ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI EREKEN YETERLİ ÖNLEMLER
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 nci maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede. Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
l- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ›e sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
- özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmasını. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
- Verilerin kripto grafik yöntemler kullanılacak muhafaza edilmesi,
- Kripto grafik anahtarların güvenli ve farklı ortamlarda tutulması,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
KVKK nun 31/01/2018 tarihli 2018/10 sy kararıdır.