Anasayfa/ Makale/ Veri Güvenliği Önlemleri ve İlgili Kişi Hakları İhlalleri

Veri Güvenliği Önlemleri ve İlgili Kişi Hakları İhlalleri

Kişisel verilerin hukuka aykırı işlenmesini ve erişimini engellemek, veri sorumlularının en temel hukuki yükümlülüğüdür. Bu makalede, veri işleme süreçlerinde alınması gereken teknik ve idari güvenlik tedbirleri ile ilgili kişilerin sahip olduğu yasal haklar ve muhtemel ihlal senaryoları hukuki bir perspektifle detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
TAZMİNAT KVKK MANEVİ TAZMİNAT ÖZEL NİTELİKLİ KİŞİSEL VERİ CEZA HUKUKU

Günümüzde dijitalleşme ve elektronik işlemlerin hacmindeki büyük artış, kişisel verilerin korunması ihtiyacını mutlak bir hukuki zorunluluk haline getirmiştir. Kanun koyucu, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere yetkisiz erişimi engellemek ve verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etme yükümlülüğü yüklemiştir. Veri sorumluları, olası ihlalleri engellemek için kendi kurumsal organizasyonlarına ve işledikleri kişisel verilerin niteliğine uygun olan her türlü teknik ve idari tedbiri derhal almak zorundadır. Bu hayati tedbirlerin eksikliği, şirketler açısından yalnızca yüksek meblağlı idari para cezalarına yol açmakla kalmaz, aynı zamanda ilgili gerçek kişilerin temel hak ve özgürlüklerinin geri dönülemez biçimde zedelenmesine de neden olur. Dolayısıyla, tüm veri sorumlularının, güvenlik mimarilerini güncel kanuni standartlara tam uyumlu şekilde tasarlaması kanuni bir şarttır.

Kişisel Veri Güvenliğinin Sağlanması İçin İdari Tedbirler

Veri güvenliği ihlallerinin kaynağında doğmadan engellenebilmesi adına, işletmelerin organizasyonel süreçlerini hukuki gerekliliklere göre yeniden yapılandırmaları esastır. Bu noktada alınması gereken en öncelikli idari tedbirlerin başında mevcut risk ve tehditlerin doğru belirlenmesi gelmektedir. Veri sorumlusu, sisteminde işlediği kişisel verilerin özel nitelikli kişisel veri olup olmadığını titizlikle değerlendirmeli ve olası bir sızıntı durumunda ortaya çıkacak zararın ciddiyetini analiz etmelidir. Bu hukuki analiz doğrultusunda, şirket bünyesinde sistemli ve sürdürülebilir kişisel veri güvenliği politika ve prosedürlerinin oluşturulması mutlak surette zorunludur. Bununla birlikte, uygulamada veri ihlallerinin önemli bir kısmı iç organizasyondaki insan faktöründen kaynaklandığı için çalışanların periyodik olarak eğitilmesi ve farkındalık çalışmaları büyük bir önem taşır. Personelin veri erişim yetki sınırlarının net bir biçimde çizilmesi, periyodik olarak yetki kontrollerinin icra edilmesi ve şirket çalışanlarıyla imzalanan sözleşmelere gizlilik ve sır saklama yükümlülüklerinin dahil edilmesi elzemdir.

Veri İhlallerini Önlemeye Yönelik Teknik Tedbirler

Alınan idari tedbirlerin, sistem altyapılarına entegre edilen güçlü teknik ve algoritmik önlemlerle desteklenmesi kanuni bir gerekliliktir. Bilişim sistemlerine ve dış ağlara yönelik siber tehditleri bertaraf etmek amacıyla güncel güvenlik duvarlarının, antivirüs ve antispam programlarının kullanılması şarttır. Kötü niyetli yetkisiz erişimleri engellemek adına, kişisel veri barındıran elektronik sistemlere girişlerde kullanıcı adı ve şifre mekanizmalarının sınırlandırılması, iki kademeli kimlik doğrulama sistemlerinin ivedilikle devreye alınması ve kriptografik yöntemlerle veri şifrelemesi yapılması gereklidir. Ağ ortamında oluşabilecek her türlü sızmayı ve olağan dışı hareketliliği zamanında tespit edebilmek maksadıyla log kayıtlarının düzenli olarak tutulması ve dijital sistemlerin periyodik aralıklarla sızma testlerine (penetration tests) tabi tutulması hukuki bir güvence mekanizmasıdır. Ayrıca, muhtemel bir veri kaybı senaryosuna karşı, kişisel verilerin sistem ağı dışında güvenli bir şekilde yedeklenmesi ve senkronizasyonunun sağlanması operasyonel sürekliliği korur.

İlgili Kişi Hakları ve Başvuru Süreçleri

Kanun, kişisel verisi işlenen ilgili kişilere, gerçekleştirilen veri işleme faaliyetinin şeffaflığını her aşamada denetleme ve kendi verileri üzerinde hakimiyet sağlama hususunda geniş haklar tanımıştır. Bu yasal hakların etkin kullanımı, veri sorumlusunun veri işleme pratiklerinin hukuka uygunluğunu tespit etmenin en geçerli yoludur. İlgili gerçek kişi, herhangi bir hak ihlali şüphesi hissettiği durumda, yasal mercii olan Kurul'a şikayette bulunmadan önce mutlak suretle veri sorumlusuna yazılı olarak veya kayıtlı elektronik posta usulüyle başvurmak zorundadır. Kendisine başvuru iletilen veri sorumlusu da bu meşru talepleri, niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak hukuken sonuçlandırmakla mükelleftir. İlgili kişilerin veri sorumlularına karşı ileri sürebilecekleri yasal hakları şu şekilde listelenebilir:

  • Kişisel verilerin işlenip işlenmediğini öğrenme ve eğer işlenmişse buna ilişkin bilgi talep etme hakkı.
  • Kişisel verilerin asıl işlenme amacını ve bu verilerin meşru amacına uygun kullanılıp kullanılmadığını öğrenme hakkı.
  • Eksik veya yanlış bir şekilde işlenmiş kişisel verilerin düzeltilmesini talep etme hakkı.
  • Kanuni veri işleme şartlarının tamamen ortadan kalkması halinde verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme hakkı.
  • Münhasıran otomatik sistemler vasıtasıyla kişinin aleyhine ortaya çıkan sonuçlara itiraz etme ve hukuka aykırı veri işleme sebebiyle oluşan her türlü zararın giderilmesini talep etme hakkı.

Hak İhlali Durumunda Tazminat ve Yaptırımlar

İlgili kişinin sahip olduğu meşru başvuru yollarını usulüne uygun şekilde kullanmasına rağmen, veri sorumlusu tarafından talebinin tamamen reddedilmesi, verilen cevabın içerikçe yetersiz bulunması veya yasal süre içinde hiçbir cevap verilmemesi ciddi bir hukuki ihlal tablosu yaratır. Bu gibi hallerde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu'na şikayet hakkını kullanabilir. Hukuki inceleme sonucunda veri sorumluları, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü kasten veya ihmalen ihlal ettiklerinde oldukça yüksek meblağlara ulaşabilen idari para cezaları ile karşı karşıya kalırlar. Bunun yanı sıra, kişisel verilerin kanuna açıkça aykırı olarak işlenmesi neticesinde somut bir zarar doğması halinde, zarara uğrayan ilgili kişi genel mahkemelerde maddi ve manevi tazminat davası açma hakkına da haizdir.

Şirket bilgilerimi çaldırmış, dava açıp tazminat alabilir miyim? expand_more
Kişisel verilerinizin açıkça kanuna aykırı olarak işlenmesi veya sızdırılması neticesinde somut bir zarara uğramanız halinde elbette yasal yollara başvurma hakkınız bulunmaktadır. Öncelikle veri sorumlusu olan şirkete usulüne uygun şekilde başvurarak bu hukuka aykırı durum sebebiyle oluşan her türlü zararınızın giderilmesini talep edebilirsiniz. Şirket, verilerinizi korumak için gerekli teknik ve idari tedbirleri almadığı için yüksek idari para cezalarıyla karşılaşabileceği gibi, sizin de genel mahkemelerde maddi ve manevi tazminat davası açma hakkınız hukuken mahfuzdur.
Firmalarda tutulan kişisel bilgilerimin tamamen silinmesini isteyebilir miyim? expand_more
Evet, ilgili kanun kapsamında kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme hakkınız yasal bir güvence altındadır. Ancak bu hakkınızı kullanabilmeniz için, söz konusu verilerin kanuni işleme şartlarının tamamen ortadan kalkmış olması gerekmektedir. Bu şartlar oluştuğunda, kuruma yazılı olarak veya kayıtlı elektronik posta (KEP) ile başvurmanız halinde, işletme bu talebinizi en geç otuz gün içinde ve tamamen ücretsiz olarak sonuçlandırmakla yükümlüdür.
Bilgilerimi izinsiz kullanan şirketi doğrudan Kurul'a şikayet edebilir miyim? expand_more
Herhangi bir hak ihlali şüphesi durumunda, Kişisel Verileri Koruma Kurulu'na doğrudan şikayette bulunmanız hukuki usul gereği mümkün değildir. Kanun, şikayet hakkınızı kullanmadan önce mutlak suretle ihlali gerçekleştiren veri sorumlusuna yazılı olarak veya KEP usulüyle başvurmanızı emretmektedir. Şirket başvurunuzu reddederse, verdiği cevabı yetersiz bulursanız veya otuz gün içinde size hiçbir cevap vermezse, ancak bu aşamalardan sonra Kurul'a şikayet yoluna gidebilirsiniz. Bu şikayeti de şirketin cevabını öğrendiğiniz tarihten itibaren otuz gün ve her halükarda ilk başvuru tarihinizden itibaren altmış gün içinde yapmanız gerekmektedir.
Çalışanların bilgisizliği yüzünden bilgilerim sızarsa şirket bundan yırtar mı? expand_more
Hayır, uygulamada veri ihlallerinin önemli bir kısmı şirket içi insan faktöründen kaynaklansa dahi, işletmelerin veri sorumlusu sıfatıyla hukuki ve idari sorumluluğu aynen devam etmektedir. Şirketler, olası sızıntıları engellemek adına çalışanlarını periyodik olarak eğitmek, veri erişim yetkilerini net bir biçimde sınırlandırmak ve personeliyle gizlilik sözleşmeleri yapmak zorundadır. Şirket organizasyonu bu idari tedbirleri almadığı için verilerinize yetkisiz erişim sağlanırsa, kurum hem yüksek meblağlı idari para cezalarıyla karşı karşıya kalır hem de doğan ihlalden dolayı size karşı sorumlu olur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir