e-Safe Zirveleri

Siber uzay var oldukça, siber güvenlikte var olacaktır. e-Safe Ulusal Güvenlik Etkinlikleri olarak, Siber Güvenlik ve Kişisel Verileri Koruma Sektörlerinin paydaşları olan; üreticiler, satıcılar, kamu, üniversite ve STK’ları bir araya getirerek sektörün sağlıklı gelişmesine katkıda bulunmaya çalışıyoruz. Bu bağlamda e-Safe, yerel sorunlara odaklanmış bir Ulusal Güvenlik Etkinlikleri platformudur.

Özel nitelikli kişisel verilerin işlenmesinde alınması gereken önlemler


Özel nitelikli kişisel verilerin işlenmesinde alınması gereken önlemler

5’inci e-Safe Kişisel Verileri Koruma Zirvesi, bu yıl ‘’Dijital Çağda Kişisel Verilerin Korunması’’ teması ile 17 Mayıs 2022 tarihinde Kişisel Verileri Koruma Kurumu (KVKK) binasında gerçekleştirildi. Zirve’de Türkiye’nin yakın gelecekte sürekli gündemine girecek olan kişisel verilerin korunmasıyla ilgili yapılması gerekenler, alanında uzman 17 konuşmacı tarafından değerlendirildi.

Özel nitelikli kişisel verilerin Kişisel Verileri Koruma Kanunu’na göre; kişilerin ırk bilgisi, etnik kökeni, din ve mezhebi, siyasi düşüncesi, felsefi inancı, kılık kıyafeti, dernek, vakıf ve sendika üyeliği, ceza mahkumiyeti, genetik bilgiler, biyometrik bilgiler, sağlık bilgileri ve cinsel hayata ilişkin bilgiler olarak nitelendiğini dile getiren KVKK Uzmanı Yasin Zengin, sözlerine şöyle devam etti:

“Özel nitelikli kişisel verilerin açık rıza olmadan işlenmesi Kanunumuzca yasaktır. Ancak sağlık ve cinsel hayat haricindeki diğer veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğunu vurgulayan Zengin, özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemleri de şu şekilde sıraladı:

• “Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi çok önemlidir.

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi gerekir. Bir diğeri çalışanlar ile gizlilik sözleşmesi yapılması gerekir. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması da önemlidir. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi gerekir. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendine tahsis edilen envanterin iade alınması gerekir.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği ortamlar, elektronik ortam ise, verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi gerekir. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerekir. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması gerekir. Güvenlik güncellemelerinin sürekli takip edilesi, gerekli güvenlik testlerinin düzenli olarak yapılması veya yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması gereklidir. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemlerinin sağlanması önemlidir.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması gerekir. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekmektedir.

• Özel nitelikli kişisel veriler aktarılacak ise, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması gerekir. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması gerekir. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerekir. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmesi gerekir.”

VİDEO: 427
BAŞLIK: Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Önlemler
KONUŞMACI: Yasin Zengin – KVKK Uzmanı
ETKİNLİK: 5. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 17 Mayıs 2022, Salı
YER: Kişisel Verileri Koruma Kurumu – Ankara