Anasayfa/ Makale/ Uzaktan Çalışmada BYOD Modeli ve Teknik Veri...

Makale

Uzaktan çalışmada işçilerin kendi cihazlarını kullanmasını ifade eden BYOD modeli, maliyet avantajı sağlasa da ciddi veri güvenliği riskleri barındırır. İşverenler, Kişisel Verilerin Korunması Kanunu kapsamında gerekli teknik tedbirleri alarak şirket verilerini ve işçi gizliliğini korumakla yükümlüdür.

Uzaktan Çalışmada BYOD Modeli ve Teknik Veri Güvenliği

AÇIK RIZA KVKK İŞÇİ HAKLARI

Gelişen teknolojiler ve değişen çalışma alışkanlıklarıyla birlikte, iş hayatında uzaktan çalışma modelleri hızla yaygınlaşmıştır. Bu dönüşüm sürecinde, çalışanların iş görme edimlerini kendi kişisel cihazları üzerinden yerine getirmesini ifade eden BYOD (Bring Your Own Device - Kendi Cihazını Getir) politikası pek çok işletme tarafından benimsenmiştir. İşverenler açısından donanım maliyetlerinden tasarruf sağlayan ve iş süreçlerini hızlandıran bu model, hukuki açıdan değerlendirildiğinde ciddi veri güvenliği risklerini beraberinde getirmektedir. Zira işçinin şahsi cihazının iş amaçlı kullanımı, ticari sırların korunması ile işçinin özel hayatının gizliliği arasında hassas bir denge kurulmasını zorunlu kılar. İlgili kanunlar uyarınca veri sorumlusu sıfatını haiz olan işverenler, BYOD modelinin uygulandığı durumlarda dahi veri ihlallerini önlemek ve veri güvenliğini sağlamak amacıyla gerekli tüm teknik tedbirleri almakla yükümlüdür.

BYOD Modelinin Hukuki Boyutu ve Sınırları

İş sözleşmesi kapsamında kural olarak işin yapılması için gerekli olan araç ve gereçlerin işveren tarafından temin edilmesi esastır. Ancak tarafların anlaşmasıyla işçinin kendi kişisel cihazlarını işe özgülemesi mümkündür. Türk Borçlar Kanunu'nun ilgili hükümleri uyarınca, işveren bu durumda işçiye cihazın kullanımı sebebiyle uygun bir amortisman bedeli ödemekle yükümlüdür. Hukuki açıdan en büyük açmaz, işverenin veri koruma menfaati ile işçinin kişisel alanının çatışmasıdır. İşveren, şirket verilerini korumak amacıyla işçinin cihaz kullanımına yönelik orantılı ve hukuka uygun sınırlamalar getirebilir; ancak işçinin şahsi bilgisayarını veya telefonunu tatilde veya halka açık alanlarda kullanmasını tamamen yasaklamak gibi ölçüsüz müdahalelerde bulunamaz. Bu noktada işverenin cihazın fiziksel hareketini kısıtlamak yerine, güvenli sanal ofis ağları kurarak sisteme erişimi denetlemesi hukuken en isabetli yöntemdir.

BYOD Modelinde Veri Güvenliği Riskleri

Çalışanların kendi cihazlarını iş süreçlerine dahil etmesi, siber güvenlik açıkları ve veri ihlali ihtimallerini önemli ölçüde artırmaktadır. İşçinin şahsi cihazını aile bireyleriyle paylaşması, denetimsiz üçüncü parti yazılımların kullanılması ve cihazın kamuya açık güvensiz Wi-Fi ağlarına bağlanması, şirket verilerinin yetkisiz kişilerin eline geçmesine zemin hazırlayabilir. Avrupa'daki yetkili veri koruma otoriteleri, BYOD politikasının acil durumlar dışında tercih edilmemesi gereken, veri sızıntısı riski yüksek bir model olduğuna dikkat çekmektedir. Ülkemizde de ilgili otoriteler, uzaktan çalışma süreçlerinde kişisel cihaz kullanımına izin verilebileceğini, ancak bu durumun veri sorumlusu işverenin kanuni yükümlülüklerini ve güvenlik sorumluluğunu kesinlikle ortadan kaldırmayacağını açıkça vurgulamıştır.

İşverenlerin Alması Gereken Teknik Tedbirler

İşverenlerin, uzaktan çalışma ve ilgili cihaz politikaları kapsamında veri güvenliğini tam anlamıyla sağlaması için birtakım teknik tedbirleri hayata geçirmesi kanuni bir zorunluluktur. Bu tedbirlerin donanımsal ve yazılımsal olarak eksiksiz kurgulanması, sızıntıların önlenmesi açısından kritiktir. Mevzuat ve güvenlik otoriteleri çerçevesinde alınması gereken başlıca teknik tedbirler şunlardır:

  • Cihazlarda lisanslı ve güncel anti virüs programları ile güvenlik duvarlarının aktif olarak kullanılması.
  • Şirket sistemlerine uzaktan erişimde VPN (Sanal Özel Ağ) teknolojilerinin mutlaka tercih edilmesi.
  • Uygulamalara girişte çift aşamalı doğrulama yöntemlerinin zorunlu kılınması ve periyodik şifre değiştirilmesi.
  • Sisteme giriş çıkışların kayıt altına alınarak erişim loglarının düzenli şekilde tutulması ve sızma testleri yapılması.
  • Kişisel cihazlardaki iş verilerinin, veri maskeleme yöntemleriyle işçinin şahsi verilerinden yalıtılması.

Yukarıda sayılan siber güvenlik adımlarının yanı sıra, kullanılan teknolojik altyapının merkezine de dikkat edilmelidir. İşverenler, video konferans uygulamaları veya bulut depolama sistemleri kullanırken, bu hizmetleri sunan şirketlerin sunucularının yurt dışında bulunması ihtimalini göz önünde bulundurmalıdır. Sunucusu yurt dışında bulunan altyapıların kullanılması, kanun kapsamında yurt dışına veri aktarımı olarak değerlendirildiğinden, mevzuatın amir hükümlerine riayet edilmesini, gerekli yeterlilik kararlarının veya açık rıza prosedürlerinin usulüne uygun şekilde işletilmesini zorunlu kılar. İşverenler, tüm bu kurumsal yazılımları ve güvenlik prosedürlerini eksiksiz bir şekilde entegre etmelidir.

3 dk okuma Yayınlanma: Güncelleme: