Skip to Content

No: 3

Tarih: 14/03/2018

Konu:

Kişisel Verileri Koruma Kurulu’nun İlke Kararı (Veri sorumlularınca alınması gereken önlemler)


Kişisel Verileri Koruma Kurulu’nun 31.01.2018 Tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı ilke kararına ilişkin özet aşağıda bilgilerinize sunulmaktadır

6698 sayılı Kişisel Verilerin Korunması Kanun’unun (“Kanun”) 6. Maddesinin 4. Fıkrası “özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır” hükmü yer almaktadır.

Kurul Kanun’un 22. Maddesinin 1. Fıkrasının (ç) ve (e) bentleri uyarınca veri sorumlularının özel nitelikli kişisel verileri işlerken alması gereken yeterli önlemlerin neler olduğunu aşağıda özetlendiği şekilde belirlemiştir:

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net olarak belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  2. Özel nitelikli verilerin işlenmesi süreçlerinde yer alan çalışanlara (i) ilgili kanun ve yönetmelikler özelinde özel nitelikli kişisel veri güvenliği konularına ilişkin düzenli eğitimlerin verilmesi, (ii) gizlilik sözleşmelerinin yapılması, (iii) verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net olarak tanımlanması, (iv) periyodik yetki kontrollerinin yapılması, (v) görev değişikliği veya işten ayrılan kişiye tahsis edilmiş olan yetkilerin derhal kaldırılması,
  3. Özel nitelikli kişisel verilerin işlendiği, erişildiği veya muhafaza edildiği ortamlar elektronik ortam ise (i) verilerin kriptografik yöntemler ile muhafaza edilmesi, (ii) kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, (iii) veriler üzerindeki işlem kayıtlarının güvenli olarak loglanması, (iv) verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin periyodik olarak takip edilmesi, veri güvenliğine ilişkin testlerin düzenli olarak yapılması veya yaptırılması ve test sonuçlarının kayıt altına alınması, (v) verilere yazılım aracılığı ile erişim sağlanıyor ise kullanıcı yetkilendirmelerinin yapılması ve yazılıma ilişkin testlerin düzenli olarak yapılması veya yaptırılması ve test sonuçlarının kayıt altına alınması, (vi) verilere uzaktan erişim gerekiyor ise en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  4. Özel nitelikli kişisel verilerin işlendiği, erişildiği veya muhafaza edildiği ortamlar fiziksel ortam ise (i) özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre gerekli önlemlerin alınması (hırsızlık, yangın, su baskını vb.), (ii) ilgili ortama yetkisiz giriş çıkışların önlenmesi,
  5. Özel nitelikli kişisel veriler aktarılacak ise (i) e-posta ile gönderilecek verilerin kurumsal e-posta adresi ya da Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, (ii) taşınabilir bellek, CD, DVD gibi ortamlar yolu ile aktarılıyor ise kriptografik yöntemle şifreleme yapılması ve anahtarın farklı ortamda tutulması, (iii) farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyor ise sunucular arasında VPN kurulması veya sFTP yolu ile veri aktarımı yapılması, (iv) kağıt ortamı yolu ile aktarım yapılacak ise evrakın çalınma, kaybolma ya da yetkisiz kişiler tarafından görülmesi gibi riskleri bertaraf etmek adına evrakın “gizlilik derecesi belgeler” formatında gönderilmesi veya gerekli önlemlerin alınması gerekmektedir.


Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu




Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.

 Baskıya yolla

Başa Dön

İletişim:

Ahmet Sağlı
ahmet.sagli@tr.ey.com
(212) 315 30 00

Ceylan Necipoğlu
ceylan.necipoglu@tr.ey.com
(212) 315 30 00