VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Kanunun 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve yetkisiz kişiler tarafından erişilmesini önlemek ve bünyesindeki kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
Kişisel verilerin hukuka uygun işlenmesi; kişisel verilerin özel nitelikli kişisel veri mi kişisel veri mi olduğu tespiti ile rıza alınması gereken durum var ise ilgili kişiden rıza alma ve kişisel veri alırken aydınlatma sunmayı ve Kuruluş faaliyetlerinin gerektirdiği kadar kişisel veri almayı ifade etmektedir.
Kişisel verilerin yetkisiz kişiler tarafından erişilmesini önlenmesi ve kişisel verilerin muhafazasının sağlanması için ise veri sorumlusu veri güvenlik düzeyini oluşturmakla yükümlüdür. Veri güvenliğini sağlamak isteyen veri sorumlusu öncelikle mevcut durum analizi ile risk haritasını çıkartıp Kuruluşuna özel yapılması gerekenlere ilişkin eylem planı belirleyerek alınması gereken idari ve teknik tedbirleri belirlemeli ve uygulamalıdır.
İDARİ VE TEKNİK TEDBİRLER
Veri sorumluları, Kanun'un 12. maddesine göre kişisel verilerin korunması ve gizliliğinin devamı için her türlü idari ve teknik tedbiri almakla yükümlüdür düzenlemesi getirilmiştir.
İDARİ VE TEKNİK TEDBİRLER
İdari Tedbirlerden Bazıları
- Veri güvenliğine ilişkin politikaların hazırlanması ve yayınlanması
- Sözleşmelere Kanuna uygun düzenlemelerin eklenmesi (iş, satış, bayilik vs.)
- Gizlilik sözleşmelerinin hazırlanması
- Risk analizinin yapılarak eylem planının oluşturulması
- Disiplin yönetmeliği (Kanuna uygun hükümler ilave edilmesi)
- Veri ihlali durumunda izlenecek yolu gösteren proseslerin belirlenmesi
- Çalışanlara KVKK Farkındalık Eğitimi verilmesi
- Kişisel veri envanterinin hazırlanması ve güncelliğinin sağlanması
- Denetimlerin Kuruluş içinde yapılması yahut yaptırılması
Teknik Tedbirlerden Bazıları
- Yetki Matrisi ve Kontrol
- Erişime İlişkin Tutulan Loglar
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği ve Güncelliği
- Şifrelemenin Kanuna Uygun Gerçekleştirilmesi
- Sızma Testi
- Log Kayıtları
- Veri Kaybı Önleme Yazılımları
- Yedeklemenin Belli Periyotlarla Yapılması
- Güncel Anti-Virüs, Firewall Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
Öte yandan, veri sorumluları bünyesindeki kişisel verileri KVKK hükümlerine aykırı olarak açıklayamaz ve işleme amacı dışında kullanamazlar.
Kuruluş bünyesindeki kişisel verilerin yetkisiz kişiler eline geçmesi durumunda, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
Son olarak, veri sorumlusu KVKK uyumluluğunu sağladıktan sonra VERBİS bildirimini hazırladığı kişisel veri envanterine göre gerçekleştirmeli ve güncelliğini sağlamalıdır.