TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.
İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.
Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.
Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.
Genel Değerlendirme
Madde 12, veri sorumlusunun kişisel verilerin güvenliğini temin etmek maksadıyla ittihaz etmesi gereken tedbirleri düzenlemektedir. Bu yükümlülük, hem teknik hem de idari tedbirleri kapsamakta olup veri koruma hukukunun temel ayaklarından birini teşkil etmektedir.
Maddenin gayesi, kişisel verilerin hukuka aykırı olarak işlenmesinin ve bunlara yetkisiz erişilmesinin önlenmesi ile verilerin bütünlüğünün ve gizliliğinin muhafazasının sağlanmasıdır.
Kapsam itibarıyla veri sorumlusu uygun güvenlik düzeyini temin etmekle mükelleftir. Veri işleyen de bu tedbirlere riayet etmekle yükümlü bulunmakta olup, söz konusu tedbirlerin işlemenin mahiyetine ve içerdiği risklere göre belirlenmesi gerekmektedir.
Müeyyide bakımından, veri güvenliği yükümlülüklerini yerine getirmeyenlere 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmektedir (m. 18).
GDPR Art. 32, veri güvenliği konusunda daha detaylı düzenlemeler içermektedir. Risk değerlendirmesi, şifreleme, düzenli test ve değerlendirme gibi somut tedbirler öngörülmüştür.
Teknik Tedbirler
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara yetkisiz erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak maksadıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli bilcümle teknik ve idari tedbirleri ittihaz etmek zorundadır (m. 12/1).1
Teknik tedbirler arasında kriptografik yöntemlerle şifreleme, erişim kontrolü mekanizmaları, güvenlik duvarları, düzenli sızma testleri ve günlük kayıt (log) tutma gibi önlemler yer almaktadır. Bu tedbirlerin belirlenmesinde mevcut teknolojinin gelişim seviyesi, uygulama maliyeti ve söz konusu riskin mahiyeti göz önünde bulundurulmalıdır.2
İdari Tedbirler
Veri sorumlusunun ittihaz etmesi gereken idari güvenlik tedbirleri beş ana başlık altında ele alınabilir.
Organizasyonel yapı kapsamında kurumsal veri koruma politikasının tesis edilmesi, veri koruma görevlisinin tayin edilmesi (zorunlu olmasa da tavsiye edilmektedir) ve sorumluluk ile yetki alanlarının net biçimde tespit edilmesi icap etmektedir.
Eğitim ve farkındalık kapsamında çalışan eğitim programlarının düzenlenmesi, gizlilik sözleşmelerinin imzalatılması ve düzenli aralıklarla farkındalık kampanyalarının yürütülmesi gerekmektedir.
Süreç yönetimi kapsamında güncel veri envanterinin tutulması, veri işleme süreçlerinin dokümante edilmesi ve düzenli denetim ile kontrol mekanizmalarının tesisi önem arz etmektedir.
İhlal yönetimi kapsamında veri ihlali müdahale planının hazırlanması, 72 saat zarfında Kurul'a bildirim yükümlülüğünün (m. 12/5) yerine getirilmesi ve ihlalden etkilenen ilgili kişilere bildirim yapılması zorunludur.
Üçüncü taraf yönetimi kapsamında ise veri işleyenlerle yazılı sözleşme akdedilmesi, alt yüklenicilerin denetlenmesi ve gizlilik taahhütlerinin alınması gerekmektedir.
GDPR Art. 33-34, veri ihlali bildirim yükümlülüklerini daha detaylı düzenlemektedir. KVKK da benzer bir bildirim yükümlülüğü öngörmekle birlikte, süre ve kapsam açısından farklılıklar bulunmaktadır.