Yeni Gelişmeler Kişisel Verileri Koruma Kurumu (“Kurum“) 19 Ocak 2018 tarihinde Kişisel Veri Güvenliği Rehberini (“Rehber“) yayımladı. Rehber’in Amacı Rehber; kişisel verilerin işlenmesi sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun“) 12. maddesi uyarınca veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla hazırlanmıştır. Rehber’in hukuki olarak bağlayıcılığı bulunmamaktadır ve Kanun’a ek olarak çıkarılmıştır, dolayısıyla herhangi bir yaptırım öngörmemektedir. Ancak Kişisel Verileri Koruma Kurulu (“Kurul“) ve mahkemelerin, kişisel veri güvenliğine ilişkin kuralları uygularken Rehber’e başvurmaları beklendiğinden veri sorumlularının Rehber’e uyum sağlamaları önem taşımaktadır. |
Rehber Neler Getiriyor? Kişisel veri güvenliğine ilişkin alınması önerilen idari tedbirler arasında; çalışanlara Kanun hakkında farkındalık kazandırıcı eğitimler verilmesi, kişisel veri güvenliğine ilişkin politikalar oluşturulması ve düzenli kontroller yapılması, ihtiyaç duyulmayan kişisel verilerin silinmesi ve veri işleyenlerden güvenlik tedbirlerine ilişkin sözleşmesel taahhütler alınması bulunmaktadır. Yetkisiz erişimin engellenebilmesi amacıyla, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin daha güvenli ortamlarda muhafaza edilmesi önerilmektedir. Veri işleyenler ile imzalanacak sözleşmelerde; sır saklama yükümlülüğü, veri işleyene aktarılacak veri kategorilerinin sınırlı sayıda belirtilmesi, veri sorumlusuna denetim hakkı verilmesi gibi hükümler bulunması önerilmektedir. Teknik tedbirler olarak ise; güvenlik duvarı, ağ geçidi, erişim yetki ve kontrol matrisleri oluşturulması gibi siber güvenlik önlemleri ile kayıt ortamlarının güvenliğinin sağlanması ve kişisel verilerin bulutta depolanması halinde bulut depolama hizmeti sağlayıcısının aldığı güvenlik önlemlerinin değerlendirilmesi ve kişisel verilerin yedeklenmesi önerilmektedir. Rehber’de kişisel veri işleme envanteri ve kişisel veri saklama ve imha politikası hazırlanmasına idari tedbirler olarak yer verilmiştir. Söz konusu envanter ile politikanın; Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca sicile kayıt yükümlülüğü bulunan tüm veri sorumluları tarafından hazırlanması gerekmektedir. Atılacak Adımlar Rehber yol gösterici nitelikte olsa da Kanun’un 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000 TL’den 1.000.000 TL’ye kadar para cezası öngörülmektedir. Veri sorumlularının Rehber’de yer alan güvenlik önlemlerini hayata geçirmeleri; ileride meydana gelebilecek olası kişisel veri ihlallerinde Kurul veya mahkemeler nezdinde öne sürülecek savunmalar açısından çok önemli rol oynayacaktır. |
