelikli kişisel veriler ancak belirli şartların var olması durumunda, yalnızca belirlenen sınırlar içinde ve ölçülü olarak işlenebilecektir. Özel nitelikli kişisel verilerin üçüncü kişiler tarafından öğrenilmesi durumunda ilgili kişilerin ayrımcılığa maruz kalması ve bu sebeple mağduriyet yaşaması riski nedeniyle Kanun’un özüne odaklanılması, amacına ve ruhuna uygun bir şekilde yorumlanması gerektiği,
• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veri ile sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veri ayrımının kaldırılması, açık rıza ile diğer işleme şartları arasında hiyerarşik bir farkın mevcut olmadığının kabul edilmesi ve yeni işleme şartlarının getirilmesi suretiyle değişiklik yapıldığı,
• Özel nitelikli kişisel verilere ilişkin düzenlenen işleme şartlarının, Kanun’un bir bütünlük arz etmesi sebebiyle 4. maddede belirtilen genel ilkeler ile birlikte değerlendirilmesi gerektiği,
• Kanun’un 6. maddesinin ilgili bentlerinde yer alan “zorunlu” ve “gerekli” ifadeleri bilinçli olarak tercih edildiği belirtilmiştir. Bu bağlamda;
- “Gereklilik” kavramı, veri işleme faaliyetinin objektif kanıtlara dayalı olarak kişisel verilerin kullanımının gerekçelendirilmesi yolu ile her somut olay özelinde değerlendirilmesi ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile de bağlantılı olarak işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantının bulunması gerektiği,
- “Zorunluluk” kavramında ise kaçınılmazlığın ifade edildiği ve bu yönüyle öznel bir değerlendirmeye dayanmayıp özel nitelikli kişisel veri işleme faaliyetini mecbur bırakan kamusal ve toplumsal şartların arandığı bir duruma karşılık geldiği, bu işleme faaliyetinde özel nitelikli kişisel verilerin işlenmesi açısından herhangi bir alternatif yöntemin bulunmadığı, dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde kaçınılamaz olması durumunun kastedildiği belirtilmiştir.
Rehber’de işleme şartları bakımından dikkat çekilen hususlar aşağıda özetlenmiştir:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
III- VERİ SORUMLULARINCA KANUN’A UYUM İÇİN YAPILMASI GEREKENLER
A) Kişisel Veri İşleme Envanterinin Güncellenmesi
30.12.2017 tarih ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile Veri Sorumluları Siciline (Sicil/VERBİS) kayıtla yükümlü olan veri sorumluları, kişisel veri işleme envanteri hazırlamakla da yükümlü tutulmuştur. Nitekim envanter hazırlama yükümlülüğü ile veri sorumlularının kişisel veri işleme faaliyetlerine bağlı tüm süreçlerinde Kanun’a uyumunun sağlanması ve bu süreçlerde veri sorumlularının kendi kendini denetleyebilme imkanının getirilmesi amaçlanmaktadır.
Öte yandan, anılan Yönetmelik’in 13. maddesinde düzenlendiği üzere Sicil’de kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden bildirilmesi gerekmektedir. Dolayısıyla veri sorumlularının işleme faaliyetlerine yönelik mevcut durumunu yansıtması gereken kişisel veri işleme envanterlerinin, doğru ve güncel kalabilmesi amacıyla düzenli olarak gözden geçirilmesi de önem arz etmektedir.
Kanun’un 6. maddesinde yapılan değişiklik uyarınca veri sorumlularının özel nitelikli kişisel veri işleme süreçlerinde işleme şartları bakımından değişikliklerin meydana gelmesi söz konusu olabilecektir. Bu çerçevede, Sicil’e kayıtla ve envanter hazırlamakla yükümlü olan veri sorumlularının hazırlamış oldukları envanterlerinde, iş süreçlerini ve bu süreçler kapsamındaki faaliyetlerini tespit ederek tüm kişisel verileri belirlemesi ve belirlenen kişisel verilerin niteliklerine göre ayrımı yapılarak özel nitelikli kişisel verilerin tespit edilmesi gerekmektedir. Bu noktada, halihazırda tespit edilen özel nitelikli kişisel verilerin her biri için Kanun’un 6. maddesindeki işleme şartları dikkate alınarak, işlenen kişisel veri için uygun hukuki sebep tespit edilmeli ve hukuki sebepte bir değişiklik olması halinde söz konusu değişiklik envantere işlenmelidir.
B) Açık Rıza Alınması Süreçlerinin Düzenlenmesi
Kanun’un 6. maddesinde yapılan değişiklik öncesinde ilgili kişilerin açık rızasına dayanılarak işlenmekte olan özel nitelikli kişisel verilerin, değişiklik kapsamında getirilen açık rıza dışındaki işleme şartlarından herhangi birine dayanılarak işlenmesi mümkün olabilecektir. Diğer bir ifadeyle, mevzuat değişikliği ile özel nitelikli kişisel verilerin işleme şartları genişletildiğinden, öncesinde yalnızca açık rıza ile işlenmesi mümkün olan özel nitelikli bir kişisel verinin işleme şartı bakımından değişiklikler meydana gelebilecektir.
Bu durumda, açık rıza ile diğer işleme şartları arasında herhangi bir hiyerarşi bulunmasa dahi başka bir veri işleme şartı mevcut iken açık rızaya başvurulması, hukuka ve dürüstlük ilkesine aykırılık teşkil edebilecektir. Öte yandan açık rıza vermek, kişinin özgür iradesine dayalı olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Açık rızanın geri alınması işlemi ise ileriye yönelik sonuç doğurmakta olup açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerekmektedir. Dolayısıyla özel nitelikli kişisel verilerin işlenmesinde açık rıza dışında farklı bir işleme şartının bulunması halinde veri sorumlularınca bu işleme şartına dayanılması gerekmektedir.
Nitekim özel nitelikli kişisel verinin işlenmesinde artık ilgili kişinin açık rızasına dayanılmayacaksa, mevcut açık rıza metinlerinin de bu doğrultuda güncellenmesi ve meydana gelen değişiklikler ile beraber bu değişikliklerin sonucu hakkında ilgili kişilere bilgi verilmesi uygun olacaktır.
C) Aydınlatma Metinlerinde Değişiklik Yapılması
Veri sorumluları, Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında kişisel verilerin elde edilmesi sırasında asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11. maddesinde sayılan diğer hakları hakkında ilgili kişileri bilgilendirmekle yükümlüdür. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) uyarınca ilgili kişinin açık rızasına veya Kanun’daki diğer işleme şartlarına bağlı olarak kişisel verilerin işlendiği her durumda, ilgili kişinin talebine bağlı olmaksızın, aydınlatma yükümlülüğünün yerine getirilmesi gerekmekle birlikte aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.
Aydınlatma yükümlülüğü ile veri sorumlularının işleme faaliyetleri hakkında ilgili kişilere şeffaflık sağlanması amaçlandığından, veri sorumlularının hazırlamış oldukları aydınlatma metinlerinin, işleme süreçlerine ilişkin mevcut durumu yansıtacak şekilde doğru ve güncelliğinin sağlanması gerekmektedir. Keza, Tebliğ uyarınca da aydınlatma yükümlülüğü yerine getirilirken; ilgili kişileri yanıltıcı, eksik ve yanlış bilgilere yer verilmemesi gerekmektedir.
Dolayısıyla, aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiğinden, özel nitelikli kişisel verilerin işleme şartlarına ilişkin olarak bir değişiklik mevcut ise bu değişikliğin aydınlatma metinlerine yansıtılması da önem arz etmektedir. Bu hususta, aydınlatma metinlerinin gözden geçirilerek güncelliğinin sağlanmasının akabinde güncel metinlerin ilgili kişilere bildirilmesi gerekmektedir. Değişikliğe ilişkin ilgili kişilere güncel aydınlatma metninin bildirilmesi noktasında ise aydınlatma yükümlülüğünün kim tarafından yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır. Bu kapsamda veri sorumlularının bizzat veya yetkilendirdikleri kişiler aracılığıyla aydınlatma yükümlülüğünü yerine getirmesi mümkündür.
Diğer taraftan, aydınlatma yükümlülüğünün şekil şartına ilişkin Kanun ve ikincil mevzuatta herhangi bir şart öngörülmemiş olup Tebliğ’in 5. maddesine göre veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğünün; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebileceği düzenlenmiştir. Bu çerçevede, veri sorumluları veya yetkilendirdikleri kişiler tarafından güncellenmiş aydınlatma metinlerinin ilgili kişilere bildirilmesi noktasında internet sitesinde duyuru yapılması, ortak alanlardaki panolara asılması, mobil uygulama üzerinden anlık bildirim gönderilmesi gibi yollarla en uygun yöntemin belirlenmesi gerekmektedir.
Burada önemle belirtmek gerekir ki, aydınlatma metinlerinin güncellenmesi ile birlikte söz konusu metinlerin güncellendiğine ilişkin olarak ilgili kişilerin haberdar olmasının sağlanması da gerekmektedir. Örneğin güncel aydınlatma metinlerinin yalnızca veri sorumlusunun internet sitesine eklenmesi, ilgili kişilerin aydınlatma metinlerinin güncellendiğinden haberdar olduğu ve bu metinlerin ilgili kişiler tarafından okunduğu anlamına gelmeyecektir. Dolayısıyla, aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu göz önünde bulundurulduğunda bu durum, veri sorumluları açısından aydınlatma yükümlülüğünün yerine getirildiğinin ispatını zorlaştırabilecektir.
Bu noktada, kişisel verilerin elde edildiği her somut olay özelinde ilk olarak ilgili kişilere aydınlatma yapılması ve daha sonrasında herhangi bir değişiklik yapılması halinde güncel aydınlatma metinleri hakkında ilgili kişilerin bilgilendirilmesi süreçlerinin ispat edilebilir bir şekilde yerine getirilmesi önem arz etmektedir.
D) Saklama ve İmha Politikasının Güncellenmesi
28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’nin; 4. maddesinde kişisel veri saklama ve imha politikası; “veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika” olarak tanımlanmış, 5. maddesinin birinci fıkrasına göre Kanun’un 16. maddesi gereğince Sicil’e kayıt yükümlülüğü bulunan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü oldukları ifade edilmiş, 6. maddesinde ise kişisel veri saklama ve imha politikasının kapsamına yer verilmiştir.
Buna göre kişisel veri saklama ve imha politikası asgari olarak; kişisel veri saklama ve imha politikasının hazırlanma amacına, kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.
Öte yandan, Veri Sorumluları Sicili Hakkında Yönetmelik’in 9. maddesinin dördüncü fıkrasının (d) bendinde, kişisel verilerin saklanması için mevzuatta herhangi bir sürenin öngörülmemesi durumunda kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zaman aşımı süresinin
dikkate alınacağı düzenlenmiştir. Bu çerçevede, kişisel veri saklama ve imha politikası hazırlamakla yükümlü veri sorumlularının Kanun değişikliğine uyum sağlayabilmesini için, özel nitelikli kişisel verilerin işleme şartının değişmesi durumunda yeni işleme şartı kapsamında gerekenden daha uzun süre özel nitelikli kişisel verilerin tutulmamasını sağlamak için saklama ve imha politikalarının gözden geçirilmesi gerekmektedir. Ayrıca, veri koruma düzenlemeleriyle uyumluluğu sağlamak için saklama süresinde değişiklik yapılacaksa saklama süreleri belirlenirken işleme amacıyla bağlantılı, sınırlı ve ölçülü olma ve gerekli olan süre kadar muhafaza edilme ilkelerine riayet edilmesi de önem arz etmektedir.
E) Veri Güvenliği Tedbirlerinin Alınması
Kanun’un 12. maddesinin birinci ve ikinci fıkralarında, “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri de almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” hükmü, 6. maddesinin dördüncü fıkrasında ise, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu kapsamda, kişisel verileri işleyen veri sorumluları ve varsa veri işleyenlerin; veri güvenliğinin sağlanması için gerekli teknik ve idari tedbirleri alması zorunlu olup; Kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri gerekmektedir.
Kişisel verilerin güvenliğinin sağlanması için veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almalıdır.
Kanun’un 22. maddesinin birinci fıkrasının (ç) bendinde “Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek” Kurul’un görev ve yetkileri arasında sayılmıştır. Bu açıdan özellikle, faaliyetleri çerçevesinde özel nitelikli kişisel veri işlemekte olan veri sorumluları ve veri işleyenlerin “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat etmesi zorunludur.
Bu çerçevede, özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kurul tarafından aşağıdaki şekilde belirlenmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi,
gerekir.
Yukarıda belirtilen önlemlerin yanı sıra kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kurul tarafından “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” hazırlanmış ve Kurum internet sitesinde yayımlanmış olup özel nitelikli kişisel veri işleme süreçlerinde veri güvenliğini sağlamak adına alınması gereken teknik ve idari tedbirler kapsamında ilgili rehberin de dikkate alınması önem arz etmektedir.
Daha ayrıntılı bilgi için ilgili rehbere buradan ulaşabilirsiniz.
Comments