Anasayfa/ Makale/ KVKK Madde 12 Kapsamında İdari ve Teknik Veri Güvenliği Tedbirleri

KVKK Madde 12 Kapsamında İdari ve Teknik Veri Güvenliği Tedbirleri

Kişisel Verilerin Korunması Kanunu'nun 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önleme ile verilerin muhafazasını sağlama yükümlülüğü getirir. Bu makalede, veri sorumlularının yasal uyumluluk sürecinde alması gereken idari ve teknik veri güvenliği tedbirleri hukuki bir perspektifle incelenmektedir.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına kişisel verilerin korunması ve veri güvenliğinin sağlanması hususunda çok temel yükümlülükler yüklemektedir. Kanun'un 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu açıkça hüküm altına almıştır. Bu yükümlülük, salt bir yasal zorunluluk olmanın ötesinde, veri sorumlularının organizasyonel yapılarına entegre etmeleri gereken kesintisiz bir hukuki uyum sürecini ifade eder. Kişisel Verileri Koruma Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi, alınması gereken idari ve teknik tedbirlerin çerçevesini çizmektedir. Etkin bir veri güvenliği politikasının kurgulanabilmesi için öncelikle veri işleme envanterinin doğru oluşturulması, risk ve tehditlerin tespit edilmesi, sonrasında ise hukuka ve güncel teknolojik gelişmelere uygun idari ve teknik tedbirlerin titizlikle hayata geçirilmesi gerekmektedir. Aksi halde kurum ve kuruluşlar nezdinde telafisi güç hukuki sorumluluklar doğacaktır.

KVKK Kapsamında Alınması Gereken İdari Tedbirler

Veri sorumluları, veri güvenliğinin sağlanması için idari tedbirleri sistemli bir şekilde işletmelidir. İdari tedbirlerin başında mevcut risk ve tehditlerin belirlenmesi gelir. Her kurum kendi iş süreçlerine özgü risk analizlerini yapmalı ve departman bazında işlenen kişisel verileri doğru bir şekilde envantere yansıtmalıdır. Bununla birlikte, süreçteki en büyük risk faktörlerinden biri insan unsurudur. Bu sebeple çalışanların eğitilmesi ve farkındalık çalışmaları, idari tedbirlerin merkezinde yer alır. Veri ihlallerinin birçoğu çalışanların bilinçsizliğinden ya da kasti eylemlerinden kaynaklanabildiği için, çalışanların hukuki yükümlülükler konusunda düzenli olarak eğitilmesi şarttır. Ayrıca, veri işleyenler ile ilişkilerin yönetimi de hukuki güvence altına alınmalıdır. Veri sorumluları, dışarıdan hizmet aldıkları veri işleyenlerin de kendileriyle aynı güvenlik standardını sağladığından emin olmalı ve bunu sözleşmeler ve gizlilik taahhütnameleri ile yasal zemine oturtmalıdır.

Veri Minimizasyonu ve Kurumsal Politikaların Önemi

Kanun'un temel ilkelerinden olan ve veri minimizasyonu olarak adlandırılan yaklaşım, yalnızca gerektiği kadar kişisel verinin işlenmesini ve işlenen verilerin amacına uygun, sınırlı ve ölçülü olmasını gerektirir. Veri sorumluları, gereksiz veya yasal saklama süresi dolmuş verileri Kişisel Veri Saklama ve İmha Politikası doğrultusunda sistemlerinden arındırmalıdır. Bu kapsamda silme, yok etme veya anonimleştirme işlemlerinin hukuka uygun şekilde gerçekleştirilmesi hayati önem taşır. Kurumsal düzeyde kişisel veri güvenliği politikalarının ve prosedürlerinin net bir şekilde belirlenmesi, olası bir veri ihlalinde kurumun aksiyon refleksini hızlandırır. Belirlenen bu politikalar, kağıt üzerinde kalmamalı; idarenin sürekliliği ilkesi ışığında iç ve dış denetimlerle periyodik olarak gözden geçirilerek, eksiklikler derhal raporlanmalı ve giderilmelidir.

Veri Güvenliğinin Sağlanması İçin Teknik Tedbirler

Teknik tedbirler, veri güvenliğinin sağlanmasında donanımsal ve yazılımsal koruma kalkanını oluşturur. Günümüzde hızla gelişen siber tehditler karşısında veri sorumlularının siber güvenliğin sağlanması yükümlülüğünü en üst düzeyde yerine getirmesi zorunludur. Tek bir güvenlik yazılımının yeterli olmayacağı unutulmamalı; güvenlik duvarları, ağ geçitleri, yama yönetimleri ve güncel antivirüs sistemleri aktif olarak kullanılmalıdır. Bunun yanında kişisel veri güvenliğinin takibi yapılarak, sistemdeki anomali hareketler veya sızma girişimleri zaman damgalı log kayıtları üzerinden kesintisiz izlenmelidir. Alınabilecek başlıca teknik tedbirler şu şekilde özetlenebilir:

  • Sistem ve uygulama güvenlik açıklarını tespit eden sızma (penetrasyon) testleri yapılması.
  • Bilgi teknolojileri sistemlerinde yetkisiz erişimleri önlemek amacıyla iki kademeli kimlik doğrulama yöntemlerinin kullanılması.
  • Kişisel verilerin bulutta depolanması durumunda kriptografik şifreleme yöntemlerinin tercih edilmesi ve anahtarların farklı ortamlarda tutulması.
  • Veri kaybını veya hırsızlığını engellemek için kişisel verilerin yedeklenmesi ve acil müdahale planlarının hazır tutulması.
Şirketimizin bilgisayarları hacklenip müşteri verileri çalınırsa ceza yer miyiz? expand_more
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi gereğince, şirketiniz kişisel verilere hukuka aykırı erişimi önlemekle yükümlüdür. Siber tehditlere karşı sadece basit bir güvenlik yazılımı kullanmak yeterli olmayıp, güvenlik duvarları, ağ geçitleri, yama yönetimleri ve güncel antivirüs sistemlerini aktif olarak kullanmanız şarttır. Ayrıca sistemdeki açıkları tespit etmek için düzenli sızma (penetrasyon) testleri yaptırmalı ve yetkisiz erişimleri engellemek adına iki kademeli kimlik doğrulama sistemleri kurmalısınız. Bu idari ve teknik tedbirleri almazsanız şirketiniz nezdinde telafisi güç hukuki sorumluluklar ve cezalar doğacaktır.
Çalışanım müşteri verilerini yanlışlıkla sızdırırsa patron olarak ben mi suçlu olurum? expand_more
Veri sorumlusu sıfatıyla, organizasyonunuzdaki veri ihlallerinin önlenmesi tamamen sizin yasal sorumluluğunuzdadır. Veri süreçlerindeki en büyük risk faktörelerinden biri insan unsuru olduğundan, çalışanların kasıtlı eylemleri veya bilinçsizlikleri ihlallere yol açabilmektedir. Bu hukuki riski minimize etmek için çalışanlarınıza hukuki yükümlülükler konusunda düzenli eğitimler vermeli ve kurum içi farkındalık çalışmaları yürütmelisiniz. Aksi takdirde, personelin hatasından kaynaklanan bir ihlalde, gerekli idari tedbirleri sistemli bir şekilde işletmediğiniz için hukuki yaptırımların doğrudan muhatabı siz olursunuz.
Eski müşterilerimin bilgilerini silmeyip sistemde sonsuza kadar tutabilir miyim? expand_more
Hayır, yasal mevzuatımız gereği kişisel verileri sınırsız ve süresiz olarak sistemlerinizde barındıramazsınız. Kanun'un temel ilkelerinden olan "veri minimizasyonu" uyarınca, yalnızca gerektiği kadar veriyi ve belirlenen yasal saklama süreleri boyunca muhafaza edebilirsiniz. Yasal saklama süresi dolmuş veya artık ihtiyaç duyulmayan verileri, Kişisel Veri Saklama ve İmha Politikası doğrultusunda silmek, yok etmek veya anonimleştirmek zorundasınız. Kurum içindeki bu politikaları kâğıt üzerinde bırakmayıp, iç ve dış denetimlerle eksiklikleri tespit edip gidermezseniz ağır hukuki yaptırımlarla karşılaşırsınız.
Müşteri bilgilerini buluta kaydederken ceza almamak için ne yapmalıyım? expand_more
Kişisel verilerin bulut ortamında depolanması halinde, hukuki güvenliği sağlamak için verilerin kriptografik şifreleme yöntemleriyle korunması ve şifre anahtarlarının farklı ortamlarda tutulması gerekmektedir. Ayrıca, dışarıdan hizmet aldığınız veri işleyen bulut firmalarının da sizinle aynı düzeyde güvenlik standardını sağladığından emin olmak zorundasınız. Bu durumu mutlaka aranızda imzalayacağınız sözleşmeler ve gizlilik taahhütnameleri ile yasal güvence altına almalısınız. Olası bir veri kaybı veya hırsızlığına karşı verilerin düzenli olarak yedeklenmesi ve acil müdahale planlarınızın hazır tutulması da teknik yükümlülükleriniz arasındadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir