Anasayfa/ Makale/ KVKK Madde 12 Kapsamında İdari ve Teknik Veri...

Makale

Kişisel Verilerin Korunması Kanunu'nun 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önleme ile verilerin muhafazasını sağlama yükümlülüğü getirir. Bu makalede, veri sorumlularının yasal uyumluluk sürecinde alması gereken idari ve teknik veri güvenliği tedbirleri hukuki bir perspektifle incelenmektedir.

KVKK Madde 12 Kapsamında İdari ve Teknik Veri Güvenliği Tedbirleri

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına kişisel verilerin korunması ve veri güvenliğinin sağlanması hususunda çok temel yükümlülükler yüklemektedir. Kanun'un 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu açıkça hüküm altına almıştır. Bu yükümlülük, salt bir yasal zorunluluk olmanın ötesinde, veri sorumlularının organizasyonel yapılarına entegre etmeleri gereken kesintisiz bir hukuki uyum sürecini ifade eder. Kişisel Verileri Koruma Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi, alınması gereken idari ve teknik tedbirlerin çerçevesini çizmektedir. Etkin bir veri güvenliği politikasının kurgulanabilmesi için öncelikle veri işleme envanterinin doğru oluşturulması, risk ve tehditlerin tespit edilmesi, sonrasında ise hukuka ve güncel teknolojik gelişmelere uygun idari ve teknik tedbirlerin titizlikle hayata geçirilmesi gerekmektedir. Aksi halde kurum ve kuruluşlar nezdinde telafisi güç hukuki sorumluluklar doğacaktır.

KVKK Kapsamında Alınması Gereken İdari Tedbirler

Veri sorumluları, veri güvenliğinin sağlanması için idari tedbirleri sistemli bir şekilde işletmelidir. İdari tedbirlerin başında mevcut risk ve tehditlerin belirlenmesi gelir. Her kurum kendi iş süreçlerine özgü risk analizlerini yapmalı ve departman bazında işlenen kişisel verileri doğru bir şekilde envantere yansıtmalıdır. Bununla birlikte, süreçteki en büyük risk faktörlerinden biri insan unsurudur. Bu sebeple çalışanların eğitilmesi ve farkındalık çalışmaları, idari tedbirlerin merkezinde yer alır. Veri ihlallerinin birçoğu çalışanların bilinçsizliğinden ya da kasti eylemlerinden kaynaklanabildiği için, çalışanların hukuki yükümlülükler konusunda düzenli olarak eğitilmesi şarttır. Ayrıca, veri işleyenler ile ilişkilerin yönetimi de hukuki güvence altına alınmalıdır. Veri sorumluları, dışarıdan hizmet aldıkları veri işleyenlerin de kendileriyle aynı güvenlik standardını sağladığından emin olmalı ve bunu sözleşmeler ve gizlilik taahhütnameleri ile yasal zemine oturtmalıdır.

Veri Minimizasyonu ve Kurumsal Politikaların Önemi

Kanun'un temel ilkelerinden olan ve veri minimizasyonu olarak adlandırılan yaklaşım, yalnızca gerektiği kadar kişisel verinin işlenmesini ve işlenen verilerin amacına uygun, sınırlı ve ölçülü olmasını gerektirir. Veri sorumluları, gereksiz veya yasal saklama süresi dolmuş verileri Kişisel Veri Saklama ve İmha Politikası doğrultusunda sistemlerinden arındırmalıdır. Bu kapsamda silme, yok etme veya anonimleştirme işlemlerinin hukuka uygun şekilde gerçekleştirilmesi hayati önem taşır. Kurumsal düzeyde kişisel veri güvenliği politikalarının ve prosedürlerinin net bir şekilde belirlenmesi, olası bir veri ihlalinde kurumun aksiyon refleksini hızlandırır. Belirlenen bu politikalar, kağıt üzerinde kalmamalı; idarenin sürekliliği ilkesi ışığında iç ve dış denetimlerle periyodik olarak gözden geçirilerek, eksiklikler derhal raporlanmalı ve giderilmelidir.

Veri Güvenliğinin Sağlanması İçin Teknik Tedbirler

Teknik tedbirler, veri güvenliğinin sağlanmasında donanımsal ve yazılımsal koruma kalkanını oluşturur. Günümüzde hızla gelişen siber tehditler karşısında veri sorumlularının siber güvenliğin sağlanması yükümlülüğünü en üst düzeyde yerine getirmesi zorunludur. Tek bir güvenlik yazılımının yeterli olmayacağı unutulmamalı; güvenlik duvarları, ağ geçitleri, yama yönetimleri ve güncel antivirüs sistemleri aktif olarak kullanılmalıdır. Bunun yanında kişisel veri güvenliğinin takibi yapılarak, sistemdeki anomali hareketler veya sızma girişimleri zaman damgalı log kayıtları üzerinden kesintisiz izlenmelidir. Alınabilecek başlıca teknik tedbirler şu şekilde özetlenebilir:

  • Sistem ve uygulama güvenlik açıklarını tespit eden sızma (penetrasyon) testleri yapılması.
  • Bilgi teknolojileri sistemlerinde yetkisiz erişimleri önlemek amacıyla iki kademeli kimlik doğrulama yöntemlerinin kullanılması.
  • Kişisel verilerin bulutta depolanması durumunda kriptografik şifreleme yöntemlerinin tercih edilmesi ve anahtarların farklı ortamlarda tutulması.
  • Veri kaybını veya hırsızlığını engellemek için kişisel verilerin yedeklenmesi ve acil müdahale planlarının hazır tutulması.
3 dk okuma Yayınlanma: Güncelleme: