• EN

6698 sayılı Kişisel Verilerin Korunması Kanunu (‘Kanun’), veri sorumlularına riayet etmeleri gereken birçok yükümlülük getirmektedir. Bu yükümlülüklerin en önemlilerinden biri, veri sorumlusunun ilgili kişilerden topladığı, işlediği ve gerekli durumlarda aktardığı kişisel verilerinin güvenliğini sağlama yükümlülüğüdür.

Veri sorumlusunun veri güvenliğini sağlama yükümlülüğüne ilişkin, Kanun’un 12. maddesinde kapsamlı bir düzenleme yapılmıştır. İlgili düzenleme şu şekildedir:

'Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla UYGUN GÜVENLİK DÜZEYİNİ TEMİN ETMEYE YÖNELİK GEREKLİ HER TÜRLÜ TEKNİK VE İDARİ TEDBİRLERİ ALMAK zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. ’

Bu maddeden de anlaşılacağı üzere, veri sorumlusunun kanundan ileri gelen şu yükümlülükleri bulunmaktadır:

  • Kişisel verilerin hukuka aykırı işlenmesini ve bu verilere hukuka aykırı erişimi önlemek ve buna ilişkin gerekli tedbirleri almak
  • Kişisel verileri muhafaza etmek
  • Kişisel verilerin muhafazasına ilişkin uygun güvenlik düzeyinin teminine yönelik her türlü teknik ve idari tedbirleri almak
  • KVKK’nın uygulanmasını sağlamak amacıyla kendi kurum ve kuruluşunda gerekli denetimleri yapmak veya yaptırmak
  • Görevi bitse dahi, öğrendiği kişisel verileri KVKK’ya aykırı biçimde açıklamamak ve işleme amacı dışında kullanmamak
  • İşlediği verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, en kısa sürede ilgililere ve Kurul’a bildirmek

Bu düzenlemeye ilişkin önemli bir husus, veri sorumlusunun, kendisi andına kişisel veri işleme faaliyetini yürüten gerçek veya tüzel kişiler ile birlikte müştereken sorumlu tutulmasıdır. Yani, veri işleyenler de işbu maddede sayılan yükümlülüklere tabidir ve sorumlulukları söz konusudur.

‘Veri güvenliğine ilişkin teknik ve idari tedbirler’ kavramının dar yorumlanmaması ve veri sorumlusunun kişisel veri elde ettiği sektörün spesifik özelliklerine, hangi kişisel verilerin toplanıp işlendiğine, şirketin kişi ve ciro bazında büyüklüğüne göre gerekli bazı ek tedbirlerin alınması, ileride veri sorumlusunun ve müştereken sorumlu olan diğer aktörlerin üzerinde idari veya cezai bir yaptırım doğmasını engellemek açısından önemlidir.

Kişisel Verileri Koruma Kurulu, veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini yerine getirmesinde yol gösterici olması amacıyla, gerekli idari ve teknik tedbirleri içeren bir 'Kişisel Veri Güvenliği Rehberi' hazırlamış, bu rehberde ilgili tedbirleri detaylı biçimde açıklamıştır.

Sonuç olarak, kişisel verilerin güvenliği, veri sorumlusunun uyması gereken en önemli yükümlülüklerden bir tanesidir. Bu yükümlülük sadece veri sorumlusunu değil, onun adına veri işleyen diğer gerçek ve tüzel kişileri de kapsamaktadır. Verilere hukuka aykırı erişimin ve hukuka aykırı veri işlenmesinin önlenmesi, verilerin muhafazası ve buna ilişkin gerekli idari ve teknik tedbirlerin alınması, veri güvenliği ihlallerinin en kısa sürede bildirilmesi gibi Kanun’un 12. maddesinin ihtiva ettiği düzenlemelere uyulmasını kolaylaştırmak amacıyla Kurul tarafından hazırlanmış olan rehber, veri sorumluları ve veri işleyenlere yol gösterici olması açısından son derece önemli olup, rehberin dikkatle incelenmesi ve içeriğine riayet edilmesi gerekmektedir.

Av. Dr. Mert VAN - Stj. Av. Benay ÇAYLAK