Turkey: KVKK Kapsamında Fiziksel Mekân Güvenliğinin Sağlanması

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler, veri işleme faaliyetlerine ilişkin olarak idari ve teknik tedbirleri almakla yükümlüdür. Bu idari tedbirlerden biri kişisel veri içeren ortamların güvenliğinin sağlanmasıdır. Kişisel verilerin tutulduğu dijital ortamların güvenliğini sağlamak için alınacak teknik önlemlerin yanı sıra, cihazlarda bulunan veya kâğıt ortamında saklanan verileri korumak için fiziksel mekân güvenliğinin sağlanması elzemdir. Fiziksel mekân güvenliğini sağlamak için belirli izleme yöntemleri kullanılabilir; çeşitli veri kayıt sistemleri kurgulanabilir. Bu koruma önleminin alınması sırasında veri işleme faaliyetinde bulunan tarafın diğer idari ve teknik tedbirleri ihmal etmemesi gerekmektedir. Sınırlı sayıda olmamakla birlikte fiziksel mekân güvenliğini sağlamak üzere alınabilecek bazı örnekler aşağıda sıralanmıştır:

1. Güvenlik Kameraları

Kişisel veri içeren ortamlara giriş ve çıkışların kontrol altına alınması, bu ortamların 24 saat güvenlik kamerası ile izlenmesi fiziksel mekân güvenliğini sağlayacak yöntemlerden biridir. Bu izleme şirket girişinde olabileceği gibi iki kat korunmayı gerektiren verilerin bulunduğu alanlarda ayrıca izleme yapılması şeklinde de gerçekleştirilebilir.

Güvenlik kamerası ile izleme yapılması durumunda, güvenlik kamerası bulunan alanlarda uyarı (aydınlatma) görsellerinin bulunması; detaylı olarak hazırlanmış aydınlatma metinlerinin hazır olması ve kişilerin bu metinler aracılığı ile bilgilendirilmesi; fiziksel mekân güvenliğinin temini için kaydedilen görüntülerin başka bir amaçla kullanılmaması ve makul bir süre içinde görüntülerin imha edilmesi hususlarına dikkat edilmelidir.

2. Ziyaretçi Kaydı

Kişisel veri içeren ortamlara giriş ve çıkışların kontrol altına alınmasının yöntemlerinden biri de iş yerinde çalışanlar haricinde bulunan kişilerin kayıtlarını tutmaktır. Gelen kişiler dijital veya fiziksel olarak oluşturulan bir veri kayıt sistemi ile kayıt altına alınabilir. Böylece fiziksel mekânda saklanan verilere ilişkin bir veri ihlalinin gerçekleşmesi durumunda (örneğin bir cihaz hırsızlığı olduğu durumda), ilgili tarihlerde kimlerin iş yerinde bulunduğunun tespiti kolayca yapılabilir.

Bu önlemin alınması sırasında veri işleme faaliyetinde bulunan kişilerin dikkat etmesi gereken en önemli husus bu verinin ölçülü şekilde işlenmesini sağlamaktır. Örneğin, ziyaretçi kartı uygulaması bulunan durumda, ziyaretçilerin kimlikleri rehin tutulmamalı; beyan edilen ismin teyidi amacıyla kimlik kontrolü yapıldıktan sonra ilgili kişiye iade edilmelidir. Ayrıca ziyaretçi defterleri veya diğer kayıt ortamları makul sürenin geçmesinden sonra imha edilmelidir.

3. Şirket İçinde veya Dışında Ek Güvenlik Önlemlerinin Sağlanması

Özel nitelikli kişisel veriler veya şirket içerisinde gizlilik derecesi yüksek olan veriler korunurken ek güvenlik önlemleri alınabilir. Örneğin, özel nitelikli kişisel veriler kâğıt ortamında saklanıyorsa kilitli dolaplarda saklanmalı ve bu dolaplara erişim yalnızca belirli kişilerde olmalıdır. Bununla birlikte, server odası, insan kaynakları departmanı, Ar-Ge bölümü gibi şirket nezdinde önem arz eden veya özel nitelikli kişisel veri içeren ortamlara giriş çıkışlar için erişim yetkisi olan kişilere şifre tanımlanması, kart okuyucu sistemin kurulması veya parmak izi okuyucu sistemlerin kurulması gibi yöntemler izlenebilir. Burada alınacak önlem ile korunacak verinin mahiyeti karşılaştırılmalı ve ölçülülük ilkesine riayet edilmelidir.

Bununla birlikte, verinin korunma yöntemi, özel nitelikli kişisel veri işlemek ise yani ilgili kişilerin biyometrik verisini işlemek ise, kişilerin açık rızasının alınması ve buna yönelik politika ve prosedürlerin işletilmesi gerekmektedir.

4. Yangın/Sel Gibi Afetlere Dayanıklı Ortamların Sağlanması

Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması da alınması gereken önlemlerdendir. Şöyle ki, kâğıt ortamında saklanan veriler için yangına veya çarpmaya dayanıklı dolapların kullanılması önerilmektedir. Ayrıca sistem odasının her açıdan yangına dayanıklı olması önemli bilgi güvenliği unsurlarından biridir.

Bununla birlikte, teknik tedbirlerden olan kişisel verilerin yedeklenmesi tedbirine bağlı olarak, yedeklerin doğal afetlere karşı korunmasını sağlamak üzere, iş yerinden farklı bir lokasyonda hatta farklı bir şehirde tutulması alınabilecek en üst düzey önlemlerden biri olacaktır. Yedeklerin tutulduğu lokasyonlardaki alanların da fiziksel mekân güvenliği temin edilmelidir.

Özet olarak, doğal afetlere karşı verilerin korunmasını sağlamak için alınacak önlemler de sınırlı sayıda değildir ve en üst düzeyde önlemin alınması verinin niteliğine göre önem arz etmektedir.

5. Pandemi Döneminde Evden Çalışma Sırasında Dikkat Edilmesi Gereken Diğer Hususlar

Birçok şirket tarafından zorunlu olarak evden çalışma uygulamasına geçilen pandemi döneminde, alınması gereken birçok tedbir olacaktır; zira bu dönemde kişisel verilerin korunmasını en çok zorlaştıran durum, verilerin şirket dışına çıkarılmasının zaruri hâle gelmiş olmasıdır. Şirket cihazlarının iş yeri dışına çıkarılması, çalışanların kişisel cihazlarını kullanmak durumunda kalmaları veya fiziksel dokümanların birçok gerekçe ile çalışanların/yetkililerin ev adreslerine gönderilmesi bu riskleri doğurmaktadır.

Çalışanların bu tür durumlar için dikkat etmesi gereken hususlar özetle; hırsızlık, kaza gibi tehlikelere karşı şirket cihazlarının ve kâğıt ortamındaki verilerin korunaklı alanlarda tutulması; evde yaşayan diğer kişilerin şirket cihazlarını kullanmasının engellenmesi veya kişisel cihaz kullanılıyorsa bir başkasının cihazı kullanması gerektiğinde tüm şirket hesaplarından çıkış yapılması; şirket adına çalışanın evine gelen kargoların takibinin iyi yapılması ve bu hususta bilgi kayıplarının önüne geçilmesidir. Bu tedbirler sınırlı sayıda değildir ve genel olarak kişilerin evden çalışırken de iş yerindeki gibi en üst düzeyde koruma önlemlerini sağlaması önem arz etmektedir.

Bunun yanında evden çalışma sırasında teknik önlemlerin alınması da gerekmekte; idari ve teknik tüm önlemler bütüncül olarak ele alınmalıdır. Konuyla ilgili daha ayrıntılı bilgi edinmek için KVKK&GDPR Mart Bülteni'mizde yer alan Evden Çalışma Sürecinde Dikkat Edilmesi Gereken Teknik Hususlar adlı makaleden ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.