6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde düzenlemesini bulan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Resmi Gazete’de yayımlandı. Düzenleme asgari önlemleri tanımladı ancak yeterli olup olmadığı uygulama ile ortaya çıkacak.

6698 sayılı Kanunda “Özel Nitelikli Kişisel Veriler”, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile genetik ve biyometrik verileri olarak tanımlanmıştı. Özel nitelikli kişisel verilerin işlenme şartları da genel nitelikli kabul edebileceğimiz kişisel verilerin işlenme şartlarından daha hassas kriterlere tabi tutulmuştur.Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bunun yanında 6. Madde “Özel Nitelikli Kişisel Verilerin İşlenmesinde ayrıca Kurul tarafından belirlenen Yeterli Önlemlerin” alınmasının şart olduğunu düzenlemiştir. Bu anlamda Kişisel Verileri Koruma Kurulunun yeterli önlemlerden kastettiğinin ne olduğu düne kadar belli değildi ancak bu konuda tahminler yürütebilirdik.

Bugün Resmi Gazetede yeterli önlemlerin ne olduğu yayımlandı. Buna göre veri sorumluları özel nitelikli kişisel verileri işlerken aşağıda yer alan şu önlemleri almalıdır:

- Özel nitelikli kişisel veriler işlenirken sürdürülebilir, yönetilebilir ayrı bir politika belirlenmesi,

- Özel nitelikli kişisel verilerin işlenmesine yönelik düzenli olarak eğitimler verilmesi, gizlilik söleşmelerinin yapılması, verilere erişim hakkı olan kullanıcılarının görev sürelerinin ve yetkilerinin kapsamlı olarak belirlenmesi, periyodik olarak kontrollerin gerçekleşmesi, görev değişikliği olan kullanıcılarının yetkilerinin derhal kaldırılması, veri sorumlusu tarafından kendisine teslim edilen envanterin geri alınması,

- Elektronik ortamda muhafaza edilen özel nitelikli kişisel verilerin kriptografik yöntemlerle muhafaza edilmesi, kriptografik anahtarların güvenli ortamlarda tutulması, veriler üzerindeki tüm hareketlerin loglanması, verilerin bulunduğu ortamlarda güvenlik güncellemelerinin sürekli gerçekleştirilmesi, güvenliğin test edilmesi ve test sonuçlarının kayıt altına alınması, yazılımların güvenliğinin kontrol ettirilmesi ve testlerinin düzenli olarak yaptırılıp kayıt altına alınması, verilere uzaktan erişim gerekiyor ise en az iki kademeli kimlik doğrulama yaptırılması,

- Fiziksel ortamlarda saklanan özel nitelikli kişisel veriler ile ilgili tüm fiziksel ve ortamsal güvenliğin alınması, güvenliğin sağlanması ve teknik kontrollerinin yaptırılması,

- Verilerin aktarılması sırasında, mail yolu ile gönderilecek özel nitelikli kişisel verilerin KEP kullanılarak gönderilmesi, taşınabilir belleklerde muhafaza edilecek verilerin kriptografik yöntemle muhafaza edilmesi ve şifrelerinin de farklı ortamlarda tutulması,

- Farklı fiziksel ortamlarda bulunan kullanıcılar arasında ayrı VPN’ler olusturularak verilerin aktarımının sağlanması,

- Evrağın fiziken gönderileceği durumlarda yetkisiz kişiler tarafından görülmesine karşı tüm önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmesi.

Bunun yanında Kişisel Verileri Koruma Kurumunun internet sitesinde yer alan “Kişisel Veri Güvenliği Rehberi” de koruma yöntemlerinde dikkate alınacaktır.

“Yeterli Önlemler” yeterince yeterli mi uygulamada anlaşılacaktır. Bu konuda şimdiden eleştirel yaklaşımın erken olduğunu düşünüyorum. Bazı önemli noktalar var. Kısaca değinirsek:

- Kişisel Verilerin Korunması Konusunda düzenli olarak eğitimler verilmesi düzenlemesinde eğitimden önce veri sorumlusu olarak atayacağımız kişilerin belli şartlara haiz olmasının sağlanması ve bu şartlar arasında da veri sorumlusunun kişiliğinin de en az teknik özelliklerinin yüksek olmasından daha da önemli olduğunun göz önünde tutulmasının gerekliliğidir. Bu konuda ne kadar eğitim verilirse verilsin, özel nitelikli verilerin korunmasının yüksek düzeyde önemli olduğunu kavrayamayan bir veri sorumlusunun görevini kötüye kullanması pek muhtemeldir. Eğitimi verecek kuruluşların belirlenmesinde de oldukça titiz davranmalı ve bu kuruluşlarla da verilerin paylaşımında gizlilik sözleşmesi yapılmalıdır. Özellikle ülkemizde eğitim veren kuruluşların bazılarının tamamen maddi kaygılarla hareket ettiği ve alanında uzman olmayan kişilerinde eğitim verdiği gözlemlendiğinde burada kastedilen eğitimin gizlilik kapsamında, ulusal çıkarlar gözetilerek ve amacı karşılayacak şekilde belirlenmesi gerekmektedir.

- Görevden ayrılan veri sorumlularının ya da yetki devri yapılan çalışanların kullanmış olduğu şifrelerin ve kendilerine teslim edilen veri sicillerinin iade alınması ve şifre iptal işlemlerinin derhal gerçekleşmesi konusunda oldukça hassas davranılmalıdır. Kurumlar arasında işten ayrılanların ya da başka bir göreve atananların bildirimi konusunda gecikmelerin önüne geçilmesi ve anında sistemden iptallerin gerçekleşmesi gerekir. Kanun düzenlemesi gereği işten ayrılma durumlarında da verilerin gizliliğinin korunması yükümlülüğü devam ediyor olsa da bu anlamda önlemlerin yüksek düzeyde alınması gereklidir.

- Kriptografik yöntemler konusunda yazılım mühendislerimizin üst düzey kriptografi yöntemlerini gözetmesi ve gerektiğinde bu konuda ulusal yazılım tarzı geliştirmemiz gerektiğini belirtmeliyim. Bu anlamda uluslar arası eğitim elbette önemli ancak yazılım konusunda ulusal karakterlerin geliştirilmesi verilerin korunması düzeyini arttıracaktır.

- Verilerin saklandığı dataların ya da bilgisayarların gerektiğinde internet bağlantılarının olmaması ya da internet ağ bağlantı kontrollerinin yüksek düzeyde sağlanması gereklidir. Verilerin saklandığı datanın ya da bilgisayarların fiziki ortam dışına çıkarılması ya da taşınabilir olması durumunda kablosuz ağ bağlantılarının kesilmiş olması ya da taşınabilir özelliğinin ortadan kaldırılması bir önlem olarak göz önünde tutulabilir.

- Yapay zeka robotlarının veri sorumlusu olduğu ya da veri sorumlusu yardımcısı olduğu durumlar ve robotların verileri çoğaltma / sahte veri üretme ya da bu konuda sahte yazılım üretme kabiliyetleri üzerinde durulmalı ve yeterli önlemler içerisinde bu konunun da değerlendirilmesi gerekmektedir.

- Verilerin kağıt yolu ile aktarımı yolunun en son çare olarak görülmesi ya da kağıda aktarılan verilerin de özel bir kriptografi ile sadece yetkilisi tarafından çözülebilir nitelikte olması sağlanmalıdır.