Covid-19 SALGINI KAPSAMINDA 27001 ve KVKK SÜREÇLERİNİN YÖNETİMİ

COVID-19 SALGINI İLE KİŞİSEL VERİ VE BİLGİ GÜVENLİĞİ İLİŞKİSİ

Covid-19 virüsünün tüm dünyayı etkilemesiyle birlikte ilgili organizasyonlar (kurum, firma, şirket, kuruluş) gerekli önlemlerin alınması konusunda çalışmalarını başlatmış ve birçoğu uzaktan bağlantı ile çalışmalarına devam etmektedir.

Çalışmaların uzaktan erişim metotlarıyla yapılması, hem organizasyonlara ait bilgilere hem de çalışanlar veya üçüncü kişilerin sağlık verileri de dahil olmak üzere kişisel ve özel nitelikli kişisel verilerine yetkisiz şekilde ulaşma riskini ortaya çıkmaktadır.

Organizasyonlar, bu önlemleri alırken hem 3. taraflar ile yapmış oldukları işlerin ve işlemlerin güvenliğini sağlamalı hem de kişilerin hak ve özgürlüklerine doğrudan temas edecek ihlallerden kaçınmalıdır.

UZAKTAN ÇALIŞMA KAPSAMINDA İDARİ VE TEKNİK TEDBİRLER

• İşletmeler;
  Uzaktan Erişim için protokoller belirlenmeli, politikalarda tanımlanmalı, yeterli teknik alt yapının kurulu olduğundan emin olunmalı ve erişim sağlayacak çalışanlara duyurularak elde ettiklerine ve onayladıklarına dair kanıt oluşturulmalıdır.
• Sunucu ve kullanıcılar arasındaki bağlantıların güvenli olmasını sağlamalı,
• Yetki erişimlerin tanımlı, gizlilik kriterlerine göre uygunluğunu kontrol etmeli ve gözden geçirmelidir.
• Uzaktan erişim sağlayan kullanıcı hareketlerinin kesinlikle loglanması ve izlenmesi sağlanmalıdır. (Kaydetme, silme, paylaşma vs)
• Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.
• Uzaktan çalışma kapsamında şirket cihazları yada iletişim imkanları yetersiz kaldığında ilgili taraflar ile iletişimin sağlanması için çalışanların şahsi kişisel iletişim bilgilerinin ve cihaz bilgilerinin paylaşımı gerekliliği doğacaktır. 6698 sayılı KVKK kapsamında açık rıza süreci işletilmelidir.
• Firma, çalışanlarına ait bilgisayar, cep telefonu, ev telefonu, şahsi mail vs. kullanımı söz konusu olduğunda bilgi ve kişisel verilerin ifşa olmaması için 27001 bilgi güvenliği ve 6698 sayılı KVKK kapsamında gerekli teknik ve idari tedbirleri almakla yükümlü ve sorumludur. (Güvenlik duvarı, anti virüs yazılımlar, işlem ve paylaşım log kayıtları, yedekleme, uzaktan çalışma politika onayları, ek gizlilik taahhütnameleri vs)
• Uzaktan Çalışma kapsamı ile ilgili kesinlikle risk analizi yapılmalı, yüksek riskler ve tehdit unsurları için gerekli faaliyet planları devreye alınmalıdır.
• Yedekleme sürecinin iş sürekliliğini etkilemeyecek düzeyde güvenli yönetilmesi sağlanmalıdır.

ZİYARETÇİLER ve ÇALIŞANLARIN GİRİŞ ÇIKIŞ KAYITLARI

İşletmelerde çalışma devam ettirilecekse;

• Dışardan temasın minimum seviyeye indirilmesi sağlanmalıdır.
• Çalışanların veya dışardan gelecek olan ilgili kişilerin uyacakları kurallar, içeri alım şartları belirlenmeli, duyurulmalıdır.
• Eğer dışardan ziyaretçi kabul etmek zorunda isek (örneğin acil kurye, ürün taşıyan sevkiyat çalışanları ve onların yakınları vs.) covid-19 hastalığına ait semptomları/belirtileri gösterip göstermediği, yakın zamanda yurt dışına çıkılıp çıkılmadığı, kişinin ateşinin ölçülerek sağlık verisi vs. gibi şirketin yetkilendirdiği çalışanlar tarafından alınması, kayıt edilmesi ve güvenli muhafaza edilmesi sağlanmalıdır.
  (Sağlık verilerinin mümkünse doktor tarafından alınması, değilse yetkili 1 veya 2 çalışan tarafından sürecin yönetilmesi, alınan verilerin anonim (yetkili dışında tespit edilemeyen) yada çok gizli kapsamda muhafaza edilmesi sağlanmalıdır.
• Alınan veriler kesinlikle Covid-19 ile bağlantılı olmalı ve minimize edilerek işlenmeli, kaydedilmelidir. Paylaşım protokolleri belirlenmeli ve aydınlatma yükümlülüğü yerine getirilmelidir.
• Alınan veriler için kesinlikle açık rıza süreci işletilmeli.
• Gerekiyorsa kısa anlaşılır farkındalık/bilgilendirme eğitimleri verilmelidir.
• Bilgilendirme ve açık rızalarda veri tanımları, işleme, aktarma, muhafaza ve imha şartları tanımlanmış olmalıdır. (Sadece ateşi olanların ve yurtdışından gelenlerin kayıt altına alınmasını ve saklama sürelerinin 6 ayı geçmemesini özellikle tavsiye ediyoruz.)
• Çalışanlar ve Ziyaretçiler dışında, etkileşimde olunan yakınlarının koronavirüs semptomlarına yönelik de önlemler veya şüpheli durumlarda bilgi alınabilir. Bu kapsamda da yine verilerin 6698 sayılı KVKK’ya ve ilgili diğer yasalara göre uygun şekilde alınması sağlanmalıdır. Mümkünse veriler maskeli muhafaza edilmelidir. (Ah******* Ve*****)

6698 sayılı KVKK KAPSAMINDA COVİD-19 KAYITLARI

Virüs tespit edilmesi durumunda bilgilendirme/paylaşım pandemi nedeniyle yapılmalıdır. Paylaşımın ilgili kişileri ifşa etmeden yapılması, resmi kurum ve kuruluşlara ise gerekli gizlilik şartlarını sağladıktan sonra bilgi verilmesi sağlanmalıdır.

ÖRNEK “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”

COVİD – 19 kapsamında KVK Kurumunun paylaşmış olduğu KAMUOYU DUYURUSU’ na aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

ONLİNE EĞİTİM VE DANIŞMANLIKLARIMIZ

Cardea ailesi olarak, genel katılıma açık ve firmalara özel eğitim hizmetlerimizi web ortamında sizlerle buluşturmaya ve Cardea Akademi e-Learning programlarını hizmetinize sunmaya karar verdik;

• Firmanıza özel online eğitimler,
• Firmanıza özel online danışmanlıklar,
• Genel katılıma açık online eğitimler ve
• Canlı İnteraktif Eğitim & Online Video Kayıtları gibi seçenekleri hazırladık.

Firmanıza özel veya Genel Katılıma Açık Online Eğitimler hakkında bilgi almak için web sitemizden (www.cardeacert.com) veya aşağıdaki iletişim adreslerinden herhangi biri ile iletişime geçmeniz yeterli olacaktır;
[email protected]
[email protected]