Kişisel Verilerin Güvenliğine İlişkin Teknik ve İdari Tedbirler , 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. Madddesinde düzenlenmiştir. Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde bir veri kayıt sisteminin varlığıyla uygulama alanı bulmaktadır. Öyle ki Kanunun 2. maddesindeki ' kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler ' ifadesiyle kanunun kapsam alanı belirlenmiştir. İlgili kanunda veri kayıt sistemi, "kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi"olarak tanımlanmıştır. Veri kayıt sistemi elektronik veya fiziki ortamda oluşturulabilir. Kayıt sisteminin korunması açısından kanun, veri sorumlusuna gerekli idari ve teknik tedbirleri alma yükümlülüğünü getirmiştir.
İdari Tedbirler;
İdari tedbirler alınırken öncelikle veri kayıt sistemi içerisindeki tüm verilerin hangi faaliyet ile işlendikleri, veri işleme amaçları, özel nitelikte kişisel veri olup olmadıkları gibi nitelikleri ayrıntılı olarak tespit edilmelidir. Verilerin niteliğine göre ise oluşabilecek riskler öngörülmeli ve buna göre alınabilecek önlemler belirlenmelidir. Bununla birlikte oluşabilecek risklere karşı veri sorumlusu bünyesinde kişisel verilere ulaşabilen çalışanlara yönelik eğitim verilmeli ve farkındalık çalışmaları yürütülmelidir. Veri sorumlusu da verilerin güvenliği ile ilgili olarak gerekli politikalar ve prosedürler geliştirmelidir.
Teknik Tedbirler;
Teknik tedbirler öncelikle kişisel verilerin siber saldırılara karşı korunmasını amaç edinmelidir. Teknolojinin sürekli gelişmesi ve değişmesi göz önünde bulundurulduğunda siber saldırılara karşı sürekli ve birden fazla siber güvenlik ürünleri ve ekipleri kullanılmalıdır. Aynı zamanda sürekli olarak çeşitli testler uygulanarak veri güvenliği denetlenmeli , kişisel veri güvenliğinin takibi yapılmalıdır.
Teknik ve idari tedbirler veri niteliklerine göre değişiklik gösterirken bir çok farklı tedbir de alınması gerekebilir. Tüm bu risk faktörlerinin tespiti ile tedbirlerin belirlenmesi ve uygulanması kendi alanında uzman kişilerce yapılmalıdır. Kanun uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.