Yeni Gelişme

Kişisel Verileri Koruma Kurulu'nun ("Kurul"), "özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler" konulu kararı ("Karar"), 7 Mart 2018 tarihli Resmi Gazete'de yayınlanmıştır.

Karar Ne Anlama Geliyor? 

Karar, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun"), "özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır" hükmüne dayanmaktadır.  

Özel nitelikli kişisel kategorilerine, Kanun'un 6. maddesinde sınırlı sayıda olarak yer verilmiştir: "kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri."

Karar uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler aşağıdaki gibidir:

  • Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik birtakım idari ve teknik tedbirlerin alınması (eğitim verilmesi, gizlilik sözleşmeleri yapılması, yetki kontrolleri gerçekleştirilmesi vs.),
  • Özel nitelikli kişisel verilerin işlendiği ortamlar elektronik ortam ise, Karar'da bulunan kriptografik yöntemlerle muhafaza etme, yazılımların güvenlik testlerini düzenli olarak yaptırma gibi güvenlik önlemlerinin alınması,
  • Özel nitelikli kişisel verilerin işlendiği ortamlar fiziksel ortam ise, fiziksel güvenlik önlemlerinin alınması,
  • Özel nitelikli kişisel verilerin aktarılması halinde, belirli kurallara uyulması (şifreli olarak kurumsal e-posta adresiyle aktarma, sunucular arasında VPN kurma vs.).

Sonuç

Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası öngörülmektedir. Ayrıca, Kurul'un önünde şu anda bulunan şikayetlerin büyük çoğunluğunu veri güvenliği ihlal iddialarının oluşturduğu bilinmektedir.

Özellikle kişisel veri işleme faaliyetleri yoğunluklu olarak özel nitelikli kişisel veri işleme içeren şirketlerin, Kişisel Veri Güvenliği Rehberi'nde belirtilen güvenlik önlemlerine ek olarak,  özel nitelikli kişisel verilere istinaden Karar'da yer alan tüm önlemleri almaları gerekmektedir.