Kişisel Verilerin Korunmasında Veri Sorumlusunun Yükümlülükleri
21/01/2020
6698 Sayılı Kişisel Verilerin Korunması Kanununun 3 (1) madde fıkrası (ı) bendine göre, veri sorumlusu,’Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.’
Tüzel kişiler de, kişisel verileri işleme konusunda gerçekleştireceği ya da gerçekleştirdiği faaliyetler sebebiyle ‘veri sorumlusu’ olarak kabul edilmektedir. Bu anlamda, kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri bakımından bir farklılık bulunmamaktadır.
Özel nitelikli kişisel verilerle ilgili uygun güvenlik düzeyini temin etmeye yönelik alınması gereken teknik tedbirler şunlardır:
a) Siber güvenliğin sağlanması,
b) Kişisel veri güvenliğinin takibi,
c) Kişisel veri içeren ortamların güvenliğinin sağlanması,
ç) Kişisel verilerin bulutta depolanması,
d) Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı,
e) Kişisel verilerin yedeklenmesi,
f) Kişisel veri güvenliğine ilişkin teknik ve idari tedbirler kapsamındaki özet tablolar,
aa) Teknik Tedbirler:
Teknik tedbirler Veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri teknik tedbirler özet olarak şunlardır:
– Yetki Matrisi,
– Yetki Kontrol,
– Erişim Logları,
– Kullanıcı Hesap Yönetimi,
– Ağ Güvenliği,
– Uygulama Güvenliği,
– Şifreleme,
– Sızma Testi,
– Saldırı Tespit ve Önleme Sistemleri,
– Log Kayıtları,
– Veri Maskeleme,
– Veri Kaybı Önleme Yazılımları,
– Yedekleme,
– Güvenlik Duvarları,
– Güncel Anti-Virüs Sistemleri,
– Silme, Yok Etme veya Anonim Hale Getirme,
– Anahtar Yönetimi.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak kabul edilmektedir. Bu durumda, özel nitelikli kişisel verilerle ilgili uygun güvenlik düzeyini temin etmeye yönelik alınması gereken yukarıda belirtilen teknik tedbirlerin alınabilmesi için bu alanda danışmanlık veren ilgili teknik kişilerden ek hizmet alınması zorunlu bulunmaktadır.
