KVKK Danışmanlık Hizmetleri
KVKK Kanunu’nun 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” denilmektedir.
Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri, çoğunlukla içeriden ve dışarıdan gelen saldırılar veya kötü amaçlı yazılımlara maruz kalmaktadır.
Bu durumların önlenebilmesi için;
a) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
b) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
c) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Tüm kullanıcıların işlem hareketlerinin kaydının düzenli olarak tutulması (log kayıtları gibi),
e) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.
Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için, öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken;
● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
● Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmiş, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
Kişisel Verilerin Korunmasında Veri Sorumlusunun Yükümlü Olduğu İdari ve Teknik Tedbirler
Kişisel Verileri Koruma Kurulu’nun kararları sürekli takip edilip, kurul kararları eğitimlerde örneklenerek, KVKK yönetmeliği ışığında eğitimler verilmelidir.
Avukat İltan Ekmekçioğlu
