Veri Sorumlusunun Veri Güvenliğine İlişkin
Yükümlülükleri Nelerdir?
Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, • Kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Ayrıca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir. 4 B) Veri Güvenliğine İlişkin Yükümlülükler Maddenin devamında, veri sorumlusunun, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu belirtilmiştir. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Kanun denetimin veri sorumlusu tarafından yapılması gerektiğini öngörmektedir. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir. Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeye ve bunların hukuka uygun olarak muhafazasını sağlamaya yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasıdır.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
- Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
https://www.kvkk.gov.tr/
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.
Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına
açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden
ayrılmalarından sonra da devam eder.
Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.
Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un Veri güvenliğine ilişkin yükümlülükler başlıklı 12.maddesine göre Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 6698 Sayılı Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18.maddesine göre veri güvenliğine ilişkin bu yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Kişisel Verilerin Korunması Uyum Süreci
Kişisel Verilerin Korunması ile ilgili olarak şirketinizde veya kurumunuzda alınması gereken idari ve teknik tedbirler ile yaptırılması gereken denetimleri içeren Kişisel Verilerin Korunması Uyum Süreci Danışmanlık hizmetiyle ilgili daha detaylı bilgi almak için aşağıdaki bağlantıya tıklayabilirsiniz.
Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmetleri