6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 19. Maddesi uyarınca kurulan Kişisel Verileri Koruma Kurumu’nun (“Kurum”) karar organı olan Kişisel Verileri Koruma Kurulu’nun (“Kurul”), özel nitelikli kişisel verilerin korunması amacıyla alınması gereken önlemlere yönelik 31.01.2018 tarih ve 2018/10 sayılı Kurul Kararı (“Karar”) 7 Mart 2018 tarihli ve 30353 sayılı Resmi Gazete’de yayımlandı. Karar’da temel olarak, özel nitelikli kişisel verilerin korunması konusunda veri sorumluları tarafından politika ve prosedür belirlenmesi gerektiği belirtilmiş ve daha önce Kurum tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’nde belirtilen önlemlerin altı çizilmiştir.
Kanun kapsamında özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade etmektedir. Kanun Madde 6/4 uyarınca özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Bu kapsamda yayımlanan Karar’da özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken önlemler aşağıdaki şekilde özetlenebilir:
- Özel nitelikli kişisel verilerin korunması konusunda ayrı bir politika ve prosedür belirlenmelidir.
- Özel nitelikli kişisel verilerin işlenmesine dair süreçlerde yer alan çalışanlara yönelik:
- gerekli eğitimler verilmeli
- gizlilik sözleşmeleri yapılmalı
- erişim yetkileri net olarak belirlenmeli ve yetki kontrolleri periyodik olarak gerçekleştirilmeli
- görev değişikliği veya işten ayrılma halinde yetkileri derhal kaldırılmalı
- kendisine veri envanteri tahsis edilmesi halinde envanter derhal iade alınmalıdır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği ortamın elektronik olması halinde:
- veriler kriptografik yöntemler kullanılarak muhafaza edilmeli ve kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalı
- veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak tutulmalı
- verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilmeli
- verilere bir yazılım aracılığıyla erişiliyorsa bu yazılımın kullanımına dair Karar’da belirtilen güvenlik önlemleri alınmalı
- verilere uzaktan erişim gerekiyorsa en az iki kademeli doğrulama sistemi sağlanmalıdır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği ortamın fiziksel olması halinde:
- Fiziksel ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık ve benzeri risklere yönelik) alınmalı
- Fiziksel ortamın güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmelidir.
- Özel nitelikli kişisel verilerin aktarılması halinde:
- E-posta yolu ile veri aktarılması halinde şifreli olarak kurumsal e-posta adresiyle ve kayıtlı elektronik posta hesabı kullanılarak aktarılmalı
- Taşınabilir bellek, CD, DVD gibi ortamlar kullanılıyorsa, bunlar kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarlar farklı ortamlarda tutulmalı
- Farklı fiziksel ortamlardaki sunucular arasındaki aktarım VPN veya sFTP yöntemiyle yapılmalı
- Veriler kağıt ortamı yoluyla aktarılıyorsa evrakın çalınması, kaybolması gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belge” olarak gönderilmelidir.
Bu linke tıklayarak 7 Mart 2018 tarihli ve 30353 sayılı Resmi Gazete’de yayımlanan 2018/10 sayılı ve 31 Ocak 2018 tarihli Kurul Kararının tam metnine ulaşabilirsiniz.