ÖZET1
Kişisel verilerin korunmasına ilişkin mevzuat uyarınca veri sorumlularına veri güvenliğinin sağlanmasına ilişkin yükümlülükler getirilmiş olup, veri güvenliğinin sağlanmasına ilişkin gerekli tedbirlerin alınmaması durumunda idari para cezalarının gündeme geleceği yine ilgili mevzuat kapsamında öngörülmüştür. Veri güvenliğinin sağlanması sürecinde alınması gereken önlemler ise Kişisel Verileri Koruma Kurulu tarafından yayınlanan Kişisel Veri Güvenliği Rehberi ile teknik ve idari tedbirler olacak şekilde 2 farklı başlık altında düzenlenmiştir.
Anahtar Kelimeler: Veri Güvenliği, Teknik ve İdari Tedbirler, Kişisel Verileri Koruma Kurulu
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK" veya "Kanun") kapsamında veri sorumlularına getirilen yükümlülüklerden biri de veri güvenliğini sağlama yükümlülüğüdür. Veri güvenliği, kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde, detaylı olacak şekilde düzenlenmiş ve veri güvenliğinin ihlali ile veri güvenliğinin sağlanmasına ilişkin önlemlerin alınmaması halleri bakımından ağır yaptırımlar öngörülmüştür.
Veri güvenliğinin sağlanması bakımından yerine getirilmesi gereken işlemler ile veri sorumluları tarafından alınması gereken teknik ve idari tedbirler; Kişisel Verileri Koruma Kurulu'nun ("Kurul") yayımladığı "Kişisel Veri Güvenliği Rehberi'nde de (Teknik ve İdari Tedbirler)" ("Rehber") ayrıntılı bir şekilde düzenlenmiştir. İşbu çalışmamız kapsamında, Rehber uyarınca düzenlenen teknik ve idari güvenlik tedbirleri incelenerek, veri sorumluları nezdinde hukuki sorumluluğun doğmaması adına veri güvenliğinin sağlanmasının önemi ortaya koyulmaya çalışılacaktır.
- VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNİ SAĞLAMA YÜKÜMLÜLÜĞÜ
KVKK'nın 3. maddesine göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun'un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı olacak şekilde işlenmesini önleme, bu verilere hukuka aykırı olacak şekilde erişilmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür.2
Nitekim KVKK'nın 12. Maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türkü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.
Kanuni Sorumluluk
KVKK'nın 12. maddesi uyarınca, veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli her türlü tedbirin alınması hususunda veri işleyen kişiler ile birlikte müştereken sorumlu olmaktadır. Dolayısıyla veri sorumlusu ile veri işleyenin farklı kişiler olması halinde veri işleyenlerin de veri güvenliğinin sağlanması için tedbir alma zorunluluğu bulunmaktadır ancak bu zorunluluk, veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri kapsamındaki sorumluluğunu bertaraf etmemektedir.3
Veri sorumlusunun veri güvenliğine ilişkin bir diğer yükümlülüğü ise denetim yapmak ya da yaptırmaktır. Nitetim KVKK'nın 12. maddesi uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, ilgili mevzuat hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve/veya yaptırmak zorundadır. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, üçüncü bir kişi veya kuruluş vasıtasıyla da gerçekleştirebilir.
Bununla birlikte, Sağlık Bakanlığı tarafından yayınlanan Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin 11. maddesi kapsamında düzenlendiği üzere, veri sorumluları ile veri işleyen kişiler, elde ettikleri kişisel verileri KVKK hükümlerine aykırı olacak şekilde başkasına açıklayamayacak ve işleme amacı dışında kullanamayacaktır.
- TEKNİK VE İDARİ TEDBİRLER
KVKK'da veri sorumlusu tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınacağı öngörülmüş; ancak bu tedbirlerin neler olabileceğine ilişkin açıklama yapılmamıştır. Dolayısıyla, her bir somut olay kendi içinde farklı önlemler alınmasını gerektirecek olup, uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önem arz edecektir.4
Kişisel verilerin işlenmesi faaliyetleri kapsamında veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kurul tarafından, yukarıda açıklandığı üzere, bir Rehber yayınlanmış ve bu Rehber'de veri sorumluları tarafından alınabilecek önlemlere ilişkin ilk tespitler yapılmıştır. Ancak belirtmek gerekir ki, Rehber'de yer alan tedbirlerin yanında Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere, sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.5
Kurul tarafından belirlenen idari tedbirler, şirket içerisinde alınması gereken kararlar ve atılması gereken adımlar doğrultusunda alınabilecek güvenlik tedbirlerini (Kişisel veri işleme envanteri hazırlanması, kurumsal politikalar, gizlilik taahhütnameleri imzalanması, iş sözleşmesi ve disiplin yönetmeliğine Kanun'a uygun hükümlerin ilave edilmesi, Veri Sorumluları Sicil Bilgi Sistemine bildirim yapılması vb.) ifade etmekte iken; teknik tedbirler, şirket içerisinde oluşturulan kişisel veri güvenliği politikaları ve görev tanımları kapsamında, kâğıt ve elektronik ortamlarda işlenen kişisel verilerin ve işbu ortamların güvenliğinin sağlanabilmesi amacıyla alınması öngörülen tedbirleri (Yetki matrisi, erişim logları, kullanıcı hesap yönetimi, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, yedekleme vb.) ifade etmektedir.6
SONUÇ
6698 sayılı Kişisel Verilerin Korunması Kanunda, veri sorumluları tarafından yerin getirilmesi gerektiği öngörülen ve Kişisel Verileri Koruma Kurulu'nun yayınlamış olduğu "Veri Güvenliği Rehberi" uyarınca açıklanan teknik ve idari tedbirler, veri sorumluları bakımından yerine getirilmesi gereken kanuni bir yükümlülüktür. Bu doğrultuda veri sorumlularının veri güvenliği hususunda önemli bir hukuki sorumluluğu olmakla birlikte, bu sorumluluğun gereği gibi yerine getirilmemesi halinde idari para cezaları ile karşılaşılması söz konusu olacaktır.
Footnotes
*Çalışmalarım boyunca yardımını esirgemeyen değerli çalışma arkadaşlarıma teşekkürü bir borç bilirim.
1 Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme", İbrahim Korkmaz, 2016, 124, Türkiye Barolar Birliği Dergisi
2 "Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk", Damla Gürpınar, 2017, Özel Sayı, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi
3 https://www.kvkk.gov.tr/Icerik/2040/Veri-Guvenligine-Iliskin-Yukumlulukler , (Erişim Tarihi: 04.01.2019, saat: 15:30)
4 https://www.kvkk.gov.tr/Icerik/4192/Kanun-Kapsamindaki-Hak-ve-Yukumlulukler, Erişim Tarihi: 04.01.2019, saat: 15:30)
5 Ayrıntılı bilgi için bkz. Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), (Erişim tarihi: 04.01.2019, saat 13:34)
6 Ayrıntılı bilgi için bkz. Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), (Erişim tarihi: 04.01.2019, saat 13:34)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
