KVKK Kanunun 12 nci maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” denilmektedir.
Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri çoğunlukla içeriden ve dışarıdan gelen saldırılar veya kötü amaçlı yazılımlara maruz kalmaktadır.
Bu durumların önelenebilmesi için;
a) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
b) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
c) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
e) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.
Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken;
● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
● Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
Kişisel Verilerin korunmasında Veri Sorumlusunun Yükümlü Olduğu İdari ve Teknik Tedbirler
Kişisel Verileri Koruma Kurulunun kararları sürekli takip edilip, kurul kararlarını eğitimlerde örnekleyerek, KVKK yönetmeliğinin ışıgında eğitimler vermek