Anasayfa/ Makale/ KVKK Kapsamında Veri Güvenliği Yükümlülükleri ve Yasal Çerçeve

KVKK Kapsamında Veri Güvenliği Yükümlülükleri ve Yasal Çerçeve

Kişisel verilerin güvenliği, bireylerin temel hak ve özgürlüklerinin korunması açısından kritik bir öneme sahiptir. 6698 sayılı Kanun kapsamında veri sorumlularının, verilerin hukuka aykırı erişimini ve işlenmesini önlemek ile muhafazasını sağlamak amacıyla almaları gereken idari ve teknik tedbirler, veri güvenliği rejiminin temelini oluşturur.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Gelişen teknoloji ve dijitalleşme ile birlikte, gerek kamu gerekse özel sektör kuruluşlarının faaliyetlerini sürdürebilmeleri için kişisel verilere ihtiyaç duymaları, veri güvenliği sorununu da beraberinde getirmiştir. Teknolojik sistemlere uzaktan erişimin mümkün olması, kişisel verilerin yetkisiz kişilerce ele geçirilmesi ve ifşa edilmesi gibi ciddi tehlikelere zemin hazırlamaktadır. Bu noktada, bireylerin özel hayatının gizliliği ve anayasal güvence altındaki temel haklarının zedelenmemesi adına, kişisel verilerin güvenliğinin tam anlamıyla tesis edilmesi yasal bir zorunluluktur. Veri güvenliği ile hedeflenen; salt verilerin fiziksel korunmasından öte, bu verilerin saklandığı ve aktarıldığı ortamların yetkisiz erişimlere bütünüyle kapatılmasıdır. Hukuk sistemimizde, kişisel verilerin güvenliğinin sağlanması, tek seferlik bir prosedür değil, kurumların iş süreçlerinin, yönetim kültürünün ve hukuki yaptırımlarının ayrılmaz bir parçası olarak konumlandırılmıştır. Kurum ve kuruluşların bu alanda alacağı idari ve teknik her türlü tedbir, bireylerin temel hak ve özgürlüklerine yönelik potansiyel ihlallerin önüne geçilmesi için hayati bir işlev görmektedir.

Bilgi Güvenliğinin Temel Unsurları

Veri koruma hukuku bağlamında, kişisel verilerin güvenliği kavramı uluslararası alanda kabul gören belirli teknik standartlar üzerinden şekillenmektedir. Bu standartlar, verilerin dijital veya fiziksel ortamlarda karşılaşabileceği olası risklerin bertaraf edilmesini hedefler. Sistematik bir veri güvenliği altyapısı kurmak isteyen kurumlar, öncelikle gizlilik ilkesini gözeterek hassas bilgilerin yetkisiz kişilerin eline geçmesini önlemelidir. İkinci olarak, verinin yalnızca asıl sahibi veya yetkilendirilmiş kişilerce değiştirilebileceğini teminat altına alan bütünlük esası devrededir. Üçüncü temel unsur, bilgi sistemlerinin daima ulaşıma hazır ve kesintisiz çalışmasını gerektiren sürekli kullanılabilirlik prensibidir. Son olarak ise ağa veya sisteme dâhil olan kişinin yetkilerini kontrol eden kimlik doğrulama mekanizmaları devreye girer. Söz konusu bu unsurlar, sadece dışarıdan gelebilecek siber saldırılara karşı değil, aynı zamanda veri işleyen personelden kaynaklanabilecek iç tehditlere karşı da sağlam bir yasal ve teknik duvar oluşturmanın temel şartlarındandır.

6698 Sayılı Kanun Madde 12 Bağlamında Veri Sorumlusunun Yükümlülükleri

Ulusal hukukumuzda, veri güvenliğine ilişkin yasal çerçeve, Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde net bir şekilde somutlaştırılmıştır. Kanun koyucu, veri sorumlusu statüsündeki kişi ve kurumlara üç temel hukuki yükümlülük yüklemiştir. Bunlar; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını yasal standartlarda, tam bir emniyet içinde sağlamaktır. Veri sorumluları, bu kanuni hedeflere ulaşmak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri bizzat almak zorundadırlar. Bu tedbirlerin ihmalinden doğacak zafiyetlerde idari ve cezai boyutta doğrudan veri sorumlusunun mesuliyeti bulunmaktadır.

Veri İşleyenlerle Müşterek Sorumluluk ve Denetim Görevi

Hukuk pratiğinde işletmelerde ve idarelerde sıkça karşılaşılan bir diğer senaryo, kişisel verilerin veri sorumlusu adına üçüncü bir gerçek veya tüzel kişi tarafından işlenmesidir. Kanun bu yapıda, güvenlik tedbirlerinin alınması hususunda veri sorumlusu ile veri işleyeni müştereken sorumlu tutmaktadır. Örneğin, bir şirketin çalışanlarına veya müşterilerine ait kayıtların harici bir teknoloji yahut muhasebe şirketince tutulması durumunda, yaşanacak herhangi bir güvenlik zafiyetinden her iki taraf da yasal olarak müteselsilen sorumludur. Bununla birlikte mevzuat, güvenlik süreçlerinin sürdürülebilirliğini temin etmek adına veri sorumlusuna katı bir denetim mekanizması işletme zorunluluğu da getirir. Veri sorumlusu, kendi kurumu veya kuruluşunda veri güvenliği tedbirlerinin ve yasal mevzuatın hakkıyla uygulanıp uygulanmadığını teyit etmek maksadıyla gerekli denetimleri bizzat yapmak veya yetkili mercilere yaptırmak ile mükelleftir. Bu husus, ihlallerin gerçekleşmeden tespit edilmesi adına kurgulanmış proaktif bir hukuk uygulamasıdır.

Sır Saklama Yükümlülüğü

Veri güvenliği rejimini idari açıdan tahkim eden en hayati yasal düzenlemelerden biri de şüphesiz sır saklama yükümlülüğüdür. Kanun'un sistematiğine göre, gerek veri sorumluları gerekse veri işleyenler ile bu yetkililer adına hareket eden tüm personeller, ifa ettikleri görev sırasında vakıf oldukları kişisel verileri başkalarına açıklayamazlar. Elde edilen bu kritik bilgiler, yalnızca hukuka uygun olarak belirlenmiş olan veri işleme amacı dâhilinde kullanılabilir ve aktarılabilir. Hukuk sistemimiz, zafiyetleri önlemek adına bu koruma kalkanını salt çalışma süresiyle de sınırlamamış; kişilerin görevlerinden ayrılmaları hâlinde dahi sır saklama yükümlülüklerinin kesintisiz biçimde devam edeceğini hüküm altına almıştır. Bu durum, kurum içi bilgi sızıntılarının ve hukuka aykırı ifşaların kalıcı olarak önüne geçmek için öngörülmüş çok güçlü bir yasal bariyerdir.

Alınması Gereken Başlıca Güvenlik Tedbirleri

Kurumların, kişisel verilerin emniyetini sağlarken yasal çerçeve uyarınca hayata geçirmesi beklenen koruyucu adımlar, uygulamada idari ve teknik tedbirler olarak sınıflandırılır. Hukuki ve teknik standartların gereklilikleri doğrultusunda dikkate alınması gereken başlıca güvenlik ve gizlilik tedbirleri şu şekilde sıralanabilir:

  • Bilgisayar ortamlarında ve elektronik depolama cihazlarındaki dosyaların şifreli sistemlerle muhafaza edilmesi,
  • Kurumsal ağ güvenliğini tesis etmek üzere siber saldırılara karşı yetkin ve güncel güvenlik duvarları kullanılması,
  • Bilişim sistemlerini zararlı yazılımlardan korumak maksadıyla periyodik olarak güncellenen lisanslı anti-virüs programlarının entegre edilmesi,
  • Veri işlemeye yetkili şirket personelinin, sistemin bütününe değil mümkün olan en az düzeyde yetkilendirilerek verilere erişiminin sınırlandırılması,
  • Çalışanların ve veri işleyenlerin gerçekleştirdiği tüm bilgi işlem faaliyetlerinin düzenli olarak denetlenmesi ve işlemlerin iz kayıtlarının geriye dönük tutulması.
İşten ayrılan eski çalışanımız müşteri listemizi başkasına verebilir mi? expand_more
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumluları, veri işleyenler ve personeller için çok sıkı bir sır saklama yükümlülüğü öngörülmüştür. Eski çalışanınızın ifa ettiği görev sırasında vakıf olduğu kişisel verileri başkalarına açıklaması kesinlikle yasaktır. Hukuk sistemimiz, zafiyetleri önlemek adına bu koruma kalkanını salt çalışma süresiyle sınırlamamış, kişinin görevinden ayrılması hâlinde dahi sır saklama yükümlülüğünün kesintisiz devam edeceğini hüküm altına almıştır. Bu nedenle, kurum içi bilgi sızıntılarını önlemek amacıyla öngörülen bu güçlü yasal bariyerin ihlali sebebiyle ilgili kişiye karşı hukuki süreç başlatabilirsiniz.
Müşteri verilerini tutan muhasebe firması hacklenirse ceza bana mı kesilir? expand_more
Kişisel verilerin sizin adınıza üçüncü bir şirket tarafından işlenmesi durumunda, kanun güvenlik tedbirlerinin alınması hususunda veri sorumlusu olarak sizi ve veri işleyen firmayı müştereken sorumlu tutmaktadır. Dolayısıyla, muhasebe firmanızın sistemlerinde yaşanacak herhangi bir veri ihlali veya güvenlik zafiyetinden hukuken her iki taraf da müteselsilen sorumludur. Bu tür ihlallerin önüne geçmek adına mevzuat, veri sorumlusuna katı bir denetim mekanizması işletme zorunluluğu getirmektedir. Kendi mesuliyetinizi sınırlandırmak için hizmet aldığınız firmaların veri güvenliği tedbirlerini uygulayıp uygulamadığını bizzat denetlemek veya yetkili mercilere denetletmek zorundasınız.
İş yerindeki bilgisayarlarda müşteri bilgilerini korumak için ne yapmalıyım? expand_more
Kişisel verilerin güvenliğini sağlamak amacıyla, kanun uyarınca kurumunuzda hem idari hem de teknik tedbirleri sistematik olarak hayata geçirmeniz gerekmektedir. Elektronik depolama cihazlarındaki dosyaları şifreli sistemlerle muhafaza etmeli, siber saldırılara karşı güncel güvenlik duvarları kullanmalısınız. Bilişim sistemlerinizi zararlı yazılımlardan korumak maksadıyla periyodik olarak güncellenen lisanslı anti-virüs programlarını sisteminize entegre etmeniz kritik bir öneme sahiptir. Ayrıca, personelinizi mümkün olan en az düzeyde yetkilendirerek verilere erişimini sınırlandırmalı ve yaptıkları bilgi işlem faaliyetlerini geriye dönük iz kayıtlarıyla düzenli olarak denetlemelisiniz.
Şirket olarak KVKK cezası yememek için en temel görevimiz nedir? expand_more
6698 sayılı Kanun'un 12. maddesi bağlamında bir veri sorumlusu olarak en temel yasal göreviniz; verilerin hukuka aykırı olarak işlenmesini ve erişilmesini engellemektir. Bireylerin özel hayatının gizliliği ve anayasal haklarının zedelenmemesi adına, verilerin muhafazasını yasal standartlarda ve tam bir emniyet içinde sağlamalısınız. Bu hedeflere ulaşmak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri bizzat almanız emredilmektedir. Söz konusu yükümlülüklerin ve tedbirlerin ihmal edilmesi neticesinde doğacak güvenlik zafiyetlerinde, doğrudan idari ve cezai boyutta mesuliyetiniz söz konusu olacaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir