ANKARA (AA) - Kişisel Verileri Koruma Kurulu'nun (KVKK) "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"e ilişkin kararı, Resmi Gazete'nin bugünkü sayısında yayımlandı.

"Kişinin sağlık bilgileri, etnik kökeni, biyometrik, genetik verileri, sendika, vakıf üyeliği" gibi özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerektiğine vurgu yapılan kararda, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik şu ifadeler yer aldı:

"Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması gerekir."

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamların elektronik ortam olması durumunda alınacak önlemlere ilişkin şunlar kaydedildi:

"Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması."

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar fiziksel ortam ise "Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık ve benzeri durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi" gerektiği ifade edildi.

Kararda, özel nitelikli kişisel veriler aktarılacaksa alınacak önlemler şöyle sıralandı:

"Verilerin e-posta yoluyla aktarılması gerekiyor. Şifreli olarak kurumsal e-posta adresiyle veya kayıtlı elektronik posta hesabı kullanılarak aktarılması, taşınabilir bellek, CD, DVD, gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yönetimiyle veri aktarımının gerçekleştirilmesi, verilen kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın 'gizlilik dereceli belgeler' formatında gönderilmesi gerekir."

AA