Özel Nitelikli Kişisel Veri İşleme Prosedürü
28/09/2019Özel Nitelikli Kişisel Verilerin İşleyecek Çalışanlara İlişkin Alınması Gereken Önlemler
Özel Nitelikli Kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konusunda düzenli olarak eğitimler verilir,
- Gizlilik sözleşmeleri yapılır,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
- Periyodik olarak yetki kontrolleri gerçekleştirilir,
- Görev değişikliği ola ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmalıdır, Veri sorumlusu tarafından kendine tahsis edilen veri envanteri iade alınır.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
- Özel nitelikli kişisel veriler toplanıp işlenecek ise, alınacak açık rıza sırasında toplanma ve işlenme sebepleri açık olarak belirtilir.
- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
- Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
- Birinci maddede sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Özel Nitelikli Kişisel Verilerin İşlendiği / Erişildiği Ortamlar
Elektronik Ortam
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar,
elektronik ortam ise,
- Verilerin kriptografik yöntemler (Gizli Anahtarlı Kriptografi, Açık Anahtarlı Kriptografi, Sayısal İmza, Şifreleme Algoritmaları, SSL (Secure Socket Layer)) kullanılarak muhafaza edilir,
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/ yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilmeli,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
Fiziksel Ortam
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,
- Özel nitelikli kişisel verilerin bulunduğu ortam niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlarına karşı) alındığından emin olunur,
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
Özel Nitelikli Kişisel Verilerin Aktarımı
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
- Taşınabilir bellek, CD, DVD, gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulur,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yönetmiyle veri aktarımı gerçekleştirilir,
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” (Üzerinde çok gizli, gizli, özel ve hizmete özel ibaresi taşıyan evrak)formatında gönderilir.