Şirketlerin Veri Güvenliğine İlişkin Yükümlülükleri

Kanun koyucu kişisel verilerin hukuka aykırı olarak işlenmesini önleme, bu verilere hukuka aykırı olarak erişilmesini önleme ve bunların hukuka uygun olarak muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama ödevini, veri sorumlusuna yüklemektedir. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Başka bir ifadeyle veri sorumlusu, “niçin” kişisel veri işliyoruz ve kişisel verileri “nasıl” işleyeceğiz sorularını cevaplamakla yetkili olan gerçek veya tüzel kişidir. 67 Veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri 12. maddede düzenlenmektedir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde, Kanun 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası öngörmektedir. Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde gözetilecek olan kriter, şirketin büyüklüğü veya cirosundan ziyade şirketin yaptığı işin ve korunan kişisel verinin niteliğidir. Örneğin, küçük ölçekli olmakla birlikte özel nitelikli kişisel veri işleyen veri sorumlusunun daha yüksek standartlarda koruma önlemi alması gerekmektedir

Kanunun veri güvenliğine ilişkin 12. maddesi;

  • veri sorumlusunun üçüncü kişilere veri aktarımı noktasında verisi aktarılan kişilere karşı veriyi aktardığı kişilerin eylemlerinden olan sorumluklarının çerçevesini çizmekte,
  • veri sorumlusunun denetim yükümlülüğünün ve veri sorumlusu organizasyonu içerisinde veri işleme konusunda görevlendirilen kişilerin sır saklama yükümlülüğünün kapsamını belirlemekte,
  • verilerin yasal olmayan yollarla ifşası veya ele geçirilmesi noktasında veri sorumlusunun hem Kuruma hem de ilgili kişiye karşı yükümlülüklerini ortaya koymaktadır.

Kanunun 12. maddesinin 1. fıkrasına göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
  • Kişisel verilerin muhafazasını sağlamak

 

Veri Güvenliğinin Sağlanmasında Müşterek Sorumluluk

Kanunun 12. maddesinin 2. fıkrasında, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusunun, bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır

Denetim Yapma veya Yaptırma Yükümlülüğü

Kanunun 12. maddesinin 3. fıkrasında, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.

Kanun, denetimin veri sorumlusu tarafından yapılması gerektiğini öngörmektedir. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.

Sır Saklama Yükümlülüğü

Kanunun 12. maddesinin 4. fıkrasında, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenlerin öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklamaları veya işleme amacı dışında kullanmaları yasaklanmıştır. Bu yükümlülük veri sorumluları ve veri işleyenlerin görevlerinden ayrılmalarından sonra da devam etmektedir.

 

İhlal Halinde Bildirim Yükümlülüğü

Kanunun 12. maddesinin 5. fıkrasında, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir.

Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.

Veri ihlali, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesidir. Örneğin; hizmet sağlayıcısının bilgisayar sisteminde bulunan müşterilere ait kişisel verilere, güvenlik ihlalleri nedeniyle internet aracılığıyla üçüncü kişiler tarafından erişilmesi, veri sorumlusunun veya veri işleyenin müşterilerine ait kişisel verilerin bulunduğu USB anahtarı veya CD-ROM’unun çalınması, özel nitelikli kişisel verilerin yer aldığı sabit diskin silinmeden internet üzerinden satılması gibi.

Your Comment:

Benzer Makaleler

17

Eyl
Siber Güvenlik

Yeni Spam Dalgası : Hesabınız Kesildi !

15 Eylül 2018 tarihinde Türkiye'yi hedef alan bir spam/scam e-posta dalgası başladı. Görünüşe göre spam e-posta fikri Black Mirror isimli diziden esinlenilmiş. Black Mirror isimli dizinin ilgili bölümünde çocuk pornosu izleyen kişilerin bilgisayarına truva atı bulaştırılarak web kameralarından görüntüleri kaydediliyor ve sonrasında bu kişilere bir e-posta gönderilerek şantaj yapılıyor. 15 Eylül'de yapılan spam dalgasında şirket e-posta adresinize [...]
Sophos

Sophos XG Firewall Destination NAT / Port Forwarding/ Port Yönlendirme

Port Yönlendirme Nedir? : Yerel ağınızdaki bir sunucuyu internette belirli bir port üzerinden erişilebilir kılmak için yapmamız gereken işlemdir. Örnek vermek gerekirse aşağıdaki ağı ele alalım. 192.168.1.2 IP adresli bir web sunucumuz var ve internet üzerindeki bir bilgisayarın bu sunucuya RDP(Remote Desktop Protocol) üzerinden bağlanmak istiyoruz. Bu durumda trafiğin yönü aşağıdaki gibi olmalıdır. 1.1.1.1:3389 >> 192.168.1.2:3389. NAT[…]

26

Haz
Siber Güvenlik

Yeni Kablosuz Güvenlik Standardı WPA3 Duyuruldu

Wi-Fi Alliance bugün tehlikeli krack saldırıları dahil olmak üzere bilinen tüm kablosuz güvenlik açıklarını ve saldırılarını ortadan kaldırmayı hedefleyen yeni nesil kablosuz güvenlik standardı WPA3’ü resmi olarak duyurdu. WPA3 Nedir? WPA3’ü konuşmadan önce WPA standardının tam olarak ne olduğunu kavramak önemli. WPA, WEP(Kabloya Eşdeğer Gizlilik) isimli kablosuz güvenlik standardında ciddi güvenlik zayıflıkları keşfedilmesi sebebiyle onun yerine geliştirilmiştir.[…]