Ana sayfa YAZARLAR-YENİ Veri Güvenliğini Sağlama Yükümlülüğünün Kapsamı

Veri Güvenliğini Sağlama Yükümlülüğünün Kapsamı

Veri güvenliğini sağlama yükümlülüğü nedir?, Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler Nelerdir?,

102
0

Hatice ZÜMBÜL
hatice.zumbul@zumbul.av.tr


6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında veri sorumlularına getirilen yükümlülüklerden biri de veri güvenliğini sağlama yükümlülüğüdür. Veri güvenliği, kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde, detaylı bir şekilde düzenlenmiş; veri güvenliğinin ihlali halinde veri sorumluları için birtakım yükümlülükler ve ağır yaptırımlar öngörülmüştür.

Veri güvenliğinin sağlanması bakımından yerine getirilmesi gereken işlemler ile veri sorumluları tarafından alınması gereken teknik ve idari tedbirler; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yayımladığı “Kişisel Veri Güvenliği Rehberi’nde de (Teknik ve İdari Tedbirler)” (“Rehber”) ayrıntılı bir şekilde düzenlenmiştir.

Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun’un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı şekilde işlenmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür. (1)

Nitekim, KVKK’nın 12. maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında, veri sorumluları için, KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.

Kanuni Sorumluluk

KVKK’nın 12. maddesi uyarınca, veri sorumlusu, kişisel verilerin kendisi adına başka bir gerçek veya tüzel kişi (“veri işleyen”) tarafından işlenmesi hâlinde, gerekli her türlü tedbirin alınması hususunda veri işleyen kişiler ile birlikte müştereken sorumlu olmaktadır. Dolayısıyla veri sorumlusu ile veri işleyenin farklı kişiler olması halinde veri işleyenlerin de veri güvenliğinin sağlanması için tedbir alma zorunluluğu bulunmaktadır; ancak bu zorunluluk, veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri kapsamındaki sorumluluğunu hiçbir şekilde bertaraf etmemektedir. (2)

Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

KVKK’da veri sorumlusu tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınacağı öngörülmüş; ancak bu tedbirlerin neler olabileceğine ilişkin herhangi bir açıklama yapılmamıştır. Dolayısıyla, her bir somut olay kendi içinde farklı önlemler alınmasını gerektirecek olup, uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önem arz edecektir.

Kişisel verilerin işlenmesi faaliyetleri kapsamında veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla Kurul tarafından, -yukarıda açıklandığı üzere-, bir Rehber yayımlanmış ve bu Rehber’de veri sorumluları tarafından alınabilecek önlemlere ilişkin ilk tespitler yapılmıştır.

Kurul tarafından belirlenen idari tedbirler, şirket içerisinde alınması gereken kararlar ve atılması gereken adımlar doğrultusunda alınabilecek güvenlik tedbirlerini (Kişisel veri işleme envanteri hazırlanması, kurumsal politikalar, gizlilik taahhütnameleri imzalanması, iş sözleşmesi ve disiplin yönetmeliğine Kanun’a uygun hükümlerin ilave edilmesi, Veri Sorumluları Sicil Bilgi Sistemine bildirim yapılması vb.) ifade etmekte iken; teknik tedbirler, şirket içerisinde oluşturulan kişisel veri güvenliği politikaları ve görev tanımları kapsamında, kâğıt ve elektronik ortamlarda işlenen kişisel verilerin ve işbu ortamların güvenliğinin sağlanabilmesi amacıyla alınması öngörülen tedbirleri (Yetki matrisi, erişim logları, kullanıcı hesap yönetimi, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, yedekleme vb.) ifade etmektedir.

Av. Hatice Zümbül


(1) “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, İbrahim Korkmaz, 2016, 124, Türkiye Barolar Birliği Dergisi (2)

“Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk”, Damla Gürpınar, 2017, Özel Sayı, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi

 


Kaynak: Av. Hatice ZÜMBÜL – İçerik, Zümbül Hukuk ve Danışmanlık firmasının özel izni ile yayınlanmıştır.  Yazının tüm hakları ve sorumluluğu yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zararlardan sorumlu değildir.


YAZARIN DİĞER YAZILARI

İşçi Özlük Dosyasına KVKK Filtresi

İşyerinde Elektronik Gözetim Yöntemlerinin Kullanılması

Covid-19 Salgını Döneminde Siber Güvenlik Önerileri

Elektronik Haberleşme Sektöründe Covid-19 Tedbirleri

 

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here