COVID-19, bilinen adıyla korona virüsü 2019 yılı Aralık ayında Çin Halk Cumhuriyeti'nin Wuhan şehrinde ilk kez görülmesinden bu yana dünya çapında hızla yayılmış ve kısa süre içerisinde tüm dünyayı etkisi altına almıştır. Küresel bir krize sebep olan salgın, 11 Mart 2020 tarihi itibariyle Dünya Sağlık Örgütü tarafından "pandemi" olarak nitelendirilmiş ve duyurulmuştur. Bunun üzerine birçok ülke yönetimi; kara, deniz ve havayolu uçuşlarını durdurmuş; sınır kapılarını kapatmış ve sektörel bazda çoğu işyerinin geçici olarak kapatılması kararı almıştır. Sayılan sebeplerle birlikte iş hayatı çok kısa zaman içerisinde olumsuz olarak etkilenmiş; birçok işletme başta kamu sağlığı olmak üzere çalışanlarının ve ailelerinin sağlığını düşünerek "uzaktan çalışma", "evden çalışma" kararı almış ve bu durum birçok hukuk dalı bakımından bazı meselelerin tartışılması ve değerlendirilmesi ihtiyacını doğurmuştur.

Bu makalemiz ile korona virüsünün iş dünyasında yarattığı olumsuz etkiler sonucu evden veya uzaktan çalışma uygulamasını hayata geçirmek zorunda kalan şirket çalışan ve/veya yöneticilerinin gerçekleştirdiği video-konferans toplantılarının ve yararlandıkları bulut hizmetlerinin veri güvenliği boyutunun, kişisel verilerin korunması mevzuatı kapsamında değerlendirilmesi ve tartışılması amaçlanmaktadır.

KVKK KAPSAMINDA GÜVENLİK TEDBİRLERİ

Tüm dünyayı etkisi altına alan COVID-19 salgını birçok şirketin "evden çalışma", "uzaktan çalışma" yöntemini seçmesine neden olurken finans sektöründen turizm ve perakende sektörüne kadar "beyaz yaka" olarak tabir edilen çoğu şirket çalışanları ve/veya yöneticilerinin, şirket faaliyetleri ile yönetim ve idaresinin aksamaması amacıyla toplantılarını çeşitli video-konferans uygulama ve yazılımları aracılığıyla gerçekleştirdiği; şirket bilgi, belge ve verilerine erişimin ise şirket bilgi işlem altyapılarının bulut hizmeti sunucuları aracılığıyla internet tabanlı olarak özel şifreler vasıtasıyla kullanıcıların erişimine açılması, kullanıcılar arasında paylaşılması ve aktarılması yoluyla sağlandığı görülmektedir.

Bu doğrultuda, şirket çalışan ve/veya yöneticilerinin gerçekleştirmiş olduğu video-konferans toplantları esnasında ses ve video kaydı ile masaüstü belge ve evrak paylaşımı vasıtasıyla, şirket çalışanları, pay sahipleri, müşteriler gibi -sayılanlar dahil fakat bunlarla sınırlı olmamak üzere- kimliği belirli ve/veya belirlenebilir gerçek kişilere ilişkin veriler, ilgili hizmeti sunan yazılım ve/veya uygulama şirketinin sunucusunda -veri merkezi yurtdışında olduğunda dolaylı olarak yurtdışına aktarımı da içerecek şekilde- saklanmakta ve üçüncü kişilerle paylaşılabilmektedir.

Diğer taraftan, uzaktan çalışma uygulamaları ile birlikte şirket veri merkezine ortak erişimin mümkün olmaması nedeniyle şirketler bulut hizmet sağlayıcıları ile sözleşmeler akdederek şirket bilgi ve belgelerini, bunların barındırıldığı web tabanlı bir sistem üzerinden kullanıcılarının ortak erişimine açabilmektedir. Hal böyle iken veri sorumluları; uyumluluk, gizlilik, şeffaflık konusunda güçlü taahhütlere sahip, güçlü siber güvenlik önlemleri almış hizmet sağlayıcıları ile çalışmak durumundadır

Zira; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun veri güvenliğine ilişkin 12. (onikinci) maddesi gereğince veri sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri işleyen tarafından işlenmesi halinde, belirtilen tedbirlerin alınması bakımından veri sorumlusu ve veri işleyen müştereken sorumludur.

1. Bulut Hizmeti Sağlayıcıları

Kişisel Verileri Koruma Kurumu tarafından yayınlanan "Veri Sorumlusu ve Veri İşleyen Rehberi"1 uyarınca bulut hizmeti sağlayıcıları, veri sorumlusu ile aralarındaki sözleşme gereği sadece veri sorumlusunun belirlediği verileri işleme ve veriyi kendi amaçları için kullanamama unsurları ele alınarak veri işleyen olarak nitelendirilmiştir. Dolayısıyla, veri sorumluları ile bulut hizmet sağlayıcıları yukarıda belirtilen tedbirlerin alınması bakımından müştereken sorumludur.

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir.2

Riskleri bertaraf etmek amacıyla veri sorumlusu ve veri işleyen; (i) bulut hizmeti sağlayıcısının aldığı güvenlik önlemlerinin yeterli ve uygun olup olmadığını değerlendirmek, (ii) bulutta depolanan kişisel verilere erişim için iki kademeli kimlik doğrulama yöntemi gibi şifreleme yöntemlerini kullanmak, (iii) bulutta yer alan kişisel verilerin depolanması ve kriptografik yollarla şifrelenmesi ve bulut ortamına bu şekilde aktarılması sağlamak ve (iv) bulut hizmet ilişkisi sona erdiğinde bulutta depolanan kişisel verilerin tekrar kullanımına yarayabilecek tüm sistemlerin yok edilmesini sağlamak gibi veri güvenliği aksiyonlarını birlikte alabilecektir.

2. Video-Konferans Toplantıları vb. Hizmet Sağlayıcıları

COVID-19 salgının etkisi altına aldığı iş dünyasında, ticari hayatın gerekliliklerini yerine getirmek, şirket yönetim ve idaresini aksatmamak ve sürdürülebilirliği sağlamak amacıyla şirket yönetici ve çalışanları, toplantılarını sayıca çoklu katılıma uygun video-konferans toplantı imkânı sunan yazılım ve/veya uygulamalar aracılığıyla gerçekleştirmedir. İnternet üzerinden iletişim ve telefon görüşmesi yapılabilmesine olanak sağlayan bu yazılım ve/veya uygulamalar aracılığıyla ses, görüntü, mesaj iletimi ve masaüstü evrak paylaşımı da yapılabilmektedir. Sektör değerlendirildiğinde muhtelif yazılım ve uygulama olduğu görülmekte ve geçici süreliğine de olsa bu uygulamalar aracılığıyla veri sorumlusu tarafından gerçekleştirilecek tüm veri işleme (işleme, muhafaza etme, aktarma) faaliyetlerinin kişisel verilerin korunması mevzuatına uygun olarak gerçekleştirilmesi gerekmektedir. Dolayısıyla, güvenlik, uyumluluk, gizlilik ve şeffaflık konusunda güçlü taahhütlere sahip, güçlü siber güvenlik önlemleri kullanarak kullanıcı verilerini güvenli bir şekilde koruyan uygulama ve yazılımlar tercih edilmelidir.

Yukarıda belirtilenlere ek olarak, toplantı katılımcılarının kullandığı ağ bakımından siber güvenliğin sağlanmış olması, bu konuda gerekli teknik tedbirlerin alınmış olması (güvenlik duvarı, ağ geçidi, antivirüs programları gibi) kullanıcıların maruz kaldığı siber saldırılar sonucu oluşabilecek yetkisiz erişimler sonucu video-konferans toplantısında paylaşılan üçüncü kişilere ilişkin bilgi ve belgelere hukuka aykırı erişim önlemiş olacaktır.

Son olarak değinilmesi gereken bir husus ise internet tabanlı iletişim ve telefon-video görüşmesi hizmeti sunan bu yazılımlar ve/veya uygulamaların veri merkezinin ve sunucularının yurtdışında bulunması ve böylelikle kişisel verilerin yurtdışına aktarılması durumunun gündeme gelmesidir. Kişisel Verileri Koruma Kurulu'nun 31.05.2019 tarih ve 2019/157 sayılı kararı ile;

"(...) Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) "Kişisel verilerin yurt dışına aktarılması" başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;

"Server"ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine"

karar verilerek açıkça belirtildiği üzere, gerek veri işleme merkezi gerek saklama merkezi dünyanın çeşitli yerlerinde bulunan firmalar aracılığıyla veri sorumlusu tarafından gerçek kişilere ait kişisel veriler işlenmesi durumunda bu veriler yurtdışına aktarılmış sayılacağından KVKK'nın "Yurtdışına Aktarım" başlıklı 9. (dokuzuncu) maddesi mutlak suretle işletilmelidir. Hal böyle iken; veri işleme ve saklama merkezi yurtdışında bulunan internet tabanlı tele-video konferans uygulama ve yazılımları ile gerçekleştirilen toplantılarda paylaşılan ses, görüntü, mesaj ve her türlü bilgi ve belgenin gerçek kişilere ait kişisel verileri içermesi durumunda kanunun yurtdışına aktarıma ilişkin belirtilen maddesi uyarınca gerekli şart ve koşullar veri sorumlusu tarafından sağlanmalıdır.

Footnotes

1. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf

2. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.