Makale
Kişisel verilerin güvenliği, bireylerin temel hak ve özgürlüklerinin korunması açısından kritik bir öneme sahiptir. 6698 sayılı Kanun kapsamında veri sorumlularının, verilerin hukuka aykırı erişimini ve işlenmesini önlemek ile muhafazasını sağlamak amacıyla almaları gereken idari ve teknik tedbirler, veri güvenliği rejiminin temelini oluşturur.
KVKK Kapsamında Veri Güvenliği Yükümlülükleri ve Yasal Çerçeve
Gelişen teknoloji ve dijitalleşme ile birlikte, gerek kamu gerekse özel sektör kuruluşlarının faaliyetlerini sürdürebilmeleri için kişisel verilere ihtiyaç duymaları, veri güvenliği sorununu da beraberinde getirmiştir. Teknolojik sistemlere uzaktan erişimin mümkün olması, kişisel verilerin yetkisiz kişilerce ele geçirilmesi ve ifşa edilmesi gibi ciddi tehlikelere zemin hazırlamaktadır. Bu noktada, bireylerin özel hayatının gizliliği ve anayasal güvence altındaki temel haklarının zedelenmemesi adına, kişisel verilerin güvenliğinin tam anlamıyla tesis edilmesi yasal bir zorunluluktur. Veri güvenliği ile hedeflenen; salt verilerin fiziksel korunmasından öte, bu verilerin saklandığı ve aktarıldığı ortamların yetkisiz erişimlere bütünüyle kapatılmasıdır. Hukuk sistemimizde, kişisel verilerin güvenliğinin sağlanması, tek seferlik bir prosedür değil, kurumların iş süreçlerinin, yönetim kültürünün ve hukuki yaptırımlarının ayrılmaz bir parçası olarak konumlandırılmıştır. Kurum ve kuruluşların bu alanda alacağı idari ve teknik her türlü tedbir, bireylerin temel hak ve özgürlüklerine yönelik potansiyel ihlallerin önüne geçilmesi için hayati bir işlev görmektedir.
Bilgi Güvenliğinin Temel Unsurları
Veri koruma hukuku bağlamında, kişisel verilerin güvenliği kavramı uluslararası alanda kabul gören belirli teknik standartlar üzerinden şekillenmektedir. Bu standartlar, verilerin dijital veya fiziksel ortamlarda karşılaşabileceği olası risklerin bertaraf edilmesini hedefler. Sistematik bir veri güvenliği altyapısı kurmak isteyen kurumlar, öncelikle gizlilik ilkesini gözeterek hassas bilgilerin yetkisiz kişilerin eline geçmesini önlemelidir. İkinci olarak, verinin yalnızca asıl sahibi veya yetkilendirilmiş kişilerce değiştirilebileceğini teminat altına alan bütünlük esası devrededir. Üçüncü temel unsur, bilgi sistemlerinin daima ulaşıma hazır ve kesintisiz çalışmasını gerektiren sürekli kullanılabilirlik prensibidir. Son olarak ise ağa veya sisteme dâhil olan kişinin yetkilerini kontrol eden kimlik doğrulama mekanizmaları devreye girer. Söz konusu bu unsurlar, sadece dışarıdan gelebilecek siber saldırılara karşı değil, aynı zamanda veri işleyen personelden kaynaklanabilecek iç tehditlere karşı da sağlam bir yasal ve teknik duvar oluşturmanın temel şartlarındandır.
6698 Sayılı Kanun Madde 12 Bağlamında Veri Sorumlusunun Yükümlülükleri
Ulusal hukukumuzda, veri güvenliğine ilişkin yasal çerçeve, Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde net bir şekilde somutlaştırılmıştır. Kanun koyucu, veri sorumlusu statüsündeki kişi ve kurumlara üç temel hukuki yükümlülük yüklemiştir. Bunlar; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını yasal standartlarda, tam bir emniyet içinde sağlamaktır. Veri sorumluları, bu kanuni hedeflere ulaşmak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri bizzat almak zorundadırlar. Bu tedbirlerin ihmalinden doğacak zafiyetlerde idari ve cezai boyutta doğrudan veri sorumlusunun mesuliyeti bulunmaktadır.
Veri İşleyenlerle Müşterek Sorumluluk ve Denetim Görevi
Hukuk pratiğinde işletmelerde ve idarelerde sıkça karşılaşılan bir diğer senaryo, kişisel verilerin veri sorumlusu adına üçüncü bir gerçek veya tüzel kişi tarafından işlenmesidir. Kanun bu yapıda, güvenlik tedbirlerinin alınması hususunda veri sorumlusu ile veri işleyeni müştereken sorumlu tutmaktadır. Örneğin, bir şirketin çalışanlarına veya müşterilerine ait kayıtların harici bir teknoloji yahut muhasebe şirketince tutulması durumunda, yaşanacak herhangi bir güvenlik zafiyetinden her iki taraf da yasal olarak müteselsilen sorumludur. Bununla birlikte mevzuat, güvenlik süreçlerinin sürdürülebilirliğini temin etmek adına veri sorumlusuna katı bir denetim mekanizması işletme zorunluluğu da getirir. Veri sorumlusu, kendi kurumu veya kuruluşunda veri güvenliği tedbirlerinin ve yasal mevzuatın hakkıyla uygulanıp uygulanmadığını teyit etmek maksadıyla gerekli denetimleri bizzat yapmak veya yetkili mercilere yaptırmak ile mükelleftir. Bu husus, ihlallerin gerçekleşmeden tespit edilmesi adına kurgulanmış proaktif bir hukuk uygulamasıdır.
Sır Saklama Yükümlülüğü
Veri güvenliği rejimini idari açıdan tahkim eden en hayati yasal düzenlemelerden biri de şüphesiz sır saklama yükümlülüğüdür. Kanun'un sistematiğine göre, gerek veri sorumluları gerekse veri işleyenler ile bu yetkililer adına hareket eden tüm personeller, ifa ettikleri görev sırasında vakıf oldukları kişisel verileri başkalarına açıklayamazlar. Elde edilen bu kritik bilgiler, yalnızca hukuka uygun olarak belirlenmiş olan veri işleme amacı dâhilinde kullanılabilir ve aktarılabilir. Hukuk sistemimiz, zafiyetleri önlemek adına bu koruma kalkanını salt çalışma süresiyle de sınırlamamış; kişilerin görevlerinden ayrılmaları hâlinde dahi sır saklama yükümlülüklerinin kesintisiz biçimde devam edeceğini hüküm altına almıştır. Bu durum, kurum içi bilgi sızıntılarının ve hukuka aykırı ifşaların kalıcı olarak önüne geçmek için öngörülmüş çok güçlü bir yasal bariyerdir.
Alınması Gereken Başlıca Güvenlik Tedbirleri
Kurumların, kişisel verilerin emniyetini sağlarken yasal çerçeve uyarınca hayata geçirmesi beklenen koruyucu adımlar, uygulamada idari ve teknik tedbirler olarak sınıflandırılır. Hukuki ve teknik standartların gereklilikleri doğrultusunda dikkate alınması gereken başlıca güvenlik ve gizlilik tedbirleri şu şekilde sıralanabilir:
- Bilgisayar ortamlarında ve elektronik depolama cihazlarındaki dosyaların şifreli sistemlerle muhafaza edilmesi,
- Kurumsal ağ güvenliğini tesis etmek üzere siber saldırılara karşı yetkin ve güncel güvenlik duvarları kullanılması,
- Bilişim sistemlerini zararlı yazılımlardan korumak maksadıyla periyodik olarak güncellenen lisanslı anti-virüs programlarının entegre edilmesi,
- Veri işlemeye yetkili şirket personelinin, sistemin bütününe değil mümkün olan en az düzeyde yetkilendirilerek verilere erişiminin sınırlandırılması,
- Çalışanların ve veri işleyenlerin gerçekleştirdiği tüm bilgi işlem faaliyetlerinin düzenli olarak denetlenmesi ve işlemlerin iz kayıtlarının geriye dönük tutulması.