KVKK metinlerinde "ekran filigranı" ifadesi geçmez. Buna rağmen, Kişisel Verileri Koruma Kurulu kararları incelendiğinde, ekran düzeyinde veri sızıntısının önlenmesi giderek standart bir beklenti haline gelmiştir. Bu yazıda yasal çerçeveyi, denetimde sorulan tipik soruları ve uygulama önerilerini sade bir şekilde derledik.
KVKK Madde 12 - Veri Güvenliğine İlişkin Yükümlülükler
KVKK'nın 12. maddesi, veri sorumlusunun yükümlülüklerini şu şekilde tanımlar:
"Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır."
Bu maddedeki üç anahtar kavramı, ekran filigranı bağlamında ele alalım:
- "Hukuka aykırı erişimi önleme": Bir çalışanın ekrandaki müşteri bilgilerini telefonuyla fotoğraflayıp üçüncü taraflara iletmesi, hukuka aykırı erişim ve ifşadır. Bu kanalı izlenebilir hale getirmeden "her türlü teknik tedbiri aldım" demek zorlaşır.
- "Uygun güvenlik düzeyi": Sektörünüze, veri hacminize ve risk profilinize uygun düzey. Hassas veri işleyen kurumlar için görsel veri koruma artık standart beklentidir.
- "Gerekli her türlü teknik tedbir": Mahkeme ve KVK Kurulu kararlarında bu ifade, "sektörde makul olarak beklenen kontrolleri uygulama" anlamında yorumlanmaktadır.
KVKK denetiminde tipik sorular
KVKK denetimlerinde veya ihbar üzerine yapılan incelemelerde aşağıdaki sorular sıkça gündeme gelir:
- Çalışanlarınız hassas verileri ekranda görüntülerken, görsel ifşayı önlemek için hangi kontrolleri uyguluyorsunuz?
- Ekran görüntüsü alımını teknik olarak kısıtlıyor musunuz? Kısıtlamaları bypass eden olaylar nasıl tespit ediliyor?
- Uzak masaüstü oturumlarında veri görselleştirildiğinde, izlenebilirlik nasıl sağlanıyor?
- Mobil cihazlarla (BYOD) hassas verilere erişim varsa, görsel ifşa riskine karşı kontrolünüz var mı?
Bu sorulara "ekran filigranı çözümümüz var, kullanıcı bazlı dinamik metin yerleştiriyoruz, Print Screen denemeleri kayıtlı" şeklinde cevap verebiliyor olmak, denetim sürecinde ciddi bir fark yaratır.
Özel nitelikli kişisel veri işleyenler için yüksek bar
KVKK Madde 6 kapsamında özel nitelikli kişisel veriler (sağlık, biyometrik, ceza mahkumiyeti, cinsel yaşam, felsefi/dini görüş, etnik köken vs.) için "yeterli önlem" eşiği daha yüksektir. Bu tür verileri işleyen kurumlarda (hastaneler, laboratuvarlar, sigorta sağlık operasyonları), görsel veri koruması özellikle önemlidir.
Çalışan izlemenin hukuki çerçevesi
Ekran filigranı kullanmak, çalışan izleme yapıyorsunuz anlamına gelir. Bu durumun hukuki temelini doğru kurmak şarttır:
1. Aydınlatma metni güncellemesi
Çalışan KVKK aydınlatma metni; ekran filigranı uygulamasından, hangi verilerin kaydedildiğinden, saklama süresinden, hukuki sebebinden açıkça bahsetmelidir.
2. Açık rıza vs meşru menfaat
Çoğu kurum, ekran filigranını "meşru menfaat" hukuki sebebine dayandırır (Madde 5/2-f). Menfaat dengesi testi (LIA) yapılmalı ve dokümante edilmelidir.
3. Orantılılık ilkesi
Filigran seçici politika ile uygulanırsa orantılılık açısından daha güçlü pozisyondur. Hassas uygulamalarda (CRM, HBYS) seçici uygulama doğrudur. DataPatrol'un Ayrıntılı Politika Denetimi bu seçici uygulamayı destekler.
Denetimde Sorulan Tipik Sorular
- Ekran filigranı politikası hangi gruplara uygulanıyor?
- Aydınlatma metni güncel mi ve çalışanlara tebliğ edildi mi?
- Filigran kayıtları SIEM sisteminde saklanıyor mu, saklama süresi nedir?
- Filigran kaldırma denemeleri nasıl tespit ediliyor?