Kişisel Verileri Koruma Kurumu (KVKK) bünyesindeki Kurul’un 31.01.2018 tarihli ve 2018/10 karar no’lu “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı, 07.03.2018 tarihli Resmi Gazete’de yayınlanmıştır.
Karar’da, KVKK’nın internet sitesinde yayınlanan Kişisel Veri Güvenliği Rehberinde belirtilen teknik ve idari tedbirlerle birlikte Karar’da sayılan önlemlerin de alınması gerektiği belirtilmiştir.
Karar’a göre, özel nitelikli kişisel veri işleyen veri sorumlularının ayrı bir politika ve prosedür belirlemesi gerekir.
Özel nitelikli kişisel verilerin işlenmesi sürecinde yer alan kişilere, bu konuda düzenli olarak özel eğitim verilmesi, bu kişilerle gizlilik sözleşmesi yapılması, yetkisi elinden alınan kişilerin yetkilerinin derhal kaldırılması, verilere erişim yetkisi olan kişilerin yetkisinin ve yetki süresinin net olarak tanımlanması, periyodik olarak yetki kontrolleri gerçekleştirilmesi gerekmektedir.
Özel nitelikli kişisel verilerin e-posta yoluyla aktarılmasında ise şifreli olarak kurumsal e-posta adresinin veya Kayıtlı Elektronik Posta (KEP) hesabının kullanılması gerekmektedir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise, ortamın niteliğine göre yeterli güvenlik önlemlerinin alınması ve yetkisiz giriş çıkışların engellenmesi sağlanmalıdır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamların elektronik ortam olması halindeyse kriptografik yöntemler ve en az iki kademeli kimlik doğrulama sistemlerinin kullanılması ve sayılan diğer güvenlik önlemlerinin de alınması gerekir.