UZAKTAN ÇALIŞMA SIRASINDA KİŞİSEL VERİLERİN KORUNMASI

COVID-19'un yayılmasını kontrol etmek ve önlemek için alınacak önlemler, tüm dünyada normalden daha fazla insanın uzaktan çalışmasını gerektirdi. Pandemi başladığı dönemde bir anlamda aniden gereklilik haline gelen uzaktan çalışma yöntemi için pek çok veri koruma otoritesi tarafından güvenlik önerileri yayınlamıştı.

Türkiye’de de bilindiği üzere Kişisel Verileri Koruma Kurumu’muz 27 Mart 2020 tarihinde yayınlamış olduğu kamu duyurusunda salgın sırasında evden çalışılan süre zarfında ne tür güvenlik önlemleri alınması gerektiğine dair hatırlatmalar yapılmıştı. Kamu duyurusunun soru cevap bölümünde, salgın sırasında personelin evden çalışabileceği ve kendi cihazlarını veya iletişim ekipmanlarını kullanabileceği belirtilmiş, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekeceği hatırlatılmıştı. Bu amaçla, uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekeceği açıklanmıştı. (Kişisel veriler açısından genel olarak alınması gereken teknik ve idari tedbirlere Kişisel Veri Güvenliği Rehberi yer vermekteydi. Özel nitelikli veriler için de ayrıca alınması gereken önlemler Kurum kararında düzenlemişti).

10 Mart 2021’de yayınlanan  Uzaktan Çalışma Yönetmeliği’nde ise verilerin korunması başlıklı 11. maddede ”İşveren; uzaktan çalışanı, işyerine ve yaptığı işe dair verilerin korunması ve paylaşımına ilişkin işletme kuralları ve ilgili mevzuat hakkında bilgilendirir ve bu verilerin korunmasına yönelik gerekli tedbirleri almalıdır” denilerek, işverenlerin, korunması gereken verinin tanım ve kapsamını ile işletme kurallarını belirlemesi gerekliliği hatırlatılmış ve işverenlere çalışanları bilgilendirmeleri yükümlülüğü getirilmişti.

Uzaktan çalışmalar halen devam ettiği ve veri güvenliği konusu güncelliğini koruduğu için bu konuda bir hatırlatma yapmak istedik. Pandemi başladığı dönemde İrlanda Veri Koruma Otoritesi uzaktan çalışmalar için bazı güvenlik önerileri yayınlamıştı. Bu önerilere bir kez daha bu vesileyle aşağıda yer veriyoruz. Elbette bunlar çalışanlar tarafından COVID-19 nedeniyle uzaktan çalışmanın zorunlu hale geldiği süreçlerde ilk etapta alınması önerilerin bazı pratik tedbirler. Veri sorumluları açısından genel teknik ve idari tedbirlere uyum için gerekli düzenlemelerin ve bilgilendirilmelerin yapılması gerekliliğinin hiçbir zaman göz ardı edilmemesi gerekir. Zira Kişisel Verileri Koruma Kurumunun duyurusunda da hatırlatıldığı üzere, çalışanlar tarafından alınacak tedbirler Kişisel Verileri Koruma Kanunu kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Aygıtlar:

• USB'ler, telefonlar, dizüstü bilgisayarlar veya tabletler gibi cihazların kaybolmamasına veya bir yerlerde unutulmamasına özellikle dikkat edin.
• Tüm cihazlarınızın, işletim sistemi güncellemeleri (iOS veya android gibi) ve yazılım / antivirüs güncellemeleri gibi gerekli güncellemelere sahip olduğuna emin olun.
• Bilgisayarınızın, laptopunuzun veya cihazınızın güvenli bir yerde kullanıldığından emin olun. Örneğin özellikle özel nitelikli kişisel verilerle çalışıyorsanız cihazınızı gözünüzün önünden ayırmayacağınız şekilde konumlandırın ve ekranı başkalarının göremediğinden emin olun.
• Herhangi bir nedenle cihazınızın yanından ayrılmak zorunda kalırsanız cihazınızı kilitleyin.
• Cihazlarınızın kullanılmadığında kapalı, kilitli olduğundan veya dikkatli bir şekilde saklandığından emin olun.
• Etkili erişim denetimlerini kullanın (çok faktörlü kimlik doğrulama ve güçlü parolalar gibi) ve cihaz çalınırsa veya yanlış yere yerleştirilirse cihaza erişimi kısıtlamak ve riski azaltmak için mümkünse şifreleyin.

• Bir cihaz kaybolduğunda veya çalındığında, mümkünse, uzaktan belleği silmek için hemen harekete geçmelisiniz.

E-postalar:

• Kurumunuzda e-posta kullanımıyla ilgili getirilen politikalara uyun.
• Kişisel veri içeren bir işle ilgili e-postalar için kişisel hesaplar yerine iş e-posta hesaplarını kullanın. Kişisel e-postanızı kullanmak zorunda kalırsanız, içeriklerin ve eklerin şifrelendiğinden emin olun ve konu satırında kişisel veya gizli verileri kullanmaktan kaçının.
• Bir e-posta göndermeden önce, özellikle de çok miktarda kişisel veri veya özel nitelikli kişisel veri içeren e-postalar için, iletiyi doğru alıcıya gönderdiğinizden mutlaka emin olun.

Bulut ve Ağ Erişimi:

• Mümkün olduğunca yalnızca kurumunuzun güvenilir ağlarını veya bulut hizmetlerini kullanın ve bulut sistemine veya ağ sistemine erişim, oturum açma ve veri paylaşımı ile ilgili tüm şirket kurallarına ve prosedürlerine uyun.
• Bulut sistemine veya ağ sistemine erişim olmadan çalışıyorsanız, yerel olarak depolanmış verilerin güvenli bir şekilde yeterince yedeklendiğinden emin olun.

Kağıt Ortamında Depolanan Kayıtlar:

• Veri korumasının yalnızca elektronik olarak depolanan veya işlenen veriler için değil, aynı zamanda dosyalama sisteminin bir parçası olan veya olması planlanan kağıt ortamında depolanan (basılmış evraklar gibi) kişisel veriler için de geçerli olduğunun unutmaması gerekir.
• Uzaktan çalıştığınız durumlarda kağıt ortamındaki evraklarla çalışıyorsanız bu kayıtların güvenliğini ve gizliliğini sağlamak için kullanılmadıklarında bir dosya dolabında veya çekmecede kilitli tutmak, artık ihtiyaç duyulmayacaksa güvenli bir şekilde imha etmek (örneğin kağıt öğütme işlemi) ve kaybolabilecekleri veya çalınabilecekleri bir yerde bırakılmadıklarından emin olmak gibi tedbirler alın.
• Özel nitelikli kişisel veri kategorileri (örn. sağlık verileri) içeren kayıtlarla ilgileniyorsanız, bunların güvenliğini ve gizliliğini sağlamak için ekstra özen göstermeli ve bu tür kayıtları sadece işinizi yapmanız için kesinlikle gerekli olması durumunda güvenli şekilde depolandıkları yerden çıkarmalısınız.

• Mümkünse, verilere iyi şekilde erişimi ve veri yönetimi uygulamalarını sürdürmek için hangi kayıtların ve dosyaların eve götürüldüğüne ilişkin yazılı bir kayıt tutmalısınız.