Bilişim HukukuVeri Koruma Hukuku

Kişisel Verilerin Korunmasında Alınacak Teknik ve İdari Tedbirler

Yazar 15 Mart 2023Ekim 3rd, 2023No Comments9 dakikalık okuma
Kişisel Verilerin Korunmasında Alınacak Teknik ve İdari Tedbirler

Kişisel Verilerin Korunmasında Alınacak Teknik ve İdari Tedbirler

Kişisel verilerin korunması kapsamında alınacak teknik ve idari tedbirler 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12. maddesinde kısaca açıklanmıştır. İlgili madde uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almalıdır.

Yine veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde bu tedbirlerin alması konusunda bu kişilerle müştereken sorumlu olacaktır.

Veri Sorumlusu Nedir?

Veri Sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde tanımlanmıştır. İlgili tanım uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu sayılacaktır.

Kişisel Verilerin Korunmasında Alınacak İdari Tedbirler Nelerdir?

Kişisel veri güvenliğine ilişkin idari tedbirler kişisel verilerin korunması mevzuatında açıklanmasa da Kişisel Verileri Koruma Kurumu tarafından hazırlanan rehberlerde ayrıntılı bir biçimde ele alınmıştır. 

Bu idari tedbirler sırasıyla;

  • Mevcut risk ve tehditlerin belirlenmesi,
  • Çalışanların eğitilmesi ve farkındalık çalışmaları,
  • Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,
  • Kişisel verilerin mümkün olduğunca azaltılması,
  • Veri işleyenler ile ilişkilerin yönetimi,
  • Kişisel veri işleme envanterinin hazırlanması,
  • Kurumsal politikalar oluşturulması (Erişim, bilgi güvenliği, kullanım, saklama ve imha vb.)
  • Sözleşmelerin hazırlanması (Veri Sorumlusu- veri sorumlusu, veri sorumlusu-veri işleyen),
  • Gizlilik taahhütnamelerinin hazırlanması,
  • Kurum içi periyodik ve/veya rastgele denetimlerin yapılması,
  • Risk analizi yapılması,
  • İş sözleşmesi ve disiplin yönetmeliğinin hazırlanması (Kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb. konular hakkında),
  • Eğitim ve farkındalık faaliyetlerinin yürütülmesi (Bilgi güvenliği ve kanun),
  • Veri sorumluları sicil bilgi sistemine (VERBİS) bildirim yapılması

olarak gösterilmiştir.

Kişisel Verilerin Korunmasında Alınacak Teknik Tedbirler Nelerdir?

Kişisel veri güvenliğine ilişkin yine teknik tedbirler de kişisel verilerin korunması mevzuatında açıklanmasa da Kişisel Verileri Koruma Kurumu tarafından hazırlanan rehberlerde ayrıntılı bir biçimde ele alınmıştır. 

Bu teknik tedbirler sırasıyla;

  • Siber güvenliğin sağlanması,
  • Kişisel veri güvenliğinin takibi,
  • Kişisel veri içeren ortamların güvenliğinin sağlanması,
  • Kişisel verilerin bulutta depolanması,
  • Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı,
  • Kişisel verilerin yedeklenmesi,
  • Yetki matrisi,
  • Yetki kontrol,
  • Erişim logları,
  • Kullanıcı hesap yönetimi,
  • Ağ güvenliği,
  • Uygulama güvenliği,
  • Şifreleme,
  • Sızma testi,
  • Saldırı tespit ve önleme sistemleri,
  • Log kayıtları,
  • Veri maskeleme,
  • Veri kaybı önleme yazılımları,
  • Yedekleme,
  • Güvenlik duvarları,
  • Güncel anti-virüs sistemleri,
  • Silme, yok etme veya anonim hale getirme,
  • Anahtar yönetimi

olarak gösterilmiştir.

Yetki Matrisi

Yetki matrisi, kişisel veriye yetkisiz erişimlerin sağlanmasının engellenmesi açısından büyük öneme sahiptir. Veri sorumlusu tarafından kurgulanan sistem içinde birimlere, kişilere ya da departmanlara göre kişisel veri sınıflandırılabilmektedir. Bu sınıflandırma sonucu hangi tür kişisel veriye hangi birim ve departmanların ulaşabileceği, sağlanan erişimin doğru bir erişim olup olmadığı yetki matrisi kullanılarak doğru bir biçimde belirlenmektedir.

Yetki Kontrol

Yetki matrisi şemasında belirtildiği üzere, kişisel veriye erişim sağlayan kullanıcılar erişim kontrol servis ve politikaları ile kontrol edilmektedir.  Erişim talebinde bulunan yetki sahibi kullanıcının erişim talebi hukuka uygun olduğu takdirde erişime izin verilecek, hukuka uygun olmadığı takdirde talebi reddedilecektir. Bilgi güvenliği yönetim sistemlerini oluşturan gizlilik, bütünlük ve erişilebilirliğin sağlanmasında yetki kontrolü, organizasyonlara büyük katkı sağlamaktadır.

Sızma Testi

Sızma diğer bir adıyla penetrasyon testi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında, veri sorumlusunun kullandığı yazılım ve uygulamalar ile sistemler test edilmektedir. Kişisel veri ihlalleri en çok bu yazılım ve uygulamalar ile sistemlerde yer alan güvenlik açıklarından kaynaklanmaktadır. Kişisel Verileri Koruma Kurulu tarafından verilen 23/12/2021 tarih 2021/1324 sayılı Yemeksepeti kararında da aynı problem üzerinde durulmuştur. 

Sızma testleri olası bir kişisel veri ihlalinin önüne geçilmesi adına periyodik olarak gerçekleştirmeli ve bu testler sonucunda iyileştirmelere ihtiyaç duyulduğu takdirde derhal gerekli aksiyonlar alınmalıdır. Böylelikle veri sorumlusu şirketinin repütasyonunu ve itibarını önemli ölçüde etkileyebilecek kişisel veri ihlallerinden kaçınabilecektir.

Kişisel Veri Envanterinin Hazırlanması

Kişisel veri envanterinin hazırlanması, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in Kişisel Veri Saklama ve İmha Politikasına İlişkin Esaslar başlıklı 5. maddesinin (1) numaralı fıkrasında açıklanmıştır. Hükme göre Veri Sorumluları Sicili’ne (VERBİS) kaydolmakla yükümlü olan veri sorumluları ayrıca kişisel veri envanteri hazırlamakla da yükümlü kılınmıştır.

Kişisel veri envanteriyle veri sorumlusu, bünyesinde gerçekleşen kişisel veri işleme faaliyetlerindeki durumu görebilmektedir. Veri sorumlusu bu kapsamda mevcut durumda hangi kişisel verileri, hangi amaçlarla ve ne şekilde işlediğini öğrenecek ve bundan sonra kişisel verilerin korunması mevzuatına uyumda hangi noktalarda eksik ya da hatalı olduğunu anlayabilecektir. Veri sorumlusu tarafından kişisel veri envanterinin oluşturulmasıyla anlaşılan eksiklik ve hatalar böylece giderilmektedir. Örneğin, eski nüfus cüzdanlarında yer alan din ve kan grubu hanelerinin kişisel veri olarak işlendiği kişisel veri envanteri hazırlandıktan sonra anlaşılabilmekte ve bu verilerin imhasına ya da maskelenmesine ilişkin kararlar veri sorumlusunca alınabilmektedir.

Risk Analizleri

Kişisel verilerin korunması mevzuatı kapsamında risk analizi yapılarak risk politikası, risk yönetimi ve değerlendirme prosedürü oluşturulmakta ve risk işleme standartları belirlenmektedir. Kişisel verilerin korunmasına ilişkin KVK Komitesi kurulması, kişisel veri güvenliğinin sağlanması adına riske ilişkin politika ve prosedürlerin hazırlanması, kişisel verilerin tam korunmasını sağlayacak ve olası risklerin önüne geçecektir. 

Risk analizi yapılarak kişisel verilere ilişkin güvenlik önlemlerinin iyileştirilmesiyle olası kişisel veri ihlallerinin de önüne geçilebilecektir.

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim 

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) bildirim kişisel verilerin korunması kapsamında gösterilen idari tedbirlerdendir. 

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Veri Sorumluları Sicili başlıklı 16. maddesi uyarınca Kişisel Verileri Koruma Kurulu gözetiminde ve Kişisel Verileri Koruma Kurumu Başkanlığınca kamuya açık olarak Veri Sorumluları Sicili (VERBİS) tutulmaktadır. Kişisel veri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri sorumluları Sicili’ne (VERBİS) kaydolması gerekmektedir. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kişisel Verileri Koruma Kurulu tarafından belirlenecek objektif kriterler göz önüne alınarak Veri Sorumluları Sicili’ne (VERBİS) kayda istisna getirilebilecektir.

Veri Sorumluları Sicili’ne (VERBİS) kayıt başvurusu yapılırken; veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel verileri, kişisel veri güvenliğine ilişkin alınan tedbirler ve saklama süresi hakkında bilgiler sisteme kaydedilecektir. Kamuya açık tutulan bu sistemle veri sorumlularının kişisel veri işleme faaliyetleri açıkça incelenebilmektedir.

Yukarıda hukuki açıdan önem ihtiva eden “Kişisel Verilerin Korunmasında Alınacak Teknik ve İdari Tedbirler” konusu genel bir çerçeveyle açıklanmıştır. “Kişisel Verilerin Korunmasında Alınacak Teknik ve İdari Tedbirler” konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Kripto Paraların Hukuki Niteliği Bilişim HukukuE-Ticaret Hukuku Kripto Paraların Hukuki Niteliği
19 Ekim 2023

Kripto Paraların Hukuki Niteliği

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Scan the code