Bilindiği üzere Kişisel Verilerin Korunması Kanunu'na (6698 sayılı kanun) göre kişisel verilerin hukuka aykırı olarak kullanılması ve erişilmesi yasaklanmıştır. Ancak bu noktada kişi kurumlara pek çok tedbir alma görevi düşer.Bu tedbirlerin birincisi KVKK idari tedbirleri, ikincisi ise KVKK teknik tedbirleridir. Özellikle veri sorumlularının alması gereken KVKK idari tedbirlere ilişkin başlıca yöntemler şu şekildedir.

yol gosteren tabelalar KVKK idari tedbirler rehberi benzetmesi

A. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

KVKK idari tedbirler ya da kişisel veri güvenliğine ilişkin yönetimin alması gereken tedbirleri 5 ayrı başlık altında toplayabiliriz:

1. Mevcut Risk ve Tehditlerin Tespiti

Kişisel verilerin güvenliğinin sağlanabilmesi için veri sorumluları tarafından bu verilere ait detaylar bilinmeli ve ortaya çıkabilecek riskler açısından önlemler alınmalıdır. Riskler belirlenirken, kişisel verilerin özel nitelikli veriler olup olmadığı, içeriği gereği hangi seviyede gizlilik derecesine sahip olduğu ile güvenlik ihlali oluşursa kişi açısından ortaya çıkabilecek zararın niteliği ile niceliğinin tespit edilmesi gereklidir.

Tüm bu risklerin belirlenmesinden sonra, risklerin ortadan kaldırılması ya da en azından azaltılması konusu kontrol ve çözüm alternatifleri, uygulanabilirlik, maliyet ve fayda ilkelerine göre değerlendirilmelidir.

2. Çalışanların Eğitimi ve Farkındalık Çalışmaları

Kişisel verilere zarar verebilecek siber saldırılara karşın tüm çalışanların ilk müdahaleyi yapabilmeleri çok önemlidir. Genellikle kişisel verileri ihlal etmeye yönelik saldırılar, kötü amaçlı yazılım içeren elektronik posta ekinin açılması ya da ilgili e-postanın yanlış alıcıya gönderilmesi ile kişisel verilerin bir başkasının eline geçmesine neden olunmaktadır. Bu nedenle tüm çalışanların dikkatsizlik veya dalgınlık nedeniyle istenmeyen durumlara karşın eğitim almaları önem taşır.

Defteri işaret eden parmaklar var masada kalem ve kağıtlarda var

3. Kişisel Veri Güvenliği Prosedürleri ile Politikalarının Belirlenmesi

Kişisel veri güvenliğine karşın işler bir prosedür ile politika hazırlanması, belirlenen risklere karşı önceden tedbir alınmasını ve istikrarlı şekilde olmasını sağlar. Bu konudaki en tutarlı ve doğru aslında alınan tedbirlerin, veri sorumlusunun çalışma prensibine entegre edilmesidir. Veri sorumluları tarafından gerekli prosedürler zamanında hazırlanmadığında, sorumluluk sınırları belirlenmediğinde veya halihazırdaki güvenlik önlemleri uygulanamadığında kişisel veri güvenliği yeteri kadar sağlanamamaktadır.

Politika ve prosedürler, düzenli olarak güncellenmeli, kontrol edilmeli ve kontroller belgelenmeli, varsa geliştirilmesi gereken hususlar belirlenmelidir. Tüm bu işlemler periyodik olarak takip edilmeli ve raporlanmalıdır.

4. Kişisel Verilerin Olabildiğince Azaltılması

KVKK Kanunu'nun 4. maddesinin ikinci fıkrasında yer alan (b) ve (d) bentlerine göre, kişisel veriler her daim güncel ve doğru olmalı, ilgili mevzuata göre öngörülen ya da işlendikleri amaç için gerekli süre oranında muhafaza edilmelidir. Buna karşın özellikle uzun süredir toplanan veriler, bir süre sonra güncellik ve doğruluklarını kaybettiğinden, herhangi bir amaca hizmet etmeyen veriler haline gelebilir.

KVKK idari tedbirler için güncel olmayan veriler için, veri sorumluları tarafından ihtiyaç dahilinde olup olmadıkları belirlenmeli ve kişisel verilerin doğru ortamda muhafaza edildiğinden emin olunmalıdır. Bunların dışında yetkisizi kullanımın engellenebilmesi için, sıklıkla erişimi gerekmeden kişisel veriler daha güvenli ortamda saklanmalı; ihtiyaç duyulmayan veriler ise yine kişisel veri imha programı dahilinde silinmeli, yok edilmeli veya anonim hale getirilerek uygun şekilde kaldırılmalıdır.

kvkk-idari-tedbirler

5. Veri İşleyenler ile İlişki Yönetimi

Birtakım veri sorumluları, bilgi teknolojileri alanındaki ihtiyaçlar için veri işleyenlerden hizmet almaktadırlar. Bu hizmet alımı esnasında, ilgili veri işleyenler kişisel veriler konusunda en az kendilerininki kadar güçlü bir güvenlik sağladığından emin olmalıdırlar. Bu durum ilgili Kanunu'nun 12. maddesinin ikinci fıkrasında şu şekilde ifade edilir: "Veri işleyen kişiler, kişisel veri güvenliğinin sağlanması konusunda veri sorumlusu ile birlikte müşterek olarak sorumludur."

KVKK idari tedbirler hakkında yazımızı beğendiyseniz paylaşmayı unutmayın!