COVID-19 Salgını Sürecinde KVKK

COVID-19 salgını kapsamında; ICO ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından uzaktan çalışma, konum verisinin işlenmesi ile kişilerin hareketliliklerinin izlenmesi ve uzaktan eğitim platformlarının kullanılmasına ilişkin duyurular yayımlanmıştır:

1. COVID-19 Sürecinde Uzaktan Çalışma ve KVKK (ICO Duyurusu)

COVID-19 salgını kapsamında pek çok işyerinin uzaktan çalışma yöntemine geçiş sağladığı görülmektedir. Önceden planlanmamış bu süreçte uzaktan çalışmaya olan talep arttıkça, IT çözümleri ve KVKK’ya (Kişisel Verilerin Korunması Kanunu) ilişkin yükümlülüklerin yeniden gözden geçirilmesi gerekmektedir. Uzaktan çalışma halinde çalışanlar, işverenler tarafından kendilerine özgülenmiş bilgisayar vb. elektronik cihazları kullanabildikleri gibi, sahip oldukları kişisel elektronik cihazları da kullanabilmektedirler. Uzaktan çalışma durumunda da çalışanın verileri işlenmeye devam ettiğinden, bu süreçte de kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin veri sorumlusu (işveren) tarafından alınması gerekmektedir. Veri güvenliğine ilişkin yükümlülüklerin alınmaması halinde ise olası bir veri ihlali halinde idari para cezaları gündeme gelebilecektir.

a. Kullanılacak Elektronik Cihazlar

Öncelikle işletmelerdeki veri güvenliğinizin korunmaya devam edebilmesi için, anti virüs sistemleri ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve bu kapsamda çalışanların bilgilendirilmesi gerekmektedir. Uzaktan çalışma uygulamasında en güvenli ancak maliyetli olan opsiyon şirket tarafından çalışanlara sağlanan elektronik aletler ile olacaktır. Eğer çalışanlara elektronik cihaz sağlanıyorsa, cihazların sürekli güncellendiğinden, veri kaybını önleyici teknolojiler kullanıldığından ve uzaktan bağlantı otantikasyonunun (authentication) güvenli bir şekilde yapıldığından emin olunması gerekmektedir.

Maliyet açısından uygun olan ancak bazı riskleri de beraberinde getiren bir diğer opsiyon çalışanların şirket yazılımına bağlantı kurarak çalışanların kendi cihazlarını kullanmasıdır. Bu takdirde eğer mümkünse çoklu otantikasyon sistemlerinin kullanılması, şahıs verileri ile şirket verilerinin ayrı tutulması ve cihaz güvenliğini sağlayan önlemlerin (güncel yazılım sistemlerinin kullanılması) alınması gerekmektedir.

Çalışanların, şirket yazılımına bağlı olmadan kendi bilgisayarlarını kullandıkları olasılık ise en riskli opsiyon olarak görülmektedir.  Daha önceden uzaktan çalışma ile ilgili olarak herhangi bir yatırımı olmayan şirketlerin, çalışanlarını güncel sistemlerin kullanılması, veri güvenliği, anti virüs yazılımları kullanmaları konularında bilgilendirmesi önerilir. Bu kapsamda güvenli ağların (wifi) da kullanılması önem arz etmektedir.

b. E-posta

Çalışanların, e-mail kullanımında karşılaşabilecekleri phishing (oltalama) olarak bilinen ve genellikle reklam, tanıtım, indirim vb. cezbedici unsurlarla çeşitli linklere yönlendirerek e-mail hesabı içeriklerine ve ilgili cihazdaki verilere erişilmesine neden olan e-maillerin açılmaması konusunda gerekmektedir. Dış kaynaklardan gelen e-maillerin alınmasını engelleyen yöntemler kullanılabilir. Bu kapsamda kişisel verilerin depolanması ve transferi konusunda, çalışanların kendi kişisel hesaplarını değil, yalnıza şirket hesaplarını kullanmaları gerektiği hususunda bilgilendirilmesi gerekir.

c. Bulut(Cloud) Depolama

Şirket olarak bulut depolama yöntemlerini kullanarak, çalışanların uzaktan verilere erişimi sağlanabilir. Bu sayede çalışanların kendi depolama veya mesajlaşma sistemlerini kullanmasının da önüne geçilebilir. Böyle bir uygulama yapılacak ise, bulut depolamaya kullanıcı adı ve şifre ile giriş yapılması sağlanmalı ve sadece kilit personele tüm veriye erişebilme imkanı tanınmalıdır. Diğer çalışanlar yalnızca yazma, okuma, editleme ve silme imkanlarına erişebilmelilerdir.

d. Uzaktan Masaüstü Erişimi

Hackerlar veya siber saldırı yapan kişiler özellikle yönetici hesapları gibi öncelikli hesaplara yönelik olarak uzaktan erişim uygulamalarına giriş yapmaya çalışabilirler. Bu kapsamda yönetici hesapları için, belli bir süre sonra çevrimdışı (offline) olacak şekilde düzenleme yapabilirsiniz. Yalnızca ihtiyacı olan personelinize uzaktan erişim imkanı sağlamanız da yine veri koruması için önemli olacaktır. Uzun dönem çözümler için ise VPN gibi teknolojileri kullanmanız önerilebilir.

Uzaktan erişim sağlayan uygulamalar sayesinde, çalışanlarınızın işyerindeki bilgisayarlarında yer alan dosyalara erişim imkanı olabilecektir. Bu uygulamayı yaparken, şifrelerin herhangi bir dokümanda liste halinde bulunmaması ve bu uygulamanın Powershell veya Command Prompt gibi Windows yönetici araçlarını içermemesi gerekmektedir.

2. COVID-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerini İzlenmesi Hakkında Bilinmesi Gerekenler (Kurul Duyurusu)

Dünya genelinde yayılma gösteren COVID-19 salgını ile mücadelede karantina, sosyal mesafe ve sosyal izolasyon gibi tedbirlerin yanı sıra, teknolojik imkanlardan yararlanmak suretiyle hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilebilmesi ve gerekli önlemlerin alınabilmesi gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri de işlenebilmektedir. Bu kapsamda bilindiği üzere Sağlık Bakanlığı tarafından “Hayat Eve Sığar” isimli bir aplikasyon (uygulama) geliştirilmiştir. Kurul, salgın hastalık durumlarında toplum sağlığının korunması ve böylelikle kamu düzeni ve güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca böyle bir yönteme başvurulabilmesini yasal olarak mümkün olduğunu belirtmiştir.

İlgili kişinin konum verisi, KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında bir kişisel veridir.; KVKK’nın 28/1 maddesinde ise; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. COVİD-19 salgını kapsamında konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda  yetkili kamu kurum ve kuruluşları tarafından veri işlenmesi, KVKK’nın 28/1 maddesindeki istisna kapsamında kalmaktadır bu sebeple konum takibinin kişisel veri mevzuatına uygun olduğu Kurul tarafından ayrıca belirtilmiştir. Ancak bu verilerin üçüncü kişiler tarafından ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceğinden, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi gerekeceği hatırlatılmıştır.

3. Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusu (Kurul Duyurusu)

COVID-19 salgını sürecinde, okulların uzaktan eğitime geçmesi ile birlikte, çeşitli uzaktan eğitim platformları kullanılmaya başlanmıştır.  Kullanılan uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verileri işlenebilmektedir. Bu kapsamda Kurul, “Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusu”  başlığı altında duyuru yayınlamış ve  uzaktan eğitim sürecinde işlenen kişisel verilerin KVKK’nın 5. maddesinde belirtilen işleme şartları ve/veya 6. maddesinde belirtilen biyometrik verilerin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartlarına uygun olarak işlenmesi gerektiğini belirtmiştir. Ayrıca uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu gözlemlendiğini belirten Kurul, veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, KVKK’nın 9. maddesinde yer alan şartlara uygun olmayan aktarımların veri ihlali anlamına gelebileceğine dikkat çekmiştir. Bu kapsamda Kurulun “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararı’nın göz önünde bulundurulması gerektiği vurgulanmıştır.