KVKK Veri Güvenliğine İlişkin Yükümlülükler

KVKK Veri Güvenliğine İlişkin Yükümlülükler

Kanunun veri güvenliÄŸine iliÅŸkin 12. maddesine göre veri sorumlusu;

KiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini önlemek,

KiÅŸisel verilere hukuka aykırı olarak eriÅŸilmesini önlemek,

KiÅŸisel verilerin muhafazasını saÄŸlamak  ile yükümlüdür.

Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliÄŸine iliÅŸkin yükümlülükleri belirlemek amacıyla düzenleyici iÅŸlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında iÅŸlenen kiÅŸisel verilerin niteliÄŸine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

Veri sorumlusu, kiÅŸisel verilerin kendi adına baÅŸka bir gerçek veya tüzel kiÅŸi tarafından iÅŸlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kiÅŸilerle birlikte müÅŸtereken sorumludur. Dolayısıyla veri iÅŸleyenler de veri güvenliÄŸinin saÄŸlanması için tedbir alma yükümlülüÄŸü altındadır. Buna göre, örneÄŸin veri sorumlusunun ÅŸirketine iliÅŸkin kayıtlar bir muhasebe ÅŸirketi tarafından tutuluyorsa, verilerin iÅŸlenmesine iliÅŸkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe ÅŸirketiyle birlikte müÅŸtereken sorumlu olacaktır.

Kanunda, veri güvenliÄŸine iliÅŸkin olarak ayrıca veri sorumlusuna denetim yükümlülüÄŸü getirilmiÅŸtir. Veri sorumlusu, kendi kurum veya kuruluÅŸunda, Kanun hükümlerinin uygulanmasını saÄŸlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleÅŸtirebileceÄŸi gibi, bir üçüncü kiÅŸi vasıtasıyla da gerçekleÅŸtirebilir.

Öte yandan, veri sorumluları ile veri iÅŸleyen kiÅŸiler, öÄŸrendikleri kiÅŸisel verileri bu Kanun hükümlerine aykırı olarak baÅŸkasına açıklayamaz ve iÅŸleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, iÅŸlenen kiÅŸisel verilerin kanuni olmayan yollarla baÅŸkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceÄŸi baÅŸka bir yöntemle ilan edebilir.

Veri güvenliÄŸine iliÅŸkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduÄŸu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliÄŸine iliÅŸkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde ÅŸirketin büyüklüÄŸü veya cirosunun yanı sıra veri sorumlusunun yaptığı iÅŸin ve korunan kiÅŸisel verinin niteliÄŸi de önemlidir.