UZAKTAN ÇALIŞMA -KİŞİSEL VERİLERİN KORUNMASI İLİŞKİSİ
Kişisel Verileri Koruma Kurumu’nun 27.03.2020
tarihli Covid-19 ile Mücadele Sürecinde
KVKK Kapsamında Bilinmesi Gerekenler başlıklı duyurusunda dikkat çekilen
önemli bir husus, evden çalışma yapılan iş yerleri ve veri güvenliğidir.
Kurum her ne kadar salgın sırasında personel evden çalışabileceğini ve kendi cihazlarını
veya iletişim ekipmanlarını kullanmasının, KVKK kapsamında bir engel olmadığını
belirtse de evden çalışma yöntemine geçen kurum ve kuruluşlar, kişisel
verilerin güvenliğinin sağlanması adına, gerekli idari ve teknik önlemleri
almalıdır.
KVKK’nın 12/c maddesi
gereği, veri sorumlusu işverenin uhdesinde bulunan verileri muhafaza etme yükümlülüğü
bulunmaktadır. Muhafaza yükümlülüğü; kişisel verinin 3. kişilerce hukuka aykırı
olarak ele geçirilmesine mâni olmayı ve eldeki verinin hukuka aykırı olarak
işlenmemesini kapsamaktadır.
Veri sorumlusu, kişisel verileri veri işleyicisi
eliyle işlemektedir. Uzaktan çalışmada veri sorumlusu işveren ile çalışanı veri
işleyicisi arasında iletişimin çoğunlukla internet vasıtası ile yapılması,
bilhassa verilerin 3.şahıslara karşı korunmasını riskli kılmaktadır.
Evde çalışan işçi (veri işleyicisi) tarafından
bu riske karşı alınacak tedbirler, veri sorumlusu işverenin yükümlülüğünü
ortadan kaldırmamaktadır. Zira işveren ve işçisi kişisel verinin korunmasından
birlikte sorumludurlar. İşverenin veri güvenliği kapsamındaki yükümlülükleri şu
şekilde özetlenebilir:
-
Verilerin 3.kişilerce
ele geçirilmesini, hukuka aykırı işlenmesini önlemek ve verilerin muhafazasını
sağlamak amacıyla idari ve teknik tedbirler almak,
-
KVKK hükümlerinin
uygulanmasını sağlamak amacıyla işyerinde gerekli denetimi yapmak ve yaptırmak,
-
Veri işleyen kişilerin
(işçilerin), işverene bağlı diğer kişi ve organların, edindikleri kişisel
verileri 3.kişilerce paylaşmaması ve hukuka aykırı olarak işlememesi için
gerekli tedbirlerin alınması, gerekirse işçiye eğitim verilmesi,
-
Kişisel verilerin hukuka
aykırı şekilde 3.kişilerce ele geçirilmesi halinde durumu veri sahibine ve
Kişisel Verileri Koruma Kurulu’na bildirme,
Kanunun getirdiği
yükümlülükler doğrultusunda; kurum duyurusunda belirtildiği üzere, uzaktan
çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler
arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi
ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin
ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü
tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin
çalışanların dikkatle bilgilendirilmesi gerekmektedir.
a) İşveren Tarafından Alınabilecek İdari Tedbirler
Uzaktan erişim ve evden çalışma durumları açısından
veri güvenliği tedbirlerinin alınması önemlidir. Evden çalışmaya geçilmesi
halinde kişisel verilerin güvenliğine dair alınması gereken tedbirler konusunda
çalışanların eğitimlerinin güncellenmesi (video ya da yazılı olarak) işverenin
sorumluluğundadır. Verilecek eğitim ile kişisel verin işlenmesi kavramı ve
sınırları, çalışanın kanuni görevleri ve yetkileri, aksi yöndeki davranışın
olası sonuçları hakkında farkındalık oluşturulmalıdır. Öte yandan iş gereği
elde edilen kişisel verinin 3.şahıslarla paylaşılmaması kuralı çalışanı; iş
ilişkisi sona erdikten sonra da bağlamaya devam edecektir. Verilecek eğitimde
bu hususun da vurgulanması yerinde olacaktır.
Çalışanların aile bireyleri
dahil hiç kimseye cihazlara erişim verilmemesi konusunda farkındalık sahibi
olması sağlanmalı, her durumda olduğu gibi alınan tüm bu önlemlerin işlevini
koruyabilmesi adına uzaktan çalışan tüm personele siber güvenlik farkındalık
eğitimi verilerek insan eli ile yapılabilecek olası bir hataya karşı önlemler
alınmalıdır.
Bununla birlikte, şirket
tarafından veri güvenliği için normal çalışma
şartlarına göre hazırlanan politikalarının ötesine geçilerek alınan ek
tedbirler ve getirilen şifreleme teknikleri, VPN gibi ağ bağlantı uygulamaları,
internet üzerinden yapılan sesli ve/veya görüntülü görüşmelerin güvenliği için
alınan tedbirler ve 3. parti yazılımların kullanımında alınması gereken
tedbirler, iş bilgisayarının şahsi işlerde şahsi bilgisayarların ise iş ile
ilgili hususlarda kullanılmamasına özen gösterilmesi gibi hususlarda
çalışanların bilgilendirilmesi faydalı olacaktır.
b) Teknik (Yazılımsal ve Donanımsal) Tedbirler
Kişisel Verileri Koruma
Kurumu tarafından yapılan 27.03.2020 tarihli duyuru ile birlikte, Ulusal Siber Olaylara Müdahale Merkezi’nin,
korona virüs salgını tedbirleri kapsamında yayınladığı Güvenli 'Uzaktan
Çalışma' Kuralları Rehberi içerisinde sistemler üzerinde maksimum bağlantı
süresi için bir zaman aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan
kuralların geçici süreliğine oluşturulması, mümkün olduğu durumlarda uzaktan
bağlantılar için "kaynak IP" kısıtlaması yapılması, erişimler için
çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınması,
risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir
kritik sisteme erişim için izin verilmediğinden emin olunması gibi teknik
önlemlerin önemi vurgulanmıştır.
Konuya ilişkin
uzmanlarca belirlenen ve sınırlı sayıda olmayıp, öznel durumun gereklerine göre
genişletilebilecek birtakım tedbirler bulunmaktadır.
Uzaktan çalışma güvenlik
prosedürlerin hazırlanması
Evden çalışma döneminde veri güvenliği açıklarına
karşılık işletmelerin; uzaktan çalışma güvenlik prosedürü hazırlamaları, hangi
uzaktan erişim biçimlerine izin verdiklerini tanımlamaları, uzaktan erişim
sunucularını nasıl yöneteceklerini belirlemeleri, sunucuları güncellemeleri ve
uzaktan çalışma cihazları için prosedürleri periyodik olarak değerlendirmeleri
önem kazanmaktadır. Şirketlerin uzaktan erişimi sürdürmek için düzenli olarak
operasyonel süreçlerini kontrol etmeleri, güvenlik kontrollerini yapmaları,
uzaktan erişim altyapısındaki anormallikleri tespit etmeleri, erişim süreçleri
ve prosedürlerini uygun şekilde takip etmeleri de kritik önem taşımaktadır.
Verilerin şifrelenmesine
özen gösterilmelidir.
KVKK kapsamında kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgiyi ifade eden kişisel verilerin ve kimlik,
pasaport, ehliyet gibi kişisel belge bilgilerinin üçüncü şahıs erişimine kapalı
ortamlarda şifreli olarak korunması önem arz etmektedir.
Ekipman Güvenliği
Çalışanların evlerindeki kişisel bilgisayarların iş amacıyla
kullanılmasının istenmesi, kişisel bilgisayarlar ofis bilgisayarları ile aynı
sistemlere sahip olmadığından siber güvenliğin sağlanması konusunda büyük bir
açık oluşturmaktadır. Uzaktan çalışma için kullanılan ekipmanlarda gerekli
güvenlik yazılımlarının yüklü olduğundan, güncel yazılımların kullanıldığından,
zararlı yazılım bulunmadığından emin olunması gerekmektedir.
Yetkilendirme
Uzaktan çalışma uygulamasında çalışanlara sadece görevi gereği ihtiyaç
duyacağı kadar, "gereken en az yetki" prensibine uygun olarak yetki
verilmeli, kritik veriler üzerindeki gereksiz erişim yetkileri kısıtlanmalıdır.
Ağ Güvenliği
Ortak wifi ağlarının
kullanımı güvenli olmamakla birlikte bu tür ağlar üzerinde çevrimiçi
faaliyetlerin izlenmesi mümkündür. Tarayıcı veya e-posta gibi uygulamaların
internete bağlanırken şifreleme kullandığından emin olunmalıdır. Doğru şekilde
korunup korunmadığı veya virüs içerip içermediği bilinemeyeceğinden cihazlara
bilinmeyen akıllı telefonlar ve USB sürücüleri gibi cihazlar asla
bağlanmamalıdır. Güvenliği sağlamak adına cihazlara kurulan anti-virüs
sistemlerinin devre dışı bırakılamaması sağlanmalıdır.
Yukarıda belirtilen teknik hususlarda;
İşverenlerin konuyla ilgili olarak bilgi teknik bölümü ile birlikte kural ve önlemlere ilişkin bir
prosedür belirlemesi, böyle bir bölümün bulunmaması halinde ise, konuyla
ilgili teknik destek alınması uygun olacaktır.
c) Kişisel
Verilerin 3. Kişilerce Ele Geçirilmesi Halinde Durumun Veri Sahibine ve Kuruma
Bildirilmesi
İşverenin veri
sorumlusu sıfatıyla muhafaza ettiği kişisel verinin 3.kişilerce hukuka aykırı
şekilde (hırsızlık, hacking, phishing gibi yöntemlerle) elde edilmesi ya da
çalışanlarca hukuka aykırı olarak 3.kişilere verilmesi halinde durumun vakit
geçirilmeksizin kuruma ve veri sahibine bildirilmesi gerekmektedir. Veri sahibine ya da kuruma yapılacak bildirim
şekil şartına tabi değil ise de bildirim yükümlülüğüne riayet edildiğinin
ispatı açısından yazılı şekilde yapılmasında yarar vardır. Kurum gerekli
gördüğü takdirde bildirim, “veri güvenliği ihlali” başlığı ile resmi internet
sitesinde yayınlanmaktadır.
Veri güvenliğini ihlal eden durumun bildirilmesi için kanunda bir süre
öngörülmüş değildir. Ancak işverenin olayı öğrendikten sonra vakit kaybetmeden
bildirim yapması gerekmektedir. KVK Kurumunun 2019/10 sayılı kararında bildirim
süresinin öğrenme tarihinden itibaren 72 saat olması gerektiği şeklinde yorum
yapılmıştır. Bu durumda işveren ihlali öğrenme tarihinden itibaren 72 saat
içinde kuruma bildirim yapmalıdır.
d)
İşverenin Veri Güvenliği
Yükümlülüklerine Uymaması Halinde Karşılaşabileceği Yaptırımlar
Kişisel verinin muhafazası,3.kişinin ele geçirmesine ve verileri hukuka
aykırı işlemeye karşı koruma, kanunda “veri güvenliğinin sağlanması” başlığı
altında düzenlenmiştir. KVKK’nın “kabahatler” başlıklı 18.maddesi uyarınca,
veri güvenliğini sağlama kapsamındaki yükümlülüklerini yerine getirmeyen
işveren, 15.000-TL ile 1.000.000-TL arasında değişen idari para cezaları ile
karşı karşıya kalabilecektir.
İşverenin gerçek ya da tüzel kişi olmasının sonuca etkisi
bulunmamaktadır. Aynı zamanda işverenin veri güvenliğini sağlama noktasındaki
yükümlülüklerinin ihlali sebebiyle veri sahipleri, maddi ya da manevi zarara
uğramaları halinde genel hükümlere göre tazminat davası açabileceklerdir. Veri
sorumlusu işverene karşı yöneltilecek tazminat davası haksız fiil sorumluluğuna
dayalı olacaktır. Kural olarak kişisel verinin ifşa olduğu ya da hukuka aykırı
işlendiğinin ve bunun neticesinde zarara uğradığını ispat külfeti veri sahibine
düşer. Veri sorumlusu işveren ise veri güvenliğinin sağlanması için gereken tüm
teknik ve idari tedbirlerin alındığını ispat etmek zorundadır.
Av. Begüm DUMAN
Av. Dorukhan KARAMAN
Av. Baturay ULU
ARAL
HUKUK BÜROSU