Makale

Günümüzde dijitalleşme ve elektronik işlemlerin hacmindeki büyük artış, kişisel verilerin korunması ihtiyacını mutlak bir hukuki zorunluluk haline getirmiştir. Kanun koyucu, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere yetkisiz erişimi engellemek ve verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etme yükümlülüğü yüklemiştir. Veri sorumluları, olası ihlalleri engellemek için kendi kurumsal organizasyonlarına ve işledikleri kişisel verilerin niteliğine uygun olan her türlü teknik ve idari tedbiri derhal almak zorundadır. Bu hayati tedbirlerin eksikliği, şirketler açısından yalnızca yüksek meblağlı idari para cezalarına yol açmakla kalmaz, aynı zamanda ilgili gerçek kişilerin temel hak ve özgürlüklerinin geri dönülemez biçimde zedelenmesine de neden olur. Dolayısıyla, tüm veri sorumlularının, güvenlik mimarilerini güncel kanuni standartlara tam uyumlu şekilde tasarlaması kanuni bir şarttır.

Kişisel Veri Güvenliğinin Sağlanması İçin İdari Tedbirler

Veri güvenliği ihlallerinin kaynağında doğmadan engellenebilmesi adına, işletmelerin organizasyonel süreçlerini hukuki gerekliliklere göre yeniden yapılandırmaları esastır. Bu noktada alınması gereken en öncelikli idari tedbirlerin başında mevcut risk ve tehditlerin doğru belirlenmesi gelmektedir. Veri sorumlusu, sisteminde işlediği kişisel verilerin özel nitelikli kişisel veri olup olmadığını titizlikle değerlendirmeli ve olası bir sızıntı durumunda ortaya çıkacak zararın ciddiyetini analiz etmelidir. Bu hukuki analiz doğrultusunda, şirket bünyesinde sistemli ve sürdürülebilir kişisel veri güvenliği politika ve prosedürlerinin oluşturulması mutlak surette zorunludur. Bununla birlikte, uygulamada veri ihlallerinin önemli bir kısmı iç organizasyondaki insan faktöründen kaynaklandığı için çalışanların periyodik olarak eğitilmesi ve farkındalık çalışmaları büyük bir önem taşır. Personelin veri erişim yetki sınırlarının net bir biçimde çizilmesi, periyodik olarak yetki kontrollerinin icra edilmesi ve şirket çalışanlarıyla imzalanan sözleşmelere gizlilik ve sır saklama yükümlülüklerinin dahil edilmesi elzemdir.

Veri İhlallerini Önlemeye Yönelik Teknik Tedbirler

Alınan idari tedbirlerin, sistem altyapılarına entegre edilen güçlü teknik ve algoritmik önlemlerle desteklenmesi kanuni bir gerekliliktir. Bilişim sistemlerine ve dış ağlara yönelik siber tehditleri bertaraf etmek amacıyla güncel güvenlik duvarlarının, antivirüs ve antispam programlarının kullanılması şarttır. Kötü niyetli yetkisiz erişimleri engellemek adına, kişisel veri barındıran elektronik sistemlere girişlerde kullanıcı adı ve şifre mekanizmalarının sınırlandırılması, iki kademeli kimlik doğrulama sistemlerinin ivedilikle devreye alınması ve kriptografik yöntemlerle veri şifrelemesi yapılması gereklidir. Ağ ortamında oluşabilecek her türlü sızmayı ve olağan dışı hareketliliği zamanında tespit edebilmek maksadıyla log kayıtlarının düzenli olarak tutulması ve dijital sistemlerin periyodik aralıklarla sızma testlerine (penetration tests) tabi tutulması hukuki bir güvence mekanizmasıdır. Ayrıca, muhtemel bir veri kaybı senaryosuna karşı, kişisel verilerin sistem ağı dışında güvenli bir şekilde yedeklenmesi ve senkronizasyonunun sağlanması operasyonel sürekliliği korur.

İlgili Kişi Hakları ve Başvuru Süreçleri

Kanun, kişisel verisi işlenen ilgili kişilere, gerçekleştirilen veri işleme faaliyetinin şeffaflığını her aşamada denetleme ve kendi verileri üzerinde hakimiyet sağlama hususunda geniş haklar tanımıştır. Bu yasal hakların etkin kullanımı, veri sorumlusunun veri işleme pratiklerinin hukuka uygunluğunu tespit etmenin en geçerli yoludur. İlgili gerçek kişi, herhangi bir hak ihlali şüphesi hissettiği durumda, yasal mercii olan Kurul'a şikayette bulunmadan önce mutlak suretle veri sorumlusuna yazılı olarak veya kayıtlı elektronik posta usulüyle başvurmak zorundadır. Kendisine başvuru iletilen veri sorumlusu da bu meşru talepleri, niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak hukuken sonuçlandırmakla mükelleftir. İlgili kişilerin veri sorumlularına karşı ileri sürebilecekleri yasal hakları şu şekilde listelenebilir:

• Kişisel verilerin işlenip işlenmediğini öğrenme ve eğer işlenmişse buna ilişkin bilgi talep etme hakkı.
• Kişisel verilerin asıl işlenme amacını ve bu verilerin meşru amacına uygun kullanılıp kullanılmadığını öğrenme hakkı.
• Eksik veya yanlış bir şekilde işlenmiş kişisel verilerin düzeltilmesini talep etme hakkı.
• Kanuni veri işleme şartlarının tamamen ortadan kalkması halinde verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme hakkı.
• Münhasıran otomatik sistemler vasıtasıyla kişinin aleyhine ortaya çıkan sonuçlara itiraz etme ve hukuka aykırı veri işleme sebebiyle oluşan her türlü zararın giderilmesini talep etme hakkı.

Hak İhlali Durumunda Tazminat ve Yaptırımlar

İlgili kişinin sahip olduğu meşru başvuru yollarını usulüne uygun şekilde kullanmasına rağmen, veri sorumlusu tarafından talebinin tamamen reddedilmesi, verilen cevabın içerikçe yetersiz bulunması veya yasal süre içinde hiçbir cevap verilmemesi ciddi bir hukuki ihlal tablosu yaratır. Bu gibi hallerde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu'na şikayet hakkını kullanabilir. Hukuki inceleme sonucunda veri sorumluları, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü kasten veya ihmalen ihlal ettiklerinde oldukça yüksek meblağlara ulaşabilen idari para cezaları ile karşı karşıya kalırlar. Bunun yanı sıra, kişisel verilerin kanuna açıkça aykırı olarak işlenmesi neticesinde somut bir zarar doğması halinde, zarara uğrayan ilgili kişi genel mahkemelerde maddi ve manevi tazminat davası açma hakkına da haizdir.