veri güvenliği

Veri Güvenliğine İlişkin Yükümlülükler

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12’nci maddesine göre, veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması konusunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. (Örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır)

Veri sorumlularınca alınması gereken veri güvenliği tedbirlerine ilişkin olarak Kişisel Verileri Koruma Kurumu tarafından hazırlanan ”Veri Güvenliği Rehberinde”, aşağıda belirtilen idari ve teknik tedbirler detaylı olarak açıklanmaktadır. (Rehbere Kişisel Verileri Koruma Kurumu web sayfasından ulaşmak için tıklayınız)

İdari Tedbirler

  • Mevcut Risk ve Tehditlerin Belirlenmesi
  • Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
  • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
  • Kişisel Verilerin Mümkün Olduğunca Azaltılması
  • Veri İşleyenler ile İlişkilerin Yönetimi

 Teknik Tedbirler

  • Siber Güvenliğin Sağlanması
  • Kişisel Veri Güvenliğinin Takibi
  • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
  • Kişisel Verilerin Bulutta Depolanmasında Dikkat Edilmesi
  • Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
  • Kişisel Verilerin Yedeklenmesi

Teknik ve idari tedbirler belirlenirken, kişisel verilerin niteliği ve muhafaza edildiği ortam göz önünde bulundurulmalıdır.

Ayrıca, KVKK kapsamında veri güvenliğine ilişkin olarak veri sorumlusunun denetim yükümlülüğü de bulunmaktadır. Bu doğrultuda, veri sorumlusu, kendi kurum veya kuruluşunda KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Kanun, denetimin veri sorumlusu tarafından yapılması gerektiğini öngörmektedir. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

KVKK Kapsamında Veri Sorumlusunun Diğer Yükümlülükleri