Anasayfa/ Makale/ KVKK Kapsamında Veri Sorumlusunun Teknik ve İdari Tedbir Yükümlülükleri

KVKK Kapsamında Veri Sorumlusunun Teknik ve İdari Tedbir Yükümlülükleri

Kişisel Verilerin Korunması Kanunu uyarınca veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla risk analizi, personel eğitimi, politika oluşturma, siber güvenlik, şifreleme ve bulut yedeklemesi gibi proaktif koruma mekanizmalarını içeren teknik ve idari tedbirleri almakla yükümlüdür.
search
5 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ KVKK

Dijitalleşmenin hız kazandığı günümüz bilgi toplumunda, kişisel verilerin korunması kurumlar için en temel hukuki gerekliliklerden biri haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı şekilde erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etme yükümlülüğü getirmektedir. Kanun'un öngördüğü bu uygun güvenlik düzeyi, durağan bir yapıdan ziyade sürekli değişen siber tehditler karşısında güncellenmesi gereken dinamik bir süreci ifade eder. Bu bağlamda, veri sorumlusunun faaliyette bulunduğu sektör, işlenen verilerin niteliği, ihlal durumunda ortaya çıkacak risklerin ağırlığı gibi unsurlar dikkate alınarak proaktif koruma mekanizmaları geliştirilmelidir. Veri sorumlusunun kendi kurumsal organizasyon yapısına entegre etmesi gereken söz konusu mekanizmalar, mevzuata uyum sağlama temelinde şekillenen idari tedbirler ile bilişim sistemlerinin siber tehditlerden korunmasını amaçlayan teknik tedbirler olmak üzere iki ana kategoride değerlendirilmektedir.

İdari Tedbirler Kapsamında Yönetimsel Yükümlülükler

Mevcut Risklerin Belirlenmesi ve Veri Minimizasyonu

Veri güvenliğinin sağlanması sürecinde ilk adım, veri sorumlusunun elinde bulundurduğu kişisel verilerin neler olduğunun ve işleme faaliyetlerinin taşıdığı risk seviyesinin tespit edilmesidir. Bu amaçla, kuruma özgü bir kişisel veri işleme envanteri oluşturulmalı ve muhtemel güvenlik ihlallerinin ilgili kişilerin temel hak ve özgürlükleri üzerinde yaratacağı etkiler önceden analiz edilmelidir. Risk temelli bu yaklaşım, alınacak önlemlerin çerçevesini çizer. Aynı zamanda, işletmeler veri minimizasyonu ilkesi doğrultusunda hareket etmeli, yalnızca işleme amacına uygun ve gerekli olan asgari düzeyde kişisel veriyi talep etmelidir. İhtiyaç duyulmayan verilerin kimliksizleştirme, maskeleme veya anonimleştirme yöntemleriyle arındırılması, idari tedbirlerin en önemli yansımalarından biridir.

Kurumsal Politikaların Oluşturulması ve Personel Eğitimi

İdari tedbirler sadece kâğıt üzerinde kalmamalı, veri sorumlusunun organizasyonel yapısına ve kurum kültürüne nüfuz etmelidir. Kurum içinde kişisel veri saklama ve imha politikaları, erişim ve kullanım prosedürleri gibi iç yönergeler oluşturulmalı ve bu politikalar düzenli olarak denetlenmelidir. Tehditlerin büyük bir kısmının kurum içindeki personelin bilgisizliği, dikkatsizliği veya tecrübesizliğinden kaynaklanabildiği unutulmamalıdır. Bu nedenle, çalışanların veri ihlallerine karşı bilinçlendirilmesi amacıyla düzenli eğitim ve farkındalık çalışmaları yürütülmelidir. İş sözleşmelerine gizlilik taahhütnamelerinin eklenmesi ve özel nitelikli kişisel veri işleyen personel için erişim yetkilerinin sıkı kurallara bağlanması, veri güvenliği mimarisini güçlendiren temel idari önlemler arasında yer almaktadır.

Teknik Tedbirler ve Siber Güvenlik Mimarisi

Ağ Güvenliği, Şifreleme ve Erişim Takibi

Kişisel verilere yönelik yetkisiz erişimlerin günümüzde çoğunlukla dijital ağlar üzerinden gerçekleştirilmesi, siber güvenliğin sağlanmasını veri sorumlusunun en temel teknik yükümlülüğü haline getirmiştir. Bilgi sistemlerinin yapılandırma ayarlarının doğru yapılması, güncel antivirüs yazılımlarının ve saldırı tespit sistemlerinin kullanılması zorunludur. Ayrıca, veri sorumlusu bünyesindeki bilişim altyapısına yönelik güvenlik durumunun tespiti ve sürekliliğinin sağlanması adına bazı asgari teknik koruma kalkanları devreye alınmalıdır:

  • Güvenlik duvarları ve ağ geçitleri ile sistemler arası veri akışının denetlenmesi.
  • Özel nitelikli kişisel verilerin kriptografik yöntemlerle şifrelenmesi ve şifreleme anahtarlarının ayrı ortamlarda saklanması.
  • Sistemlerdeki ağ trafiğinin, olağandışı faaliyetlerin ve erişim yetkilerinin log kayıtları aracılığıyla düzenli olarak izlenmesi.
  • Zafiyet taramaları ve periyodik sızma testleri ile güvenlik açıklarının önceden tespit edilmesi.

Veri Yedekleme ve Bulut Bilişim Güvenliği

Sistemlere yönelik fidye yazılımları veya benzeri kötü amaçlı siber saldırılar sonucunda kişisel verilerin kaybolması, bozulması ya da erişilemez hale gelmesi durumunda, kurumsal faaliyetlerin kesintiye uğramadan devam edebilmesi için etkin bir veri yedekleme stratejisi oluşturulmalıdır. Yedeklenen kişisel veri setleri mutlaka asıl ağ ortamından yalıtılmış ve izole bir biçimde saklanmalı, bu yedeklere erişim yalnızca yetkili sistem yöneticileri ile sınırlandırılmalıdır. Günümüzde sıkça tercih edilen bulut depolama sistemleri kullanıldığında ise, veri sorumlusunun hizmet aldığı bulut servis sağlayıcısının sunduğu güvenlik düzeyini dikkatle denetlemesi gerekmektedir. Veriler bulut ortamına aktarılmadan önce şifrelenmeli ve sözleşme sona erdiğinde kriptografik anahtarlar dahil olmak üzere tüm verilerin güvenli bir biçimde imha edildiğinden emin olunmalıdır.

Şirketim benden alakasız bir sürü kişisel bilgi istiyor, bunu yapmaya hakları var mı? expand_more
Veri sorumlusu olan işletmelerin, KVKK'nın öngördüğü veri minimizasyonu ilkesi doğrultusunda hareket etme zorunluluğu bulunmaktadır. Size sunulan hizmetin veya işleme amacının gerektirdiği asgari düzeyin dışındaki kişisel verilerin talep edilmesi hukuka aykırıdır. İşletmeler, gerçekte ihtiyaç duymadıkları verileri toplamak yerine kimliksizleştirme, maskeleme veya anonimleştirme yöntemleriyle arındırmalıdır. Bu sebeple işletmenin, sunduğu hizmetle açıkça bağlantısı olmayan kişisel bilgilerinizi sizden zorla talep etme hakkı bulunmamaktadır.
Çalışanım yanlışlıkla müşteri listesini sızdırdı. Patron olarak ben mi suçluyum? expand_more
Uygulamada karşılaştığımız veri tehditlerinin büyük bir kısmı kurum içindeki personelin bilgisizliği, dikkatsizliği veya tecrübesizliğinden kaynaklanmaktadır. KVKK uyarınca işveren konumundaki veri sorumlusu olarak, çalışanlarınızı ihlallere karşı bilinçlendirmek amacıyla düzenli eğitim ve farkındalık çalışmaları yürütmek sizin en temel idari yükümlülüğünüzdür. Ayrıca iş sözleşmelerine gizlilik taahhütnameleri eklemeli ve veri tabanına erişim yetkilerini çok sıkı kurallara bağlamalısınız. Eğer kurum içi yönergeleri oluşturmamış ve denetim yükümlülüğünüzü yerine getirmemişseniz, personelin yol açtığı bu sızıntıdan hukuken doğrudan siz sorumlu tutulursunuz.
Sisteme virüs girdi ve tüm veriler kilitlendi. Bu durumda ceza almaktan nasıl kurtulurum? expand_more
Dijital ağlar üzerinden gelen fidye yazılımları ve kötü amaçlı siber saldırılara karşı bilgi sistemlerinizi korumak en önemli teknik yükümlülüğünüzdür. Bu tür kriz anlarında kurumunuzun faaliyetlerine devam edebilmesi için, yalıtılmış ve izole biçimde saklanan etkin bir veri yedekleme stratejinizin bulunması şarttır. Sisteminizin güvenlik duvarlarını doğru kurduğunuzu, sızma testlerini ve log izlemelerini eksiksiz yaptığınızı ispat ederseniz kanunun aradığı proaktif önlemleri aldığınızı kanıtlayabilirsiniz. Ancak hukukun öngördüğü dinamik güvenlik mimarisini kurmamışsanız, verilerin kaybolması ve bozulması neticesinde uygun güvenlik düzeyini temin etmediğiniz gerekçesiyle ciddi yaptırımlarla karşılaşırsınız.
Müşteri verilerini buluta kaydediyoruz. Bulut şirketinde sızıntı olursa biz yanar mıyız? expand_more
Verilerinizi bulut depolama sistemlerinde muhafaza ediyor olmanız hukuki sorumluluğunuzu ortadan kaldırmaz ve asıl veri sorumlusu daima işletmenizdir. Mevzuat uyarınca, hizmet aldığınız bulut servis sağlayıcısının sunduğu güvenlik düzeyini çok dikkatli bir şekilde denetlemekle yükümlüsünüz. Ayrıca söz konusu veriler bulut ortamına aktarılmadan önce tarafınızca şifrelenmeli ve sağlayıcıyla ilişkiniz bittiğinde verilerin tamamen imha edildiğinden emin olunmalıdır. Gerekli şifreleme işlemlerini yapmaz ve sözleşme süreçlerinde ilgili sağlayıcıyı denetlemezseniz, ortaya çıkacak bir sızıntı halinde maalesef doğrudan hukuki yaptırıma tabi olursunuz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir