Kaynak: Resmi Gazete
(Kanunum resmi kaynak değildir; kullanıcılar sunulan yürürlük ve metin bilgilerini resmi kaynaklardan teyid etmelidir.)

KİŞİSEL VERİLERİ KORUMA KURULU KARARI

 
Karar Tarihi: 31/01/2018
Karar No: 2018/10
Toplantı Sıra Sayısı: 2018/3
Konu Özeti: ''Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca
Alınması Gereken Yeterli Önlemler'in görüşülmesi.
 
Toplantıya Katılan Üyeler
Başkan: Prof. Dr. Faruk BİLİR
Üyeler: Cabir BİLİRGEN, Dr. Cengiz PAŞAOGLU, Turan ARIK, Haşan
AYDİN, Murat KARAKAYA, Dr. İhsan Ezel BÜYÜKSEKBAN, Vedat
YILDIZ.
 
 
Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç)
bendi kapsamında hazırlanan "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması
Gereken Yeterli Önlemler" in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy
birliği ile karar verilmiştir.
 
Ek: Yeterli Önlemler (2 sf.)
 
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
 
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı
fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen
yeterli önlemlerin alınması şarttır. ” hükmü yer almaktadır.
 
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca
özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler
Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
 
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli,
yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
 
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
 
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında
düzenli olarak eğitimler verilmesi,
 
b) Gizlilik sözleşmelerinin yapılması,
 
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net
olarak tanımlanması,
 
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
 
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal
kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen
envanterin iade alınması,
 
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar,
elektronik ortam ise
 
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
 
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
 
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak
loglanması,
 
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi,
gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt
altına alınması,
 
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı
yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak
yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
 
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin
sağlanması,
 
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar,
fiziksel ortam ise
 
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik
önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı)
alındığından emin olunması,
 
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
 
5- Özel nitelikli kişisel veriler aktarılacaksa
 
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta
adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
 
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik
yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
 
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular
arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
 
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya
da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması
ve evrakın “gizlilik dereceli belgeler” formatmda gönderilmesi
gerekir.
 
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kuruntunun internet
sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik
düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Maddeye git
    Dosyalar
    
    
    RESMİ GAZETE METNİ
    Resmi Gazete Metni (Kaynak: Resmi Gazete resmi web sitesi)
    İlgili mevzuat yürürlükte değilse, bu ek/formları da yürürlükte olmayabilir.

    Copyright © 2018. Kanunum bir Karakullukçu Dan. A.Ş. (Şirket) servisidir. “Kanunum” Şirket’in tescilli markasıdır ve tüm hakları saklıdır. Kanunum bir resmi kaynak veya hukuk danışmanlık servisi değildir. Kullanıcılar Hizmet Şartlarını okumuş ve kabul etmiş sayılırlar. Adres: Aytar Cad. 28/4 Levent, 34330, İstanbul