Anasayfa/ Makale/ KVKK Kapsamında Veri Sorumlusunun Güvenlik Yükümlülükleri

KVKK Kapsamında Veri Sorumlusunun Güvenlik Yükümlülükleri

Kişisel verilerin korunması hukukunda veri sorumlusunun en temel görevlerinden biri veri güvenliğini sağlamaktır. Bu makalede, KVKK ve GDPR kapsamında veri sorumlularının hukuka aykırı işlemeyi ve erişimi önlemek ile verilerin muhafazasını sağlamak amacıyla alması gereken teknik ve idari tedbirler hukuki bir perspektifle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Gelişen teknoloji ile birlikte kişisel verilerin elektronik ortamlarda işlenmesi, veri güvenliği kavramını hukukun en tartışmalı alanlarından biri haline getirmiştir. Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) ışığında, kişisel verilerin hukuka uygun bir şekilde işlenmesi kadar, bu verilerin güvenliğinin sağlanması da büyük bir önem taşımaktadır. Kanun koyucu, veri güvenliğini sağlamak adına en büyük sorumluluğu veri sorumlusu sıfatını haiz gerçek ve tüzel kişilere yüklemiştir. Veri sorumlusunun güvenlik yükümlülüğü; verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve kişisel verilerin güvenli bir biçimde muhafazasını sağlamak şeklinde temel unsurlara ayrılmaktadır. Bu yükümlülük, bir kereye mahsus gerçekleştirilecek statik bir eylem değil, sürekli güncellenmesi gereken dinamik bir süreçtir. Veri sorumluları, ihlalleri engellemek adına gelişen teknolojik şartlara uygun olarak gerekli tüm tedbirleri almak zorundadır.

Hukuka Aykırı İşlemenin ve Erişimin Önlenmesi

KVKK'nın ilgili hükümleri uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini önlemek ve yetkisiz erişimi engellemek amacıyla gerekli her türlü tedbiri almakla mükelleftir. Hukuka aykırı işleme, kişisel verilerin kanunlarda öngörülen meşru şartlar dışında ve ilgili kişinin temel hak ve özgürlüklerini zedeleyecek biçimde kullanılması anlamına gelir. Öte yandan, hukuka aykırı erişim ise, veri sorumlusunun organizasyonunda yer alan veya dışarıdan sisteme sızan yetkisiz kişilerin, kişisel verileri ele geçirmesidir. Her iki durumun da engellenmesi için veri sorumlusunun idari ve teknik düzeyde koruma kalkanları oluşturması şart koşulmuştur. Özellikle dışarıdan gelebilecek siber saldırılara ya da şirket içindeki personelin yetki aşımına karşı erişim sınırlandırmaları getirilmesi, hukuki korumanın en önemli yapıtaşlarındandır.

Veri Sorumlusunun Alması Gereken İdari Tedbirler

Veri güvenliğinin sağlanmasında sadece dijital güvenlik altyapısı değil, aynı zamanda kurum içi kuralların ve işleyişin de mevzuata uyumlu hale getirilmesi gereklidir. Bu kapsamda veri sorumlusu tarafından uygulanacak idari tedbirler, veri güvenliği zafiyeti risklerini en aza indiren adımların başında gelmektedir. Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi kapsamında, veri sorumlularının öncelikle detaylı bir risk analizi yapması ve şirket içi veri işleme, saklama ve imha politikalarını yazılı hale getirmesi beklenmektedir. Bunun yanı sıra, veri işleme sürecindeki çalışanlara yönelik sürekli eğitim ve farkındalık çalışmaları yapılması, yetki matrislerinin oluşturulması, personelle gizlilik taahhütnamelerinin imzalanması ve ihlal durumlarında uygulanacak şirket içi disiplin prosedürlerinin belirlenmesi de yasal gerekliliklerdendir.

Veri Sorumlusunun Alması Gereken Teknik Tedbirler

Hukuki yükümlülüklerin yerine getirilmesi noktasında teknik tedbirler, özellikle dijital ortamda tutulan verilerin güvenliği için son derece kritik bir öneme sahiptir. Kanun koyucu her ne kadar somut teknolojiler saymasa da, mevcut rehberler uyarınca güncel bilişim teknolojilerine uyum sağlamak veri sorumluları için kaçınılmazdır. Siber güvenliğin asgari standartlarda sağlanabilmesi için güvenlik duvarları, izinsiz giriş tespit sistemleri ve güncel anti-virüs yazılımlarının kurum sistemlerine entegre edilmesi gerekir. Ayrıca verilerin maskelenmesi ve özellikle özel nitelikli kişisel verilerde güçlü kriptografik şifreleme yöntemlerinin kullanılması, hukuka aykırı sızmaların etkisini kıracak önlemlerdir. Alınan bu teknik savunma mekanizmalarının etkinliği, düzenli sızma testleri yapılarak ve erişim loglarının düzenli tutulmasıyla sürekli denetlenmelidir.

Veri Güvenliğinde Denetim ve Sır Saklama Yükümlülüğü

Kanun koyucu, veri sorumlusuna koruyucu tedbirleri almakla yetinmeyip, bu tedbirlerin şirket içindeki işleyişini sürekli olarak kontrol etme görevi de yüklemiştir. İlgili mevzuat uyarınca veri sorumlusu, kendi organizasyonunda hukuk kurallarının eksiksiz uygulandığından emin olmak için periyodik denetimler yapmak veya yaptırmak zorundadır. Yapılacak bu denetimler sayesinde, mevcut güvenlik politikalarındaki hukuki ve teknik zafiyetler erken tespit edilerek ivedilikle giderilir. Buna ek olarak, veri sorumluları ve bünyelerindeki çalışanlar için sıkı bir sır saklama yükümlülüğü öngörülmüştür. Elde edilen kişisel veriler, hukuka aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kesinlikle kullanılamaz; üstelik bu katı yükümlülük, görevli çalışanların kurumdan ayrılmasından sonra da devam edecek şekilde düzenlenmiştir.

Alınması Gereken Temel Önlemler Tablosu

Veri güvenliğinin eksiksiz sağlanması amacıyla Kurul tarafından tavsiye edilen ve veri sorumlularınca uygulanması zorunlu olan tedbirlerin genel çerçevesi, veri işleme süreçlerinin doğasına göre farklılıklar göstermektedir. Şirketlerin faaliyet alanları, işledikleri kişisel verilerin niteliği ve boyutları dikkate alındığında, standart bir güvenlik paketinden ziyade özelleştirilmiş koruma mekanizmalarının inşa edilmesi şarttır. Veri sorumlularının kendi organizasyon yapılarına ve teknolojik altyapılarına uygun olarak bu önlemleri somutlaştırması, çalışanlarını eğitmesi ve istikrarlı şekilde denetlemesi, veri sızıntılarına karşı en güçlü korumadır. Aşağıda yer alan tabloda, veri sorumlularının yükümlülükleri kapsamında hayata geçirmeleri gereken temel idari ve teknik tedbirler hukuki bir perspektifle sınıflandırılarak özetlenmiş ve maddeler halinde bir araya getirilmiştir.

Tedbir Türü Temel Uygulama Örnekleri
İdari Tedbirler Risk analizleri, kurumsal politikalar (saklama ve imha), çalışanlara gizlilik taahhütnameleri imzalatılması, düzenli personel eğitimleri ve sözleşmeler.
Teknik Tedbirler Ağ güvenliği, veri maskeleme, kriptografik şifreleme, güvenlik duvarı (firewall), sızma testleri, erişim log kayıtlarının tutulması ve güncel yedekleme.
Şirketim hacklendi ve müşteri bilgileri çalındı, sorumluluk bende mi? expand_more
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sorumlusu sıfatıyla dışarıdan gelebilecek siber saldırılara karşı sistemlerinizi koruma ve yetkisiz erişimi engelleme yükümlülüğünüz bulunmaktadır. Verilerin hukuka aykırı olarak erişilmesini engellemek için güvenlik duvarları, izinsiz giriş tespit sistemleri ve güncel anti-virüs yazılımları gibi teknik tedbirleri almanız şarttır. Eğer bu dijital koruma kalkanlarını oluşturmadıysanız ve güncel teknolojilere uyum sağlamadıysanız, yaşanan veri ihlalinden dolayı hukuki sorumluluğunuz doğacaktır. Bu nedenle sadece dijital güvenlik altyapınızı kurmakla kalmamalı, söz konusu savunma mekanizmalarının etkinliğini düzenli sızma testleriyle sürekli denetlemelisiniz.
Eski çalışanım müşteri listesini başkasına vermiş, başım yanar mı? expand_more
Evet, veri sorumlusu olarak şirketinizin organizasyonunda yer alan kişilerin verilere hukuka aykırı şekilde erişmesini ve işlemesini engellemek sizin yasal görevinizdir. Kanun koyucu, personelinizin yetki aşımına karşı erişim sınırlandırmaları getirmenizi ve idari tedbirler kapsamında çalışanlarla gizlilik taahhütnameleri imzalamanızı zorunlu tutmaktadır. Ayrıca çalışanların elde ettikleri kişisel verileri sır saklama yükümlülüğü kapsamında başkalarına açıklama yasağı, kurumdan ayrılmalarından sonra da aynen devam etmektedir. Bu tür şirket içi ihlalleri engellemek adına disiplin prosedürlerinin önceden belirlenmiş olması ve personelinize yönelik veri güvenliği eğitimleri düzenlenmesi hukuki korumanız için kritik bir gerekliliktir.
Veri güvenliği için sıradan bir antivirüs programı kurmam yeterli olur mu? expand_more
Hayır, yalnızca standart bir antivirüs programı kurmak veya standart bir güvenlik paketi almak mevzuata uyum sağlamak için kesinlikle yeterli değildir. Şirketinizin faaliyet alanı, işlediğiniz verilerin niteliği ve boyutları dikkate alındığında kendi organizasyon yapınıza özelleştirilmiş koruma mekanizmaları inşa etmeniz şarttır. Hukuki yükümlülükleriniz kapsamında ağ güvenliği, sızma testleri, erişim log kayıtlarının düzenli tutulması ve güncel yedekleme gibi kapsamlı teknik tedbirleri almanız gerekmektedir. Özellikle özel nitelikli kişisel veriler işliyorsanız, güçlü kriptografik şifreleme ve veri maskeleme gibi hukuka aykırı sızmaların etkisini kıracak daha ileri düzey yöntemleri de sistemlerinize entegre etmekle yükümlüsünüz.
Şirkette KVKK önlemlerini aldık, artık bu konuyu tamamen kapatabilir miyiz? expand_more
Kişisel verilerin korunması hukuku uyarınca veri güvenliğini sağlamak bir kereye mahsus gerçekleştirilecek statik bir eylem değil, sürekli güncellenmesi gereken dinamik bir süreçtir. Veri sorumlusu olarak hukuka aykırı işlemeleri ve sızıntıları engellemek adına gelişen teknolojik şartlara uygun biçimde gerekli tüm tedbirleri sürekli olarak almak zorundadır. Kanun koyucu, aldığınız koruyucu tedbirlerle yetinmeyip, bu tedbirlerin şirket içindeki işleyişini sürekli kontrol etme görevini de size yüklediğinden, periyodik denetimler yapmanız veya yaptırmanız yasal bir zorunluluktur. Gerçekleştirilecek bu periyodik denetimler sayesinde, mevcut güvenlik politikalarınızdaki hukuki ve teknik zafiyetler erken tespit edilerek ivedilikle giderilecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir