KVKK Teknik ve İdari Tedbirler

KVKK Teknik ve İdari Tedbirler

KVKK teknik ve idari tedbirler; veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinden doğan tedbirlerdir. Uyulması gereken KVKK teknik ve idari tedbirlerin detayları veri sorumlusunun niteliğine göre yerine getirilmeli ve yorumlanmalıdır. Herhangi bir idari para cezası ile karşı karşıya kalmamak için bu tedbirlere tek seferlik uyum değil düzenli uyum sağlanması gerekmektedir.

KVKK Teknik ve İdari Tedbirler Ne Demektir?

KVKK teknik ve idari tedbirler veri sorumlusunun veri işleme faaliyetlerinin Kanuna uygun hale gelmesi için yerine getirilmesi gereken yükümlülüklerden biridir. Bu husus kanunun 12. maddesinde açıklanmaktadır. 

KVKK 12: 

“Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari

tedbirleri almak zorundadır.”

Hukuka aykırı olarak veri işlenmesi, verilere erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla alınması gereken tedbir türleri asgari olarak düzenlenmiştir. Verilerin güvenliğini sağlamak adına alınması gereken ayrıca tedbirlerin bulunması halinde, onların da veri sorumlusu tarafından alınması gerekmektedir.

Kişisel Veri Güvenliği İçin Alınması Gereken İdari Tedbirler

Kişisel veri güvenliğinin sağlanması için veri sorumlusu tarafından alınması gereken idari tedbirler şunlardır: 

  • Mevcut risk ve tehditlerin belirlenmesi,
  • Veri sorumlusu altında çalışanların veri güvenliği hususunda eğitilmesi,
  • Kişisel verilerin korunmasına ilişkin politikaların belirlenmesi,
  • İşlenen kişisel veri sayısının minimize edilmesi,
  • Veri işleyen ile olan ilişkilerin yönetilmesi

İdari tedbirler uygulanmadan önce veri sorumlusunun güncel pozisyonu, organizasyonel yapısı, yapılan işlemler sonucu işlenen kişisel veri türleri gibi nitelikleri değerlendirilmelidir. Tüm nitelikler değerlendirildikten sonra idari tedbirler, veri sorumlusun işleyişine uygun olacak şekilde yerine getirilmelidir.

Mevcut Risk ve Tehditlerin Belirlenmesi

Mevcut risk ve tehditlerin belirlenmesi, veri sorumlusunun Kişisel Verilerin Korunması Kanunu uyum sürecinde dikkat etmesi gereken ilk idari tedbirdir. 

Bu tedbirin uygulanması ile veri sorumlusunun mevcutta ve önceki düzende işlediği kişisel verilerin neler olduğu saptanmaktadır. Sonrasında ilgili verilerin korunması noktasında ortaya çıkacak riskler ve bu risklerin sebep olabileceği zararlar tespit edilmektedir. 

Gerekli tespitler yapıldıktan sonra çözüm alternatifleri ortaya konulur. Çözüm alternatifleri belirlenirken maliyet uygulanabilirlik ve yararlılık ilkeleri göz önünde bulundurulur.

Veri Sorumlusu Altında Çalışanların Veri Güvenliği Hususunda Eğitilmesi

Veri sorumlusu altında çalışanların veri güvenliği hususunda eğitilmesi dikkat edilmesi gereken idari tedbirlerden bir diğeridir. Veri sorumlusunun organizasyonel yapısı içinde veri işleyen kişiler; veri sorumlusu bünyesinde çalışanlar olduğundan bu kişilerin veri koruma hususunda nitelikli bilgi birikimine sahip konuma getirilmesi şarttır.

Bu itibarla, çalışanlara düzenli olarak veri koruma eğitimlerinin verilmesi, veri güvenliği farkındalık çalışmalarının yapılması ve güvenlik risklerinin belirlenebildiği bir ekosistem oluşturulması oldukça önemlidir.

Eğitimler, tek seferlik değil düzenli periyotlar halinde gerçekleşecek şekilde devamlılık arz etmelidir. İlgili kanun hükümlerinde yapılan değişikliklerin de düzenli olarak çalışanlara aktarılması gerekmektedir.

Tüm bunların yanında, işe alım süreçlerinde veri sorumlusu adına işlenecek veriler için gizlilik sözleşmelerinin de imzalanması oldukça önemlidir

Kişisel Verilerin Korunmasına İlişkin Politikaların Belirlenmesi

Kişisel verilerin korunmasına ilişkin politikaların belirlenmesi, uyulması gereken bir diğer idari tedbirdir. Kişisel verilere erişim politikası, bilgi güvenliği politikası, kişisel verilerin kullanımı ve saklanmasına ilişkin politika gibi kurumsal politikalar hazırlanmaktadır.

İşlenen veriler sonucu ortaya çıkabilecek problemler, veri ve güvenlik ihlali halinde uyulması gereken prosedür, alınması gereken önlemler gibi hususların yer aldığı politikaların oluşturulması gerekmektedir. 

Bu politikaların hazırlanmış olması yeterli olmayıp veri sorunlusunun organizasyonel yapısına uygun hale getirilmeli ve düzenli olarak kontrol edilmelidir.

İşlenen Kişisel Veri Sayısının Minimize Edilmesi

İşlenen kişisel veri sayısının minimize edilmesi kişisel veri işleme ilkelerinden kaynaklanan bir idari tedbirdir. Veri minimizasyonu ilkesi gereğince gerekli olmayan hiçbir verinin işlenmemesi kuraldır. 

Uzun süre önce toplanmış, güncelliğini yitirmiş, kullanılmayan verilerin düzenli olarak tespit edilip uygun yollarla imha edilmesi gerekmektedir. Aynı şekilde, veri işleme amacına uygun sürenin geçmiş olması halinde de ilgili verilerin imhası gerekmektedir. 

Veri imha süreçlerinde uygulanabilecek silme yok etme yahut anonimleştirme yöntemleri ilişkin detaylı bilgi “kişisel verilerin silinmesi yok edilmesi veya anonim hale getirilmesi” başlıklı makalede detaylıca açıklanmaktadır.

Veri İşleyen İle Olan İlişkilerin Yönetilmesi

Veri işleyen ile olan ilişkilerin yönetilmesi güvenlik tedbirlerinin sağlanması için alınması gereken idari tedbirlerdendir. Veri işleyen veri güvenliğini sağlanması hususunda alınan tedbirlerden veri sorumlusu ile beraber sorumlu tutulmaktadır. Bu itibarla, veri işleyen ve veri sorumlusu arasında imzalanan sözleşmelerin de veri güvenliğine uyumlu hale getirilmesi gerekmektedir. 

Sözleşmeler hazırlanırken dikkat edilmesi gereken hususlar şunlardır: 

  • Veri işleme veri sorumlusu arasında yapılan sözleşme mümkün mertebe yazılı olmalıdır,
  • Veri işleyenin, işlenen kişisel veriler hakkında süresiz şekilde sır saklama yükümlülüğünün bulunduğu belirtilmelidir, 
  • Veri işleyenin veri sorumlusunun talimatları doğrultusunda hareket edeceği ve talimatların dışında herhangi bir işlem yapmayacağı belirtilmelidir, 
  • Sözleşme veri sorumlusu tarafından hazırlanan verip saklama ve imha politikaları uygun olarak hazırlanmalıdır, 
  • Veri ihlallerini bildirme gibi veri işleyenin yükümlülükleri sözleşmeye yazılmalıdır. 

Yapılan sözleşmeler her veri sorumlusunun ilişkilerine uygun olacak şekilde ayrı ayrı değerlendirilmeli ve spesifik olarak hazırlanmalıdır. Aksi halde sözleşmelerdeki eksiklik ya hata, veri sorumlusu üzerinde sorumluluk yaratacaktır.

KVKK Teknik ve İdari Tedbirler

Kişisel Veri Güvenliğinin Sağlanması İçin Alınması Gereken Teknik Tedbirler

Kişisel veri güvenliğinin sağlanması için alınması gereken teknik tedbirler kapsamında veri güvenliğinin takip edilmesi yer almaktadır. Bu itibarla, kişisel veri içeren ortamların güvenliğini sağlanması, bu ortamlara erişimin kısıtlı tutulması, bulut sistemlerinin kullanımında güvenlik önlemlerine dikkat edilmesi gibi hususların takibi yapılmalıdır.

Veri sorumluları tarafından alınabilecek asgari teknik tedbirler şunlardır:

  • Siber güvenliğin sağlanması,
  • Kişisel veri güvenliği takibinin yapılması,
  • Kişisel verilerin tutulduğu ortamların güvenliğinin sağlanması,
  • Kişisel verilerin bulut sistemleri kullanılarak depolanması,
  • Bilgi güvenliği sistemlerinin tedarik edilmesi, geliştirilmesi ve bakımı.

Siber Güvenliğin Sağlanması

Sibel güvenliğin sağlanması kişisel verilerin korunması hususunda alınması gereken en önemli teknik tedbirleri barındırmaktadır. Bu kapsamda dikkat edilmesi gereken tedbirler şunlardır: 

  • Kişisel verilerin korunması süreçlerine birden fazla siber güvenlik ürününe yer verilmelidir, 
  • Gerçekleşecek ihlalleri durdurmak için güvenlik duvarı ve tehdit teşkil eden internet sitelerine erişimi önlemek için ağ seçici savunma sistemleri uygulanmalıdır, 
  • Veri sorumlusu organizasyonu içinde kullanılan her türlü yazılım ve donanımda güvenlik açığı bulunup bulunmadığı tespit edilmelidir, 
  • Kullanılan eski sürümlerin kaldırılması gerekmektedir, 
  • İşlenen kişisel verilere erişimin kısıtlı olması gerekmektedir. Veri sorumlusu bünyesinde faaliyet gösteren her çalışanın kişisel verilere erişemeyeceği bir sistem kurulmalıdır, 
  • Çalışanlar ayrı kullanıcı adı ve şifrelerle sistemlere giriş yapmalıdır, 
  • Erişim yetki ve kontrol matrisi oluşturulmalıdır, 
  • Veri işlenen her cihazda antivirüs programları kullanılmalı ve geçerlilikleri takip edilmelidir, 
  • Farklı kaynaklardan veri alınması halinde bağlantılar SSL ya da daha güvenli bir yol ile gerçekleştirilmelidir.

Siber güvenliğinin sağlanması hususunda alınacak tedbirler yukarıdakilerle sınırlı olmayıp her bir sorumlusunun veri işleme faaliyetine uygun olarak genişletilebilir. Bu kapsamda veri sorumlusu, işlediği kişisel veri türlerine uygun olan her türlü siber güvenlik tedbirlerini almalı ve veri güvenliğini sağlamalıdır.

Kişisel Veri Güvenliğinin Takibi

Kişisel veri güvenliğinin takibi, veri sorumlusunun kullandığı sistemlere yönelik iç ve dış saldırılara karşı müdahalede bulunabilmek için yapılan takiplerdir. 

Kişisel Verileri Koruma Kurumu tarafından yayınlanan, veri güvenliğinin takibine ilişkin tedbirler şunlardır: 

  • Bilişim ağlarında çalışan yazılım uygulaması ve servislerin kontrol edilmesi, 
  • Sızma testlerinin yapılması, 
  • Log kayıtları gibi kullanıcı işlem hareketi kayıtlarının tutulması, 
  • Ortaya çıkan güvenlik sorunlarının raporlanması, 
  • Veri sorumlusunun organizasyonu içerisinde geçerli olacak şekilde bir güvenlik zafiyeti önlem prosedürünün oluşturulması.

Yukarıda sayılar tedbirlerin Kişisel Verilerin Korunması Kurumu yükümlülüklerine uygun hale getirilebilmesi için düzenli olarak yapılması gerekmektedir. Veri ihlali ve sızıntıların gündeme gelmesi halinde gerekli tedbirlerin derhal alınması ve muhtemel zararın engellenmesi oldukça önemlidir. 

Bilişim sisteminin çökmesi kötü niyetli yazılıma maruz bırakılması hatalı veri girişinin söz konusu olması gibi durumlarda delillerin toplanması ve saklanması gerekmektedir

Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel bir içerik ortamların güvenliğini sağlanması alınan teknik tedbirlerden bir diğeridir. Bu kapsamda hem fiziki ortamlarda güvenliğin sağlanması hem de elektronik ortamda güvenliğin sağlanması gerekmektedir. 

Örneğin, kişisel verilerin yer aldığı kağıtların çalınması, yangın yahut sel gibi dış etkenlerin meydana gelmesine karşı gerekli önlemler alınmalıdır. Kişisel verilerin depolandığı ortamlara giriş çıkışların takip edilmesi ve sınırlandırılması gerekmektedir. 

Elektronik ortam güvenliği için veri sorumlusuna ait olmayan, çalışanlara ait elektronik cihazların yahut USB gibi cihazların kullanımına ilişkin güvenlik tedbirleri alınmalıdır. 

Şifreleme yöntemi benimsenmeli, şifreler düzenli aralıklarla değiştirilmeli ve yalnızca yetkili kişileri erişebileceği şekilde sistem kurulmalıdır.

Kişisel Verilerin Bulut Ortamında Depolanması

Kişisel verilerin bulut ortamında depolanması; uygulamada sağladığı kolaylık sebebiyle veri sorumluları tarafından sıklıkla tercih edilen yollardan biridir. Bu noktada, bulut sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterliliği de veri sorumlusu tarafından kontrol ve tespit edilmelidir. 

Bulut sağlayıcısı tarafından yerine getirilmeyen güvenlik tedbirleri sonucu meydana gelen bir veri ihlali, veri sorumlusunun da ihlalden sorumlu olması sonucunu doğurabilmektedir. 

Bu noktada bulut sistemde depolanan verilerin envanterinin çıkarılması, senkronizasyonunun sağlanması ve veri yedeklerinin alınması oldukça önemlidir. Aynı şekilde, bulut sistemde yer alan ve depolanan verilere erişimde kriptografik şifreleme yöntemlerinin kullanılması önerilmektedir.

Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Veri işleme süreçlerinde kullanılan bilgi teknolojileri sistemlerinin düzenli olarak kontrol edilmesi, geliştirilmesi ve bakımların yapılması gerekmektedir. Sistemlerin güncel olmaması sebebiyle ortaya çıkacak sorumluluklar idari para cezalarını gündeme getirebilmektedir.

Bununla birlikte, arıza yahut bakım sebebiyle servise gönderilen cihazlarda herhangi bir verinin bulunması halinde veri saklanan kısmın muhafaza edilmesi ve güvenliğinin sağlanması hususlarına ayrıca dikkat edilmesi gerekmektedir.

KVKK Teknik ve İdari Tedbirlerin Yerine Getirilmemesi Halinde Verilecek Ceza

KVKK teknik ve idare tedbirlerin yerine getirmemesi halinde veri sorumlusu hakkında, 141.934 liradan 9.463.213 liraya kadar idari para cezasına hükmedilebilmektedir. Belirtilen tutarlar 2024 yılı için geçerli olup idari para cezaları her yıl yeniden değerleme oranında güncellenmektedir.

Sonuç

Veri sorumlusunun Kişisel Verilerin Korunması Kanunundan doğan veri güvenliğine ilişkin hükümleri KVKK teknik ve idari tedbirleri almaya gerektirmektedir. Bu tedbirlerin tek seferlik değil düzenli olarak yerine getirilmesi kanuna uyum açısından oldukça önemlidir. Tedbirlerin uygulanmasında eksiklik yahut hata bulunması sonucunda idare para cezasına hükmedildiğinden, süreçlerin alanında uzman bir KVKK avukatıyla yürütülmesi fayda sağlamaktadır.