Anasayfa/ Makale/ KVKK Kapsamında Veri Sorumlusunun Teknik ve...

Makale

Kişisel Verilerin Korunması Kanunu uyarınca veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla risk analizi, personel eğitimi, politika oluşturma, siber güvenlik, şifreleme ve bulut yedeklemesi gibi proaktif koruma mekanizmalarını içeren teknik ve idari tedbirleri almakla yükümlüdür.

KVKK Kapsamında Veri Sorumlusunun Teknik ve İdari Tedbir Yükümlülükleri

ÖZEL NİTELİKLİ KİŞİSEL VERİ KVKK

Dijitalleşmenin hız kazandığı günümüz bilgi toplumunda, kişisel verilerin korunması kurumlar için en temel hukuki gerekliliklerden biri haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı şekilde erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etme yükümlülüğü getirmektedir. Kanun'un öngördüğü bu uygun güvenlik düzeyi, durağan bir yapıdan ziyade sürekli değişen siber tehditler karşısında güncellenmesi gereken dinamik bir süreci ifade eder. Bu bağlamda, veri sorumlusunun faaliyette bulunduğu sektör, işlenen verilerin niteliği, ihlal durumunda ortaya çıkacak risklerin ağırlığı gibi unsurlar dikkate alınarak proaktif koruma mekanizmaları geliştirilmelidir. Veri sorumlusunun kendi kurumsal organizasyon yapısına entegre etmesi gereken söz konusu mekanizmalar, mevzuata uyum sağlama temelinde şekillenen idari tedbirler ile bilişim sistemlerinin siber tehditlerden korunmasını amaçlayan teknik tedbirler olmak üzere iki ana kategoride değerlendirilmektedir.

İdari Tedbirler Kapsamında Yönetimsel Yükümlülükler

Mevcut Risklerin Belirlenmesi ve Veri Minimizasyonu

Veri güvenliğinin sağlanması sürecinde ilk adım, veri sorumlusunun elinde bulundurduğu kişisel verilerin neler olduğunun ve işleme faaliyetlerinin taşıdığı risk seviyesinin tespit edilmesidir. Bu amaçla, kuruma özgü bir kişisel veri işleme envanteri oluşturulmalı ve muhtemel güvenlik ihlallerinin ilgili kişilerin temel hak ve özgürlükleri üzerinde yaratacağı etkiler önceden analiz edilmelidir. Risk temelli bu yaklaşım, alınacak önlemlerin çerçevesini çizer. Aynı zamanda, işletmeler veri minimizasyonu ilkesi doğrultusunda hareket etmeli, yalnızca işleme amacına uygun ve gerekli olan asgari düzeyde kişisel veriyi talep etmelidir. İhtiyaç duyulmayan verilerin kimliksizleştirme, maskeleme veya anonimleştirme yöntemleriyle arındırılması, idari tedbirlerin en önemli yansımalarından biridir.

Kurumsal Politikaların Oluşturulması ve Personel Eğitimi

İdari tedbirler sadece kâğıt üzerinde kalmamalı, veri sorumlusunun organizasyonel yapısına ve kurum kültürüne nüfuz etmelidir. Kurum içinde kişisel veri saklama ve imha politikaları, erişim ve kullanım prosedürleri gibi iç yönergeler oluşturulmalı ve bu politikalar düzenli olarak denetlenmelidir. Tehditlerin büyük bir kısmının kurum içindeki personelin bilgisizliği, dikkatsizliği veya tecrübesizliğinden kaynaklanabildiği unutulmamalıdır. Bu nedenle, çalışanların veri ihlallerine karşı bilinçlendirilmesi amacıyla düzenli eğitim ve farkındalık çalışmaları yürütülmelidir. İş sözleşmelerine gizlilik taahhütnamelerinin eklenmesi ve özel nitelikli kişisel veri işleyen personel için erişim yetkilerinin sıkı kurallara bağlanması, veri güvenliği mimarisini güçlendiren temel idari önlemler arasında yer almaktadır.

Teknik Tedbirler ve Siber Güvenlik Mimarisi

Ağ Güvenliği, Şifreleme ve Erişim Takibi

Kişisel verilere yönelik yetkisiz erişimlerin günümüzde çoğunlukla dijital ağlar üzerinden gerçekleştirilmesi, siber güvenliğin sağlanmasını veri sorumlusunun en temel teknik yükümlülüğü haline getirmiştir. Bilgi sistemlerinin yapılandırma ayarlarının doğru yapılması, güncel antivirüs yazılımlarının ve saldırı tespit sistemlerinin kullanılması zorunludur. Ayrıca, veri sorumlusu bünyesindeki bilişim altyapısına yönelik güvenlik durumunun tespiti ve sürekliliğinin sağlanması adına bazı asgari teknik koruma kalkanları devreye alınmalıdır:

  • Güvenlik duvarları ve ağ geçitleri ile sistemler arası veri akışının denetlenmesi.
  • Özel nitelikli kişisel verilerin kriptografik yöntemlerle şifrelenmesi ve şifreleme anahtarlarının ayrı ortamlarda saklanması.
  • Sistemlerdeki ağ trafiğinin, olağandışı faaliyetlerin ve erişim yetkilerinin log kayıtları aracılığıyla düzenli olarak izlenmesi.
  • Zafiyet taramaları ve periyodik sızma testleri ile güvenlik açıklarının önceden tespit edilmesi.

Veri Yedekleme ve Bulut Bilişim Güvenliği

Sistemlere yönelik fidye yazılımları veya benzeri kötü amaçlı siber saldırılar sonucunda kişisel verilerin kaybolması, bozulması ya da erişilemez hale gelmesi durumunda, kurumsal faaliyetlerin kesintiye uğramadan devam edebilmesi için etkin bir veri yedekleme stratejisi oluşturulmalıdır. Yedeklenen kişisel veri setleri mutlaka asıl ağ ortamından yalıtılmış ve izole bir biçimde saklanmalı, bu yedeklere erişim yalnızca yetkili sistem yöneticileri ile sınırlandırılmalıdır. Günümüzde sıkça tercih edilen bulut depolama sistemleri kullanıldığında ise, veri sorumlusunun hizmet aldığı bulut servis sağlayıcısının sunduğu güvenlik düzeyini dikkatle denetlemesi gerekmektedir. Veriler bulut ortamına aktarılmadan önce şifrelenmeli ve sözleşme sona erdiğinde kriptografik anahtarlar dahil olmak üzere tüm verilerin güvenli bir biçimde imha edildiğinden emin olunmalıdır.

4 dk okuma Yayınlanma: Güncelleme: