Veri güvenliğini sağlama yükümlülüğünün kapsamı
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında veri sorumlularına getirilen yükümlülüklerden biri de veri güvenliğini sağlama yükümlülüğüdür. Veri güvenliği, kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde, detaylı bir şekilde düzenlenmiş; veri güvenliğinin ihlali halinde veri sorumluları için birtakım yükümlülükler ve ağır yaptırımlar öngörülmüştür.
Veri güvenliğinin sağlanması bakımından yerine getirilmesi gereken işlemler ile veri sorumluları tarafından alınması gereken teknik ve idari tedbirler; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yayımladığı “Kişisel Veri Güvenliği Rehberi’nde de (Teknik ve İdari Tedbirler)” (“Rehber”) ayrıntılı bir şekilde düzenlenmiştir.
Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun’un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı şekilde işlenmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür. (1)
Nitekim, KVKK’nın 12. maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında, veri sorumluları için, KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.
Kanuni Sorumluluk
KVKK’nın 12. maddesi uyarınca, veri sorumlusu, kişisel verilerin kendisi adına başka bir gerçek veya tüzel kişi (“veri işleyen”) tarafından işlenmesi hâlinde, gerekli her türlü tedbirin alınması hususunda veri işleyen kişiler ile birlikte müştereken sorumlu olmaktadır. Dolayısıyla veri sorumlusu ile veri işleyenin farklı kişiler olması halinde veri işleyenlerin de veri güvenliğinin sağlanması için tedbir alma zorunluluğu bulunmaktadır; ancak bu zorunluluk, veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri kapsamındaki sorumluluğunu hiçbir şekilde bertaraf etmemektedir. (2)
Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler
KVKK’da veri sorumlusu tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınacağı öngörülmüş; ancak bu tedbirlerin neler olabileceğine ilişkin herhangi bir açıklama yapılmamıştır. Dolayısıyla, her bir somut olay kendi içinde farklı önlemler alınmasını gerektirecek olup, uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önem arz edecektir.
Kişisel verilerin işlenmesi faaliyetleri kapsamında veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla Kurul tarafından, -yukarıda açıklandığı üzere-, bir Rehber yayımlanmış ve bu Rehber’de veri sorumluları tarafından alınabilecek önlemlere ilişkin ilk tespitler yapılmıştır.
Kurul tarafından belirlenen idari tedbirler, şirket içerisinde alınması gereken kararlar ve atılması gereken adımlar doğrultusunda alınabilecek güvenlik tedbirlerini (Kişisel veri işleme envanteri hazırlanması, kurumsal politikalar, gizlilik taahhütnameleri imzalanması, iş sözleşmesi ve disiplin yönetmeliğine Kanun’a uygun hükümlerin ilave edilmesi, Veri Sorumluları Sicil Bilgi Sistemine bildirim yapılması vb.) ifade etmekte iken; teknik tedbirler, şirket içerisinde oluşturulan kişisel veri güvenliği politikaları ve görev tanımları kapsamında, kâğıt ve elektronik ortamlarda işlenen kişisel verilerin ve işbu ortamların güvenliğinin sağlanabilmesi amacıyla alınması öngörülen tedbirleri (Yetki matrisi, erişim logları, kullanıcı hesap yönetimi, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, yedekleme vb.) ifade etmektedir. (3)
(1) “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, İbrahim Korkmaz, 2016, 124, Türkiye Barolar Birliği Dergisi
(2) “Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk”, Damla Gürpınar, 2017, Özel Sayı, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi