Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

Kişisel Verileri Koruma Kurumundan:

KİŞİSEL VERİLERİ KORUMA KURULU KARARI

Karar Tarihi 31/01/2018
Karar No 2018/10
Toplantı Sıra Sayısı 2018/3
Konu Özeti Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca
Alınması Gereken Yeterli Önlemler"in görüşülmesi
Toplantıya Katılan Üyeler
Başkan Prof. Dr. Faruk BİLİR
Üyeler Cabir BİLİRGEN. Dr. Cengiz PAŞAOĞLU. Turan ARIK. Hasan AYDIN. Murat KARAKAYA, Dr. ihsan Ezel BÜYÜKSEKBAN. Vedat YILDIZ

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (l) numaralı fıkrasının (ç) bendi kapsamında hazırlanan "Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler'in ekte ver verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.
Ek: Yeterli Önlemler (2 sf.)

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, "Ozel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. " hükmü yer almaktadır.

Bu çerçevede. Kanunun 22 nci maddesinin (l) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

  • 1Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi.
  • 2Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
    • a)Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    • b)Gizlilik sözleşmelerinin yapılması,
    • c)Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    • ç)Periyodik olarak yetki kontrollerinin gerçekleştirilmesi
    • d)Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  • 3Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
    • a)Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
    • b)Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
    • c)Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    • ç)Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    • d)Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    • e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  • 4Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
    • a)Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
    • b)Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
  • 5Özel nitelikli kişisel veriler aktarılacaksa
    • a)Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
    • b)Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografık anahtarın farklı ortamda tutulması,
    • c)Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
    • ç)Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın "gizlilik dereceli belgeler” formatında gönderilmesi
  • gerekir.
  • 6Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

Mevzuat

Kişisel Verilerin Korunması Kanunu

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun gerekçeli ve değişiklikler işlenmiş tam metni

Veri Sorumluları Sicili Hakkında Yönetmelik

Kanuna göre veri sorumlularının kayıt olacağı Veri Sorumluları Sicili'ne kayıtın usul ve esaslarını düzenleyen 1.1.2018 tarihinde yürürlüğe giren yönetmelik

Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği

Kişisel Verileri Koruma Kurumu'nun teşkilatlanma yapısını düzenleyen ve 26.4.2018 tarihli Resmi Gazete'de yayınlanan yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurul tarafından yayınlanan işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kişisel Verileri Koruma Kurulu tarafından kamuoyu görüşüne sunulan yönetmelik taslağı

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (23.11.2017)

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

6563 Kanun

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

5 Kasım 2014 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe giren ve elektronik ticarette uyulması kurallarını düzenleyen kanun

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

108 Nolu Sözleşme Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin TBMM tarafından kabul edilen Türkçe metni

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Diğer Kanunlar

Kişisel veri teriminin geçtiği diğer kanunlar. Türk Ceza Kanunu, Ceza Muhakemesi Kanunu ve diğerleri.

Anayasa

Kişisel verilerin korunmasını isteme hakkı, Anayasa'nın Özel Hayatın Gizliliği'ni düzenleyen 20. maddesine 12 Eylül 2010'da referandumla eklenmiştir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı

Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kurum tarafından hazırlanan kamuoyu görüşüne sunulan yönetmelik taslağı. 28.10.2017 tarihinden önceki taslak metin.