UZAKTAN ÇALIŞMA DÖNEMİNDE KİŞİSEL VERİ GÜVENLİĞİ

Tüm dünyayı etkileyen Covid-19 pandemisi sebebiyle ekonominin önemli aktörlerinden bir tanesi olan şirketlerin birçoğu uzaktan çalışma yöntemini benimsemiş durumdadır. Hatta bazı şirketler uzaktan çalışma yöntemini kalıcı olarak uygulama kararı almış bulunmaktadırlar. Uzaktan çalışma uygulaması kapsamında şirketler ve çalışanlarının göz önünde bulundurması gereken veri güvenliğine ilişkin birtakım yükümlülükler bulunmaktadır. Bu yükümlülükler pandemi dönemi dışında da bulunuyor olmasına rağmen, pandemi ile birlikte uzaktan çalışma yönteminin benimsenmesi ile birlikte yükümlülüklere aykırı faaliyetlerin gerçekleşmesi ihtimali artmış bulunmaktadır.

Veri güvenliğine ilişkin alınması gereken önlemlere dair yerel ve uluslararası kuruluşlar duyurular gerçekleştirmiştir. Bu yazıda veri koruma otoriteleri tarafından gerçekleştirilmiş duyurular göz önünde bulundurularak uzaktan çalışma döneminde dikkat edilmesi gereken hususlar değerlendirilecektir.

Uzaktan Çalışma Döneminde Alınabilecek Teknik ve İdari Tedbirler

Kişisel veri güvenliği konusunda Türkiye’de 07.04.2016 tarihinde yürürlüğe girmiş olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında dikkat edilmesi gereken konular bulunmaktadır. Nitekim Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler”[1] başlıklı kamuoyu duyurusu (“Duyuru”) ile çalışmalarına evden çalışmak suretiyle devam eden çalışanların ve veri sorumlusu olan şirketlerin Kanun kapsamında gerekli teknik ve idari tedbirleri alması gerektiği vurgulanmıştır.

Duyuru’da işverenler nezdinde alınması gereken önlemlere ilişkin olarak somut örnekler verilmiştir. Bu örnekler arasında çalışanın kullandığı sistem ve veri sorumlusu işverenin sistemleri arasında veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve başta kullanılan sistemleri korumakta olan güvenlik duvarları ile anti-virüs sistemlerinin güncel tutulması olmak üzere her türlü teknik tedbirin alınması gösterilmiştir. Duyuru içerisinde her ne kadar çalışanlar tarafından alınabilecek önlemler sıralanmışsa da çalışanlar tarafından alınacak önlemlerin veri sorumlusunun yükümlülüğünü ortadan kaldırmadığı belirtilmiştir. Bu kapsamda veri sorumluları, çalışanları ile iyi bir iletişim kurmalı ve alınabilecek tedbirlerin alınıp alınmadığını tespit etmek amacıyla çalışma gerçekleştirmelidir.

Uzaktan çalışma yöntemi yalnızca Türkiye’de değil, diğer ülkelerin ulusal veri koruma otoritelerinin de gündemine gelmiş ve ilgili veri koruma otoriteleri bu konuda çeşitli duyurular yayımlamışlardır. Örneğin İngiliz Veri Koruma Otoritesi (Information Commissioner’s Office “IOC”) işverenler için evden çalışma uygulaması kapsamında alınabilecek güvenlik önlemlerine dair kontrol listesi[2] yayımlamıştır. Kontrol listesi ile her ne kadar bağlayıcı kurallar ortaya koyulmamış olsa da işverenlerin veri güvenliği konusunda göz önünde bulundurabilecekleri ve tavsiye niteliğinde olan birtakım önlemler listelenmiştir. IOC tarafından duyurulan liste içerisinde genel prensiplere ek olarak Türkçe’ye “kendi cihazınızı getirin” olarak tercüme edilebilecek olan bring your own device (“BYOD”), bulut saklama ortamları, uzak masaüstü, uzak uygulamalar ve e-mailler başlıkları özelinde kontrol listeleri yer almaktadır. Genel prensipler aşağıda sıralandığı üzere temel olarak dört başlık altında toplanmıştır:

1. Uzaktan çalışan işçiler için açık politikalar, prosedürler ve rehber bulunup bulunmadığı. Bu dokümanların, kişisel verilere erişim, kişisel verilerin işlenmesi ve imha edilmesi gibi konuları içerip içermediği.
2. Uzaktan erişim çözümünün en güncel sürümünün kullanılıp kullanılmadığı.
3. İşçilere benzersiz ve karmaşık şifreler kullanmalarının hatırlatılıp hatırlatılmadığı.
4. Çok faktörlü kimlik doğrulamanın mevcudiyetinin kontrol edilip edilmediği ve mümkün olan yerlerde yapılandırılıp yapılandırılmadığı.

IOC tarafından işverenlere sunulan kontrol listesine ek olarak çalışanlar için de on madde ile dikkate alınması gereken kriterler duyurulmuştur[3]:

1. Kuruluşun politikalarının, prosedürlerinin ve rehberliğinin takip edilmesi.
2. Kişisel verileri işlemek için yalnızca onaylanmış teknolojilerin kullanılması.
3. Görüşme yaparken veya bir ekran kullanırken gizliliğin dikkate alınması.
4. Yazıcıdan alınan çıktılara dikkat edilmesi.
5. Kuruluşun verilerinin çalışana ait kişisel verilerle karıştırılmaması.
6. Yazıcıların ve diğer cihazların mesai bitiminde mümkünse kilitlenmesi.
7. E-postalardaki veya diğer mesajlardaki web bağlantılarının ve eklerinin açılması konusunda ekstra tedbirli olunması.
8. Güçlü parolalar kullanılması.
9. Güvenli iletişim kurulması.
10. Yazılımın güncel tutulması.

Ulusal ve uluslararası kuruluşların veri güvenliğine ilişkin tavsiye niteliğindeki duyurular göz önünde bulundurulduğunda veri güvenliği ihlallerinin asgariye indirilmesi adına dikkat edilebilecek hususları aşağıdakiler olarak sıralayabiliriz:

1. Evdeki ile ofisteki sistemler arasındaki veri trafiğinin, dosya paylaşımının güvenli iletişim protokolleriyle gerçekleştirilmesi,
2. Uzaktan erişim VPN ile sağlanacaksa tüm kullanıcıların bu imkana sahip olduğunun teyit edilmesi, (Uzaktan erişimle bir program aracılığıyla ofis bilgisayarına bağlanılmasındansa VPN ile ofisteki sisteme bağlanılması güvenlik ve operasyonel kolaylık açısından tercih edilmektedir.)
3. Eğitim ve toplantılar için ortak bir kurumsal bir iletişim platformunun seçilmesi ve herkesin kaydının tamamlanabilmesi için bilgilendirme videosu paylaşılması, platformu herkesin kullanabildiğinin kontrolünün sağlanması,
4. Anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması,
5. Çalışanların evden çalışırken almaları gereken önlemlere ilişkin içerik paylaşımı gerçekleştirilmesi,
6. Uzaktan erişim matrislerinin hazırlanması,
7. Şifrelerin güncelliğinin sağlanması,
8. Kişisel veri güvenliği ihlallerinin derhal raporlanması,
9. Kurum içi online denetimler, farkındalık çalışmaları yürütülmesi,
10. Sağlık verisi gibi özel nitelikli kişisel veri paylaşımında gizliliğe dikkat edilmesi,
11. LinkedIn, Instagram, Twitter gibi sosyal medya platformları ve WhatsApp, Skype, Zoom gibi iletişim araçları kullanılırken paylaşımların içeriğindeki kişilerin veya katılımcıların mahremiyetine saygılı bir veri işleme faaliyeti yürütülmesi,
12. Evden çalışma kurallarının ve yaptırımlarının belirlenerek çalışanlarla paylaşılması.

Uzaktan Çalışma Döneminde Gerçekleşen Kişisel Veri İhlalleri

Avrupa Birliği Veri Koruma Tüzüğü’nün 4/12 maddesi[4] kapsamında kişisel verilerin sehven yetkisiz olarak açıklanması durumu güvenlik ihlali olarak kabul edilmiş ve Kurul’un hazırladığı ihlal başvuru formunda sehven yapılan paylaşımlara bir bölüm ayrılmıştır. Bu iki bilgi birlikte değerlendirildiğinde bir e-posta sehven de olsa hatalı kişilere gönderilmişse, e-posta ekine alıcıya ait olmayan kişisel veri içeren belgeler eklenmişse, toplu görüntülü görüşmelerde bir kişiye gönderilmesi gereken belge herkes ile paylaşılmışsa ve bu işlemlerde kişisel verilerin bulunması halinde ihlal bildiriminde bulunması gerekecektir. Kişisel verileri paylaşılan kişilere de açıklayıcı bir bildirim yapılmalıdır. İlgili kişilere yapılacak bildirim mail aracılığıyla gönderilebilir. Kurul’a yapılacak bildirimin ise https://ihlalbildirim.kvkk.gov.tr/Home/IhlalBildirim adresinden gerçekleştirilmesi mümkündür. Ayrıca, bu hatayı gerçekleştiren kişinin uyarılması da idari tedbirler arasında yer almaktadır.

Çalışan suiistimalleri sebebiyle şirket içerisindeki kişisel verilerin şirket dışarısına aktarılması halinde de işveren şirket veri sorumlusu sıfatıyla sorumlu olacağından yukarıda belirtilen bildirim usulünün izlenmesi gerekecektir.

Kurum tarafından kişisel veri ihlallerinin meydana gelmesi halinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen 24.01.2019 tarih ve 2019/10 sayılı Karar ile “Kanun’un 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine” karar verilmiştir.

Kurum tarafından yapılan Duyuru’da uzaktan çalışma döneminde gerçekleşen kişisel veri ihlallerine ilişkin olarak açıklamalar yapılmıştır. Kişisel veri ihlali özelindeki değerlendirmeler uyarınca veri sorumlularının farklı operasyonel uygulamalara başladığı (uzaktan çalışma uygulaması vb.) göz önüne alındığında kişisel veri ihlallerine ilişkin bildirimler değerlendirilirken içinde bulunulan olağanüstü koşulların göz önünde bulundurulacağı ifade edilmiştir. Örneğin pandemi koşulları nedeniyle ihlalin öğrenildiği tarihten itibaren 72 saat içerisinde yapılamayan veri ihlali bildirimleri makul bir gerekçenin sunulması halinde süresi içinde gerçekleştirilmiş kabul edilebilecektir. Fakat her veri ihlali bildirimi konusunda diğer unsurlar da göz önünde bulundurularak farklı değerlendirmeler yapılabileceğini belirtmek isteriz.

2020 yılı içerisinde gerçekleşen veri güvenliği ihlali neticesinde, veri sorumlusunun 27.037 TL ile 1.802.640 TL tutarları arasında idari para cezası riski bulunmaktadır. Ancak sehven yapılan gönderim hemen fark edilmiş, etkilenen kişi sayısı az, fark edildikten sonra süresinde bildirimler yapılmış ve teknik idari tedbirler alınmışsa idari para cezasının tutarı düşük olacaktır.

Sonuç

Uzaktan çalışma sistemi özellikle Covid-19 nedeniyle pandemi sürecinde birçok şirket tarafından uygulamaya alınmış bulunmaktadır. Hatta şirketlerin bir kısmı bu uygulamayı kalıcı olarak hayata geçirmeyi kararlaştırmış bulunmaktadır. Uzaktan çalışma uygulaması kapsamında hem işverenler hem de işçiler tarafından kişisel verilerin güvenliğinin sağlanması konusunda ekstra önlemler alınmalıdır. Birçok ülkenin ulusal veri koruma otoriteleri de bu konu özelinde alınabilecek önlemlere ilişkin duyurular yayımlamıştır. Alınabilecek önlemlere ek olarak Kurum tarafından pandemi şartları göz önünde bulundurularak veri ihlali bildirimlerine ilişkin uyulması gereken süreler konusunda değerlendirme yapılırken içinde bulunulan olağanüstü koşulların gözetileceği belirtilmiş olmasına rağmen mümkün olduğu kadar sürelere uyum sağlanması önem taşımaktadır.

[1] https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-, Erişim Tarihi: 7.11.2020.

[2] https://ico.org.uk/for-organisations/working-from-home/working-from-home-security-checklists-for-employers/, Erişim Tarihi: 7.11.2020.

[3] https://ico.org.uk/for-organisations/working-from-home/how-do-i-work-from-home-securely/, Erişim Tarihi: 7.11.2020.

[4] GPDR m.4/12 “Kişisel veri ihlali’ iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir.”

Yazarlar:  Av.Burak Emre Çetin ve Av. Bilgesu Demirel – Özay Hukuk Bürosu

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.