Kanun koyucu kişisel verilerin hukuka aykırı olarak işlenmesini önleme, bu verilere hukuka aykırı olarak erişilmesini önleme ve bunların hukuka uygun olarak muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama ödevini, veri sorumlusuna yüklemektedir. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Başka bir ifadeyle veri sorumlusu, “niçin” kişisel veri işliyoruz ve kişisel verileri “nasıl” işleyeceğiz sorularını cevaplamakla yetkili olan gerçek veya tüzel kişidir. 67 Veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri 12. maddede düzenlenmektedir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde, Kanun 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası öngörmektedir. Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde gözetilecek olan kriter, şirketin büyüklüğü veya cirosundan ziyade şirketin yaptığı işin ve korunan kişisel verinin niteliğidir. Örneğin, küçük ölçekli olmakla birlikte özel nitelikli kişisel veri işleyen veri sorumlusunun daha yüksek standartlarda koruma önlemi alması gerekmektedir
Kanunun veri güvenliğine ilişkin 12. maddesi;
- veri sorumlusunun üçüncü kişilere veri aktarımı noktasında verisi aktarılan kişilere karşı veriyi aktardığı kişilerin eylemlerinden olan sorumluklarının çerçevesini çizmekte,
- veri sorumlusunun denetim yükümlülüğünün ve veri sorumlusu organizasyonu içerisinde veri işleme konusunda görevlendirilen kişilerin sır saklama yükümlülüğünün kapsamını belirlemekte,
- verilerin yasal olmayan yollarla ifşası veya ele geçirilmesi noktasında veri sorumlusunun hem Kuruma hem de ilgili kişiye karşı yükümlülüklerini ortaya koymaktadır.
Kanunun 12. maddesinin 1. fıkrasına göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
- Kişisel verilerin muhafazasını sağlamak
Veri Güvenliğinin Sağlanmasında Müşterek Sorumluluk
Kanunun 12. maddesinin 2. fıkrasında, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusunun, bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır
Denetim Yapma veya Yaptırma Yükümlülüğü
Kanunun 12. maddesinin 3. fıkrasında, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.
Kanun, denetimin veri sorumlusu tarafından yapılması gerektiğini öngörmektedir. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Sır Saklama Yükümlülüğü
Kanunun 12. maddesinin 4. fıkrasında, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenlerin öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklamaları veya işleme amacı dışında kullanmaları yasaklanmıştır. Bu yükümlülük veri sorumluları ve veri işleyenlerin görevlerinden ayrılmalarından sonra da devam etmektedir.
İhlal Halinde Bildirim Yükümlülüğü
Kanunun 12. maddesinin 5. fıkrasında, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir.
Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.
Veri ihlali, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesidir. Örneğin; hizmet sağlayıcısının bilgisayar sisteminde bulunan müşterilere ait kişisel verilere, güvenlik ihlalleri nedeniyle internet aracılığıyla üçüncü kişiler tarafından erişilmesi, veri sorumlusunun veya veri işleyenin müşterilerine ait kişisel verilerin bulunduğu USB anahtarı veya CD-ROM’unun çalınması, özel nitelikli kişisel verilerin yer aldığı sabit diskin silinmeden internet üzerinden satılması gibi.