Kişisel Veri Koruma Kurulu'nun ilke kararına dair notlar

Kişisel Veri Koruma Kurulu (“Kurul”), veri sorumlularına, çalışanlarının yetkilerini aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, bir ihlalde bulunmaları riskine karşı yükümlülüklerini hatırlattı.

Kurul’un ilke kararı

Kurul, 4 Temmuz 2018 Tarihli ve 30468 Sayılı Resmi Gazete’de yayınlanan 31 Mayıs 2018 tarih ve 2018/63 Sayılı kararı (bknz. https://kvkk.gov.tr/Icerik/5248/2018-63)  ile, veri sorumlularının Kişisel Verileri Koruma Kanunu (“Kanun”)  madde 12 kapsamındaki yükümlülüklerinin bir kere daha altını çizerek, “bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması, Kanun’un 12 (1) maddesine aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği” konusundan veri sorumlularını bilgilendirdi.

Peki 12. Madde Ne Diyor?

Hatırlayacağınız üzere, bahsi geçen madde veri sorumlularının,

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalarını zorunlu kılıyor.

Kurul’un internet sitesinde yayınlamış olduğu veri ihlallerine dair özet kararları da (bknz Kurul-Kararlari), Kurul’un ağırlıklı olarak “Kanunun 12. maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiş” olduğunu göstermektedir.  Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında uygulancak idari para cezası ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar değişebilecektir.   

Kararlarda Yollama Yapılan Teknik ve İdari Tedbirler Nedir?  Ne yapmalıyız?

• Veri sorumlusu şirketlerin Kurul’un internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde (bknz. Rehber) belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler başta olmak üzere, sektör uygulamaları, mesleki kurallar ve sair düzenlemeleri dikkate alması gereklidir.
• Yetki kontrolleri ve matrisinin hazırlanması, ağ güvenliği, uygulama güvenli, şifreleme, saldırı tespit, önleme sistemleri, güvenlik duvarları, güncel anti-virürs sistemleri, yedekleme gibi  teknik tedbirlerin alınmasının yeterli olmayacağının, idari tedbirler arasında sayılan kurumsal politikaların hayata geçirilmesi, risk analizleri, kurum içi denetimler, gizlilik sözleşmelerinin imzalanması ve eğitim ve farkındalık faaliyetlerinin de mutlaka hayata geçirilmesi gerektiğini bir kez daha hatırlatmak isteriz.
• Şirketiniz nezdinde hayata geçirilen ya da geçirilmesi planlanan idari ve teknik tedbilere dair uyum komitelerinizin gerekli kararları almaları ve planlamalarını yapmaları, tüm bunların da kayıt altına alınması büyük önem taşımaktadır.
• Veri işleme faaliyetinizin bir parçası olan tüm çalışanlarınızın mutlaka kişisel verilerin korunması düzenlemelerine dair eğitimlerini almış olmaları gereklidir.