201803.07
0

KİŞİSEL VERİLERİN KORUNMASINDA İZLENECEK YÖNTEMLER KURUL KARARLARI İLE SOMUTLAŞIYOR.

KİŞİSEL VERİLERİN KORUNMASINDA İZLENECEK YÖNTEMLER KURUL KARARLARI İLE SOMUTLAŞIYOR.


Kişisel Verileri Koruma Kurumu’nun 31.01.2018 tarihli ve 2008/10 nolu kararı 07 Mart 2018 tarihli Resmi Gazete’de yayınlandı. KVKK’nın 6 (4) maddesindeki “ Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen  yeterli önlemlerin alınması şarttır” hükmüne dayanarak Kişisel Verileri Koruma Kurulu tarafından alınan karar en özetiyle; kişisel veri işleyen veri sorumluları tarafından alınması gereken yöntemler konusunda aşağıdaki şekilde bir belirleme yaptı.

 

  • KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAYACAK SİSTEMLİ BİR YÖNETİM POLİTİKASI OLUŞTURULMALIDIR.

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekmektedir.

 

  • VERİ İŞLENMESİ SÜREÇLERİNDE GÖREV ALAN ÇALIŞANLARA İLİŞKİN POLİTİKALAR DETAYLANDIRILMALIDIR.

 

Özel nitelikli kişisel veri güvenliği konusunda çalışanlara düzenli eğitimler verilmeli, çalışanlarla gizlilik sözleşmelerinin yapılmalıdır. Verilere erişim yetkisi olanların yetki kapsamları ve yetki süreleri net olmalıdır. Çalışanların yetki kontrollerinin periyodik olarak gerçekleştirilmesi gerekmektedir. İşten ayrılan veya görevlerinde değişiklik olan çalışanların, kişisel veri işlenmesinde yetkililerinin derhal kaldırılmasına özen gösterilmelidir.


  • KİŞİSEL VERİLERİN MUHAFAZA EDİLDİĞİ FİZİKSEL ve/veya ELEKTRONİK ORTAMLAR GÜVENLİ HALE GETİRİLMELİDİR.

Kişisel veriler elektronik ortamlarda muhafaza edilmekte ise, veriler kriptografik yöntemlerle muhaza edilmeli, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalıdır. Veriler üzerindeki tüm hareketlerin işlem kayıtlarının güvenli şekilde loglanması, güvenlik testlerinin sürekli yapılması, güvenlik test sonuçlarının kayıt altına alınması gerekmektedir. Verilere uzaktan erişim gerekiyorsa, en az iki kademeli kimlik doğrulama sistemi oluşturulmalıdır.


Kişisel veriler fiziksel ortamda muhafaza edilmekte ise; bu sefer de sözkonusu alanların yangın, su baskını, hırsızlık gibi risklere karşı korunaklı olması gerekmektedir. Bu fiziksel alanlara yetksiz kişilerin girişine izin verilmemelidir.

 

  • KİŞİSEL VERİ AKTARIMINDA GÜVENLİK POLİTİKALARI UYGULANMALIDIR.

Kişisel verilerin aktarımında e-posta yöntemi uygulanıyorsa, şifreli e-posta uygulması yapılmalıdır. Veriler taşınabilir bellek, CD, DVD gibi harici cihazlar ile naklediliyorsa bu cihazların kriptografik yöntemlerle şifrelenmesi ve kriptorgarfik anahtarların farklı ortamlarda tutulması gerekir. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyor ise, sunucular arasında VPN (Sanal Özel Ağ) kurularak veya SecureFTP (Güvenli Dosya Taşıma Protokolü) yöntemiyle veri aktarımı gerçekleştirilmelidir.


Kişisel verilerin kağıt metinler şeklinde aktarımı gerekiyorsa, evrak güvenliği sağlanarak, evrakların çalınma, kaybolma, yetkisiz kişilerce görülmesini engelleyen “Gizlilik Dereceli Evrak” muamelesine tabi tutulması gerekmektedir.