Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesi veya kişisel verilere hukuka aykırı olarak erişilmesini engellemek ve kişisel verilerin muhafazasını sağlamak amacıyla, öncelikle kendileri tarafından işlenen kişisel verilerin neler olduğunu, bu verilerin işlenmesi ve muhafazasına ilişkin ortaya çıkabilecek riskleri ve bu risklerin gerçekleşmesi durumunda ortaya çıkabilecek kayıpların neler olduğunu tespit etmesi gerekmektedir. Bunlar tespit edildikten sonra, alınması gereken idari ve teknik tedbirler belirlenecek ve bu tedbirlerin uygulamaya geçirilmesi için bir uyum planı hazırlanacaktır.
İDARİ TEDBİRLER
- Çalışanların Eğitilmesi ve Farkındalığın Arttırılması
Veri sorumlusunun kişisel verilerin korunması amacıyla, çalışanlarına eğitimler vermesi ve bu konuda farkındalık çalışmaları yapması gerekmektedir. Bu eğitim ve farkındalık çalışmalarının birinci amacı, kişisel verilere izinsiz erişimin engellenmesi konusunda çalışanların bilgilendirilmesi ve kişisel verilere izinsiz erişim gerçekleşmesi durumunda ilk müdahalenin çalışanlar tarafından yapılmasını sağlamaktır. Örneğin, kötü amaçlı yazılım ya da siber saldırı sonucunda veri sorumlusu tarafından muhafaza edilen verilere üçüncü kişilerin izinsiz bir şekilde erişmesi durumunda, çalışanların gerekli ilk müdahaleleri yapabiliyor olması, kişisel verilerin korunması ve güvenliği açısından büyük önem teşkil etmektedir.
Veri sorumlusunun çalışanları, kişisel verilerin hukuka aykırı olarak açığa çıkmasına veya paylaşılmasına sebep olabilir. Örneğin, çalışanlar tarafından bir e-postanın dikkatsizlik, dalgınlık veya tecrübesizlik sebebiyle yanlış kişiye gönderilmesi ya da kişisel verilerin yetkisi olmayan kişilerle paylaşılması kişisel verilerin korunması açısından ihlal teşkil edecektir. Veri sorumlusu tarafından verilecek eğitimlerin ve yapılacak çalışmaların bir diğer amacı, çalışanlar tarafından sebep olunabilecek bu tür ihmallerin en aza indirgenmesidir.
Eğitim ve çalışmalara ek olarak, veri sorumlusu tarafından çalışanların kişisel verilerin korunması ile ilgili görev ve sorumlulukları belirlenmelidir. Veri sorumlusu tarafından kişisel verilerin korunması ile ilgili belirlenen politika ve prosedürlere çalışanların uymaması durumunda, çalışanlara disiplin cezası verileceğine dair iç düzenlemeler yapılabilir. Ayrıca, çalışanlarla gizlilik sözleşmeleri imzalanabilir ve bu sözleşme hükümlerinin ihlal edilmesi durumunda, çalışana karşı hukuki yollara başvurulabilir.
- Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması, güvenliğe ilişkin risklerin belirlenmesi ve bu risklere karşı gerekli ve etkin tedbirlerin alınabilmesi için, veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin belirlenmesi gerekmektedir. Ayrıca, bu politika ve prosedürler, veri sorumlusunun çalışma ve işleyişi ile bütünleştirilmeli ve çalışma ve işleyiş ile ilgili politikalara ve prosedürlere uygun hâle getirilmelidir.
İlgili politika ve prosedürlerin zamanında ve kanuna uygun bir şekilde hazırlanmaması durumunda, kişisel verilerin güvenliği ile ilgili riskler önceden belirlenemeyecek, gereken tedbirler vaktinde alınamayacak ve kişisel veriler yeterli düzeyde korunamayacaktır. Risklerin, risklere karşı alınacak tedbirlerin ve risklerin gerçekleşmesi durumunda yapılacakların belirli olduğu bir ortamda, kişisel verilerin güvenliğini ihlal eden durum daha hızlı ve etkili bir şekilde denetim altına alınacak ve bu durum çalışanların üzerindeki baskıyı azaltacaktır.
Kişisel verilerin güvenliği ile ilgili politika ve prosedürler uyarınca, düzenli olarak denetimler yapılmalı, yapılan denetimler belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra düzenli olarak denetimlere devam edilmelidir.
- İşlenen Kişisel Verilerin Azaltılması
Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumluları tarafından işlenen kişisel veriler doğru ve güncel olmalı ve ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli süre kadar muhafaza edilmelidir. Bununla birlikte, veri sorumluları tarafından mevzuata uygun olarak elde edilen ve saklanan bazı kişisel veriler zamanla güncelliğini kaybedebilmekte ya da veri sorumlusu için işlevsiz hâle gelebilmektedir. Böyle bir durumun önüne geçebilmek için, veri sorumluları tarafından muhafaza edilen kişisel verilerin belirli aralıklarla gözden geçirilmesi gerekmektedir. Güncelliğini yitiren ya da artık herhangi bir ihtiyaca veya amaca hizmet etmeyen kişisel veriler veri sorumlusu tarafından silinmeli, yok edilmeli ya da anonim hâle getirilmelidir.
Buna ek olarak, sıklıkla erişimi gerekmeyen ya da mevzuat gereğince arşiv amaçlı tutulan kişisel verilerin, veri sorumluları tarafından, işlenen verilerden farklı ve daha güvenli ortamlarda tutulması tavsiye edilmektedir.
- Veri İşleyenlerle İlişkilerin Yönetilmesi
Veri sorumluları, kişisel verilerin işlenmesi ile ilgili olan teknik ve teknolojik ihtiyaçlarını karşılamak için, gerçek veya tüzel kişilerden hizmet alabilmektedir. Kişisel Verilerin Korunması Kanunu kapsamında veri işleyen olarak adlandırılan bu gerçek veya tüzel kişiler, kişisel verilerin güvenliğinin sağlanması konusunda veri sorumluları ile birlikte müştereken sorumlu tutulmaktadır.
Veri sorumlusu ile veri işleyen arasında kişisel verilerin işlenmesi ile ilgili alınacak hizmetin hüküm ve şartlarını belirleyen yazılı bir sözleşme yapılmalıdır. Yapılan sözleşmede, işlenen kişisel veriler ile ilgili olarak veri işleyenin süresiz sır saklama yükümlülüğünün bulunduğuna dair hüküm yer almalıdır. Veri işleyen; kişisel verileri yalnızca veri sorumlusunun talimatları doğrultusunda, veri sorumlusu ile yapılan sözleşmenin amaç ve kapsamına, kişisel verilerin korunması ile ilgili mevzuata ve veri sorumlusunun kişisel veri saklama ve imha politikasına uygun olarak işlemelidir.
Kişisel Verilerin Korunması Kanununa göre, işlenen verilerin kanuni olmayan yollarla başkaları tarafından öğrenilmesi durumunda, bu durum veri sorumlusu tarafından en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirilmelidir. Veri sorumlusunun kanundan doğan bu yükümlülüğünü yerine getirebilmesi için, işlenen verilerin kanuni olmayan yollarla başkaları tarafından öğrenilmesi durumunda, bu durumun veri işleyen tarafından en kısa zamanda veri sorumlusuna bildirilmesi gereklidir. Dolayısıyla, veri işleyen ile veri sorumlusu arasında yapılacak sözleşmeye böyle bir bildirim yükümlülüğüne dair hüküm koymak yerinde olacaktır.
TEKNİK TEDBİRLER
- Siber Güvenlik
Teknolojinin gelişmesiyle birlikte gün geçtikçe değişen ve farklılaşan tehditlere karşı kişisel verilerin güvenliğinin sağlanabilmesi için, veri sorumlusu tarafından, birbirini tamamlayıcı niteliğe sahip farklı güvenlik tedbirlerinin birlikte uygulanması gerekmektedir.
Kişisel verilerin işlendiği bilişim sistemlerine, başta internet olmak üzere, ağlardan gelebilecek izinsiz erişim tehditlerine karşı alınması gereken ilk tedbir, iyi yapılandırılmış bir güvenlik duvarı ve ağ geçididir. Güvenlik duvarı, iç ve dış ağlar arasındaki ağ trafiğini önceden belirlenmiş esaslara bağlı olarak denetleyerek, ağa derinlemesine nüfuz etmemiş tehditleri engelleyebilir. Ağ geçidi ise çalışanların kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir. Güvenlik duvarı ve ağ geçidine ek olarak, bilişim sistemini kötü amaçlı yazılım ve saldırılardan korumak için, antivirüs ve anti-malware yazılımları kullanılmalı ve bu yazılımlar güncel tutulmalıdır.
Bilişim sistemlerinde hem kişisel verileri işlemek hem de diğer işlevleri yerine getirmek için yazılımlar kullanılmaktadır. Bu yazılımlarda güvenlik açıkları bulunabilmekte ve bu güvenlik açıkları geliştiricisi tarafından güncellemeler ile giderilmektedir. Bilişim sistemlerinde eski sürüm yazılımların kullanılması durumunda, geliştiricisi tarafından tespit edilen açıklar veri sorumlusu için risk teşkil edecektir. Bu sebeple kullanılan yazılımların güvenlik denetimlerinin yapılması, varsa güvenlik açıklarının giderilmesi ve yazılımların güncellenerek en güncel sürümlerinin kullanılması kişisel verilerin güvenliği için büyük öneme sahiptir. Ayrıca, güvenlik açığı oluşturmamaları için kullanılmayan ve güncel olmayan yazılımların bilişim sistemlerinden kaldırılması tavsiye edilmektedir.
Veri sorumluları, kişisel verilerin işlendiği ve muhafaza edildiği bilişim sistemlerine erişimi sınırlı tutmalı ve bu sistemlere erişim yetkileri çalışanlarının görev ve yetkilerine uygun olarak verilmelidir. Erişim yetkisine sahip olanlar kullanıcı adı ve şifre ile bilişim sistemlerine giriş yapmalı ve bu sistemlere giriş ve çıkışların günlük kayıtları (log) tutulmalıdır. Ayrıca, şifreler oluşturulurken harf, rakam ve sembol kombinasyonlarından oluşan güçlü şifreler tercih edilmeli ve kullanıcı ile ilgili bilgiler içeren ya da kolay tahmin edilebilir şifreler kullanılmamalıdır. Bunlara ek olarak, saldırılardan korunmak için şifre deneme sayısının sınırlandırılması, düzenli aralıklarla şifrelerin değiştirilmesi, çalışanlara sınırlı kullanıcıların oluşturulması ve yönetici hesapların zorunlu olmadıkça kullanılmaması ve çalışanların veri sorumlusu ile ilişiğinin kesilmesi durumunda ilgili hesapların derhâl erişime kapatılması ve silinmesi gibi ek tedbirlerin alınması gerekmektedir.
- Denetim
Kişisel verilerin güvenliğinin korunması için siber güvenlik tedbirleri alındıktan sonra, bu tedbirlerin etkili olabilmesi için gerekli denetimlerin yapılması gerekmektedir. Aksi takdirde, güvenlikteki herhangi bir zafiyetten yararlanan siber saldırılar veya kötü amaçlı yazılımlar fark edilemeyecek ve bu durum kişisel verilerin güvenliğini tehlikeye atacaktır.
Denetim kapsamında, bilişim sistemlerinde ve ağlarında hangi yazılım ve hizmetlerin çalıştığı kontrol edilmeli, bilişim ağlarında sızma ya da olağandışı bir faaliyetin olup olmadığı tespit edilmeli, kullanıcıların günlük kayıtları kontrol edilmeli ve tespit edilen güvenlik sorunları ve zafiyetleri raporlanmalıdır. Bu raporlama süreci, veri sorumlusu tarafından oluşturulan raporlama prosedürüne uygun olarak yürütülmelidir.
Bilişim sistemleri ve güvenlik yazılımları tarafından oluşturulan raporlar düzenli olarak kontrol edilmeli, bilişim sistemleri güvenlik yazılımları ile periyodik olarak taranmalı ve güvenlik sistemleri sızma testi gibi güvenlik testleri ile sınanmalıdır.
- Kişisel Verilerin Bulunduğu Ortamların Güvenliği
Kişisel verilerin işlendiği ve muhafaza edildiği bilişim sistemlerinin siber güvenliği kadar, bilişim sistemlerini oluşturan donanımların da güvenliğinin sağlanması gerekmektedir. Buna göre, bilişim sistemlerinin bulunduğu ortamların ya da kişisel veriler kağıtlara yazdırılmışsa kişisel verilerin basılı olduğu kâğıtların yangın, sel ya da hırsızlık gibi risklere karşı güvenliğinin sağlanmış olması gerekmektedir. Örneğin, veri sorumlusuna ait olan kişisel verileri içeren bir USB belleğin yanması veya çalınması durumunda, bellek içerisinde yer alan kişisel veriler tahrip olacak ya da üçüncü kişilerin eline geçecek ve bu da kişisel verilerin korunması ile ilgili ihlal teşkil edecektir.
- Bilişim Sistemlerinin Tedariki, Geliştirilmesi ve Bakımı
Veri sorumlusu, kişisel verilerin güvenliğini sağlamak için gelişen teknolojilere uygun olarak yeni bilişim sistemleri tedarik etmeli, var olan sistemleri geliştirmeli ve bu sistemlerin bakımlarını gerçekleştirmelidir. Aksi durumda, veri sorumlusu, gelişen teknolojilere ayak uyduramayacak ve bu durum kişisel verilerin güvenliği ile ilgili sorunlara yol açabilecektir.
Tedarik, geliştirme ve bakımın iki farklı boyutu bulunmaktadır. Bunlardan ilki bilişim sistemlerini oluşturan donanımlar, diğeri ise bilişim sistemlerinin çalışmasını, kişisel verilerin güvenli bir şekilde işlenmesini sağlayan yazılımlar ile ilgilidir. Buna göre, kişisel verilerin işlendiği ve muhafaza edildiği sistemlerin donanımları kişisel verilerin güvenliği sağlayacak yeterlilikte olmalı ve bu donanımlar yeterliliklerini yitirdikleri takdirde değiştirilmeli ve teknolojiye uygun olarak yükseltilmelidir. Benzer bir şekilde, ilgili yazılımlar tedarik edilmeli, ihtiyaçlara uygun olarak değiştirilmeli veya yükseltilmeli ve kullanılan yazılımlar güvenlik zafiyetine sebep olmaması için güncel tutulmalıdır.
- Kişisel Verilerin Yedeklenmesi
Kişisel veriler, herhangi bir şekilde zarar görme, çalınma, kaybolma veya yok olma ihtimaline karşı veri sorumlusu tarafından yedeklenmelidir. Örneğin, kötü amaçlı bir yazılım ya da siber saldırı sebebiyle kişisel verilerin kullanılamaz hâle gelmesi durumunda, bu yedekler kullanılarak bu kişisel veriler tekrar sağlanabilecektir. Yedeklemelerin yapılmaması ya da etkili bir yedekleme sisteminin olmaması durumunda, veri sorumlusu, zarar gören, çalınan, kaybolan veya yok olan kişisel verilere ulaşamayacak ve veri sorumlusunun kişisel verilerin korunması ile ilgili yükümlülüklerini yerine getirememesine sebep olabilecektir.
