Veri güvenliğine ilişkin yükümlülükleri, kurum ve kuruluşunda Kanun’un hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmakla sorumludur.
NOT: Veri sorumlularının alması gereken teknik ve idari tedbirler konusunda veri sorumlularına rehberlik etmek amacıyla “Kişisel Veri Güvenliği Rehberi” hazırlanmış olup bu rehbere, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden “Yayınlar” bölümündeki “Rehberler” adımından ulaşılabilir.
Veri sorumluları, öğrendikleri kişisel verileri Kanun’a aykırı olarak başkalarına ifşa edemez ve işleme amacı dışında kullanamazlar. Bu yükümlülükler, görevden ayrılmalarından sonra dahi devam eder. Aynı şekilde, veri sorumluları için düzenlenen sır saklama yükümlülüğü, Kanun ile veri işleyenler için de geçerlidir.
Veri sorumlusunun bir diğer önemli yükümlülüğü, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
NOT: Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında; Kanunun 12. maddesinin beşinci fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine karar verildiği belirtilmiştir.
1. Hukuka Uygunluk
Veri sorumluları, kişisel verilerin saklanmasında her zaman ilgili mevzuata tam uyum sağlanmasıyla sağlanır. Bu yetenek, veri işleme süreçlerinin hukuki dayanağını oluşturacak yasal düzenlemeler ve kişisel verilerin kaydedilmesi için gereken izinlerin kaydedilmesi göz önünde bulundurulmalıdır.
2. Veri Güvenliği Politikaları ve kriterleri
Veri sorumluları, şeffaf ve etkili veri güvenliği politikaları ve oluşumları belirlenmelidir. Bu politikalar ve prosedürler, kişisel verilerin saklanması sırasında bakımı gereken teknik ve idari güvenlik, veri güvenliği standartlarını, veri erişimini ve bakım kurallarını içermelidir.
3. Teknik ve İdari Önlemler
Veri sorumluları, kişisel verilerin korunmasını sağlamak için gerekli teknik ve idari önlemlere tabidir. Bu sunucuların, güvenli sunucuların ve ağların kullanılması, veri şifreleme yöntemleri, güvenlik duvarları ve güvenlik yazılımlarının kullanılmasına yer verilmemelidir.
4. Veri Güvenliği Eğitimleri
Veri sorumluları, çalışanlarına düzenli olarak veri güvenliği eğitimleri sağlamalıdır. Bu eğitimler, veri politikalarını ve prosedürlerini anlamalarını ve kayıt altına alınarak saklanan bir veri güvenliği kültürünün kaynağına katkı sağlamalıdır.
5. Veri Güvenliği İhlallerinin Yönetimi
Veri sorumluları, olası güvenlik kesintilerine karşı hazırlıklı olmalı ve etkili bir veri odaklı yönetim planı oluşturulmalıdır. Bu plan, olası risk senaryolarını içermeli ve bozulmalarının belirlenmesi, belirtilmesi, raporlanması ve silinebilirlik için adımlar içermelidir.
Bu izinler, veri sorumlularının kişisel verilerinin korunmasını sağlamak ve veri güvenliğinin ihlaline karşı önlem almak için gerekli olan temel adımları içermektedir. Veri sorumluları, bu parçaları yerine getirerek, güvenli ve etik veri işlemeyle uyumlu bir çalışma ortamı olanakları.