Veri Sorumlularının KVKK Uyarınca Alması Gereken Teknik ve İdari Tedbirler Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 12. maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Bu tedbirlerin belirlenmesinde KVK Kurul'u tarafından yayımlanan "Kişisel Veri Güvenliği Rehberi" temel alınmaktadır.
Veri sorumlularının alması gereken temel tedbirler şunlardır:
1.Teknik Tedbirler
- İki Kademeli Kimlik Doğrulama: Kişisel verilere uzaktan erişilmesi gereken durumlarda, sadece kullanıcı adı ve şifre yerine; SMS kodu, e-posta doğrulaması veya kişiye özel şifre gibi iki faktörlü doğrulama yöntemleri kullanılmalıdır.
- Veri Minimizasyonu: Veri sorumlusu, yalnızca belirlenen amaçları gerçekleştirmeye yetecek kadar veri toplamalı ve işlemelidir.
- Güvenli İmha ve Muhafaza: İşlenme amacı ortadan kalkan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gerekli teknik altyapı kurulmalıdır. Verilerin üzerine en az yedi kez rastgele veri yazılarak (overwriting) veya de-manyetize etme gibi yöntemlerle geri döndürülemez hale getirilmesi sağlanmalıdır.
- Erişim Kontrolleri ve Log Kayıtları: Bilişim sistemleri üzerinde gerçekleştirilen her türlü işlemin zaman damgalı olay kayıtları (log) tutulmalıdır.
- Doğrulama Mekanizmaları: İletişim kanalları üzerinden yapılan bildirimlerde hata yaşanmaması için, ilgili kişi tarafından beyan edilen telefon veya e-posta gibi bilgilerin doğruluğunu teyit edecek mekanizmalar oluşturulmalıdır.
2. İdari Tedbirler
- Risk ve Tehdit Belirleme: İşlenen tüm kişisel veriler için risklerin gerçekleşme olasılığı ve yol açacağı kayıplar analiz edilerek buna uygun tedbir planları hazırlanmalıdır.
- Saklama ve İmha Politikası: Kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin belirlendiği, silme ve anonim hale getirme süreçlerini içeren yazılı bir politika oluşturulmalıdır.
- Denetim Yükümlülüğü: Veri sorumluları, kendi kurum veya kuruluşlarında Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- Sır Saklama Yükümlülüğü: Veri sorumlusu ve veri işleyenler, öğrendikleri kişisel verileri Kanuna aykırı olarak açıklamayacaklarına ve amaç dışı kullanmayacaklarına dair taahhüt altında olmalıdır; bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- Veri İhlal Müdahale Planı: Herhangi bir ihlal durumunda kimlere raporlama yapılacağı ve sorumlulukların nasıl paylaşılacağına dair bir müdahale planı hazırlanmalıdır.
- Fiziki Çalışma Alanı Güvenliği: Banko, gişe veya masa gibi vatandaşa hizmet sunulan alanlarda, yetkisiz kişilerin başkalarına ait verileri duymasını veya görmesini engelleyecek düzenlemeler yapılmalıdır.
Kişisel verilerin başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi durumunda, veri sorumlusu bu tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumludur. Bu yükümlülüklerin yerine getirilmemesi durumunda 17.092.242,00 TL'ye kadar idari para cezası uygulanabilmektedir.

