COVID-19 salgınının iş süreçlerini etkilemesi sebebiyle şirketler uzaktan çalışma/evden çalışma modeliyle faaliyet göstermeye başladı. Bu durum şirket içi ve şirket dışı görüşmelerde görüntülü konuşma imkânı tanıyan uygulamaların kullanımını önemli ölçüde artırdı. Bu uygulamaları önceden kullanmayan ya da sınırlı amaçlarla kullanan kişiler, ilk defa ya da farklı sebeplerle bu uygulamaları kullanmaya başladı. Çoğunlukla kişisel amaçlarla kullanılan bu uygulamalardan mevcut durumda iş hayatında aktif bir şekilde yararlanıldığını söylemek mümkündür. Bu durum, kişisel verilerin korunmasına ilişkin ilave tedbirlerin alınmasını gerektirerek veri koruma otoritelerinin son dönemde gündemindeki en önemli konulardan biri oldu.
Geçtiğimiz ayın başında Kişisel Verileri Koruma Kurumu uzaktan eğitim platformları hakkında bir duyuru yayınladı. Duyuruda uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiğine dikkat çekildi. Ayrıca uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmeti sağlayıcıları aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu belirtildi. Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde belirtilen şartlara uygun olarak kişisel verilerin aktarılması gerektiği hatırlatıldı.
Bunlara ek olarak uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kurul’un hazırladığı Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararının göz önünde bulundurulması gerektiği açıklandı.
Öte yandan Kurul’un duyurusunda değindiği eğitim sektörünün yanında farklı sektörler de COVID-19 salgını nedeniyle benzer programları kullanmaktadır. Gerek iş gerekse de kişisel sebeplerle kullanılan bu uygulamaların güvenli ve yeterli bir veri koruma sağlayıp sağlamadığı noktasında soru işaretleri gündeme gelmeye başlamıştır. Fransa Veri Koruma Otoritesi tarafından yapılan açıklamada uzaktan çalışma kapsamında veya en azından COVID-19 süreci kapsamında, uyulması gereken bir dizi asgari kuralları içeren belgenin şirketler tarafından düzenlenmesi ve bu belgenin iç düzenlemelere göre çalışanlara iletilmesinin uygun olacağı belirtilmiştir. Ayrıca uzaktan çalışma konusunda doğabilecek idari ve teknik sorunlara ilişkin uygun tedbirlerin alınması vurgulanmıştır.
Bu sorunu ele alan otoritelerden biri de İrlanda Veri Koruma Komisyonu’dur. Komisyon bu hizmetlerin güvenli bir şekilde kullanmasına dair bir bilgi notu yayımladı. Söz konusu yazıda hem ilgili kişiler hem şirketler için sıralanan bazı önlemler yer aldı.
İlgili kişiler için şu tavsiyelerde bulunuldu:
- Görüntülü konuşma için kullanılan cihazın işletim sistem güncellemeleri (iOS veya Android gibi), yazılım/antivirüs güncellemeleri gibi gerekli tüm güncellemelerin yapılması, özellikle bu güncellemelerin en başından beri bulunması,
- Video konferans için bilinen ve güvenilen veya işveren tarafından araştırılmış veya önerilen uygulamaların kullanılması,
- Uygulamaların gizlilik ve veri koruma politikalarının okunması, böylelikle verilerin kimlerle paylaşılacağını, nerelerde saklanacağını veya işleneceğini ve verilerin hangi amaçlar ile kullanılacağı vb. bilgilerin öğrenilmesi,
- İstenen veriler için izin verilmeden önce iyice düşünülmesi: Örneğin konum verisi için izin istenmesi halinde bu verinin gerçekten paylaşılmasının gerekli olup olmadığı noktasında değerlendirme yapılması,
- Veri korumaya ilişkin bilgilendirme yetersizse, çok fazla bilgi içeriyorsa veya cihaza erişim isteniyorsa, bu halde kişisel verileri paylaşmaktan kaçınılabileceği,
- Video konferans için kullanılan cihazın güvenli bir yerde bulunması, kameradan nelerin veya kimlerin görünebileceğine dikkat edilmesi,
- Yapılan görüntülü görüşmeler esnasında çekilen ve başkalarının resmini, sesini veya iletişim bilgilerini içeren fotoğraf veya videoların paylaşılmasından önce, kişisel verilerin korunması ve mahremiyet hakkının göz önünde bulundurulması,
- Özellikle özel nitelikli kişisel veriler içeren bir çalışma yapıldığında ekranı gören kişilerin sayısı en aza indirilmesi,
Şirketler için sıralanan önlemler ise şu şekildedir:
- Çalışanlar tarafından gizlilik ve güvenlik taahhütlerinden memnun olunan şirketle sözleşmeli sağlayıcılara ait uygulamaların kullanılması ve geçici çözümlerden kaçınılması,
- İşle ilgili video konferans için çalışanların mümkün olduğu ölçüde iş hesaplarını, iş e-posta adreslerini, iş telefon numaralarını vb. kullanmalarının sağlanması ve gerekli olmayan kişisel iletişim bilgilerinin toplanmasından kaçınılması,
- Video konferansı kullanıcılarına açık, anlaşılır ve güncel şirket politikaları ve kılavuzların sunulması, böylelikle veri ihlal riskinin en aza indirilmesi için kullanıcıların hangi kurallara uymaları gerektiğini bilmeleri,
- Erişim denetimleri (çok faktörlü kimlik doğrulama ve güçlü parolalar vb.) gibi uygun güvenlik denetimlerinin uygulanması veya kullanımının tavsiye edilmesi,
- Çalışanların veri paylaşımı ya da kullanımının sınırlandırılması,
- Video konferans hizmetlerinin iş sebebiyle kullanılması gerektiğinde, bu kapsamda hangi hizmetlerin ve nasıl kullanıldığına ilişkin tutarlı bir politikaya sahip olunması ve mümkünse VPN veya uzaktan ağ erişimi aracılığıyla sunulması,
- Şirket verilerinin, belgelerin konumunu ve bağlantısının; uygulamalarda veya cihazlarda güvenli olmayacak şekilde işlenebilme riskine binaen paylaşmaktan kaçınılması.
Son olarak farklı otoritelerce belirtilen hususların göz önünde bulundurulmasının faydalı olacağını ancak belirtilen önlemlerin sınırlı sayıda olmadığını hatırlatmak gerekmektedir. Veri işleme faaliyetinin niteliği dikkate alınarak olası bir veri ihlalinin önlenmesi adına uygun tedbirlerin alınması ve gerekli hassasiyetin gösterilmesi yerinde olacaktır.