VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİ NELERDİR?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 12. Maddesi uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaları zorunlu kılınmıştır.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularınca alınması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve veri sorumlularına yol göstererek iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından Kişisel Veri Güvenliği Rehberi hazırlanmıştır.
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken;
- Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra ise; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin değerlendirilmesi ve gerekli teknik ve idari tedbirlerin uygulamaya konulması veri sorumlularının yüksek idari para cezalarından ve ticari prestij kaybından kaçınmaları adına elzemdir.
Kişisel Veri Güvenliği Rehberi’nde bahsi geçen teknik ve idari tedbirler aşağıda sıralanmıştır.
Veri Sorumluları Tarafından Alınabilecek İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.)
- Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmeleri, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Bilgi Sicil Sistemine (VERBİS) Bildirim
Veri Sorumluları Tarafından Alınabilecek Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi