Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli tedbirlere değinmeden önce veri sorumlusu – veri işleyen- kişisel veri – özel nitelikli kişisel veri vb. kavramları kısaca tanımlamakta fayda bulunmakta.
Yukarıda bahsedilen tanımlara yer verdikten sonra ise özellikle Kişisel Verileri Koruma Kurulu tarafından özel nitelikli kişisel verilerin işlenmesi konusunda alınmış kararı paylaşacağız.
Kişisel Veri, Veri Sorumlusu ve Veri İşleyen
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3.maddesinde Kanunun uygulanmasına dair kavramların tanımlarına yer verilmiştir. İlgili yasa maddesinde “Kişisel Veri” “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Dolayısı ile amir yasa hükmü gereği tüzel kişilere ait bir kişisel verinin varlığından söz etmek mümkün değildir.
“Veri Sorumlusu” tabiri aynı hüküm uyarınca “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi “ ifade etmektedir.
“Veri İşleyen” ise “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak kabul edilir.
Bu tanımlamalar kapsamında her ne kadar tüzel kişilere ait bilgiler yasada kişisel veri olarak tanımlanmamış olsa da tüzel kişiler de veri sorumlusu ve/veya veriyi işleyen olarak yasanın kapsamı içine alınmıştır.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket ayrı bir tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin işledikleri kişisel veriler bakımından ayrı ayrı veri sorumlusu olması mümkündür. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Özel Nitelikli Kişisel Veriler
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 6.maddesinde özel nitelikli kişisel veriler düzenlenmiştir. Kanunda özel nitelikli kişisel veriler sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Özel nitelikli kişisel veriler, öğrenilmesi halinde veri sahibi hakkında ayrımcılık yapılmasına veya başkaca bir mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler veri sahibinin açık rızası olmaksızın işlenemez.
Ancak bazı durumlarda özel nitelikli kişisel verilen, veri sahibinin açık rızası olmaksızın işlenmesi de mümkündür.
Lakin, yasa koyucu özel nitelikli kişisel veriler arasında bu konuda bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
Kanuna göre, özel nitelikli kişisel verilerin, veri sahibinin açık rızası olmaksızın, işlenmesi aşağıdaki hallerde mümkündür:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası olmaksızın işlenebilir.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen gerekli önlemlerin alınması şarttır. Bu hususta yeterli önlemleri alma görevi esas olarak kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olan veri sorumlusunun yükümlülüğündedir.
Keza 6698 sayılı KVKK m.6/4 ‘de de özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması gerektiği belirtilmiştir.
Ayrıca Kanunda, “Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.” de Kişisel Verileri Koruma Kurulunun görev ve yetkileri arasında sayılmıştır.
Yasada verilen görev ve yetki çerçevesinde de Kişisel Verileri Koruma Kurulu 31/01/2018 tarihli ve 2018/10 sayılı kararı ile özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemleri asgari olarak belirlemiştir.
İlgili karara göre özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler aşağıdaki gibidir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmesi gerekir.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
- Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmalıdır. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, gerekmektedir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
- Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
- Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması, gerekmektedir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
- Bu ortamların fiziksel güvenliğinin sağlanarak, yetkisiz giriş-çıkışların engellenmesi, gerekir.
- Özel nitelikli kişisel veriler aktarılacaksa;
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
- ç. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi, gerekir.
- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.