TR EN DE

Veri Güvenliği Yükümlülükleri

KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. Bu yazıda veri güvenliği gereksinimleri, alınması gereken tedbirler ve Kurul'un bu konudaki yaklaşımı incelenmektedir.

Summary in English

Overview

Article 12 of KVKK imposes data security obligations on data controllers, requiring them to implement appropriate technical and administrative measures to protect personal data. This article examines security requirements, necessary measures, and the Board's approach to data security.

Key Points

  • Technical Measures: Access controls, encryption, network security, endpoint protection, and monitoring systems.
  • Administrative Measures: Security policies, employee training, confidentiality agreements, and third-party management.
  • Special Categories: Enhanced security measures required for sensitive personal data processing.
  • Standards: ISO 27001, ISO 27701, SOC 2, and other certifications provide guidance.
  • Joint Liability: Data controllers are jointly liable with data processors for security measures.
Full article in Turkish below

Überblick

Artikel 12 des KVKK verpflichtet Verantwortliche zur Datensicherheit und verlangt die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Dieser Artikel untersucht Sicherheitsanforderungen, notwendige Maßnahmen und den Ansatz der Behörde zur Datensicherheit.

Kernpunkte

  • Technische Maßnahmen: Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Endpunktschutz und Überwachungssysteme.
  • Organisatorische Maßnahmen: Sicherheitsrichtlinien, Mitarbeiterschulungen, Vertraulichkeitsvereinbarungen und Drittanbietermanagement.
  • Besondere Kategorien: Verstärkte Sicherheitsmaßnahmen für die Verarbeitung sensibler personenbezogener Daten erforderlich.
  • Standards: ISO 27001, ISO 27701, SOC 2 und andere Zertifizierungen bieten Orientierung.
  • Gemeinsame Haftung: Verantwortliche haften gemeinsam mit Auftragsverarbeitern für Sicherheitsmaßnahmen.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Veri güvenliği, kişisel verilerin korunması sisteminin teknik temelini oluşturur. KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. Bu yükümlülük, dijitalleşen iş süreçlerinde her geçen gün daha kritik hale gelmektedir.

Karşılaştırmalı Hukuk
AB (GDPR Madde 32): "Uygun teknik ve organizasyonel tedbirler" kavramını kullanır. Risk temelli yaklaşım benimsenir; tedbirler tekniğin imkânları, maliyetler, işlemenin niteliği ve riskler dikkate alınarak belirlenir.

ABD: Sektörel düzenlemeler geçerlidir. HIPAA (sağlık), GLBA (finans), CCPA (California) farklı güvenlik gereksinimleri içerir.

Almanya: GDPR kuralları geçerlidir. BSI (Federal Bilgi Güvenliği Ofisi) standartları referans alınır.

Türkiye: KVKK m.12 teknik ve idari tedbirleri zorunlu kılar. Kurul kararları ve rehberlerle detaylandırılmıştır.

2. Yasal Çerçeve

Veri güvenliği yükümlülüğü, kişisel verilerin korunması sisteminin en kritik unsurlarından biridir. KVKK, veri sorumlularına verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli tüm tedbirleri alma yükümlülüğü getirmektedir.

KVKK Madde 12 — Veri Güvenliğine İlişkin Yükümlülükler
(1) Veri sorumlusu;
  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
KARŞILAŞTIRMALI HUKUK
GDPR Madde 32 — İşleme Güvenliği
GDPR, "uygun teknik ve organizasyonel tedbirler" kavramını kullanır ve risk temelli bir yaklaşım benimser. Tedbirler; tekniğin imkânları, uygulama maliyetleri, işlemenin niteliği, kapsamı, bağlamı ve amaçları ile gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ciddiyetteki riskler dikkate alınarak belirlenir.

3. Teknik Tedbirler

Kişisel Verileri Koruma Kurulu, çeşitli kararlarında ve rehberlerinde alınması gereken teknik tedbirleri detaylandırmıştır. Bu tedbirler, veri işleme altyapısının güvenliğini sağlamaya yöneliktir.

Erişim Kontrolleri

Tedbir Açıklama
Yetkilendirme matrisi Her kullanıcının sadece ihtiyaç duyduğu verilere erişimi (en az yetki prensibi)
Güçlü parola politikası Minimum karakter sayısı, karmaşıklık gereksinimleri, düzenli değiştirme
Çok faktörlü kimlik doğrulama Hassas sistemler için SMS, e-posta veya uygulama tabanlı doğrulama
Oturum yönetimi Otomatik oturum sonlandırma, eşzamanlı oturum sınırlaması
Ayrıcalıklı hesap yönetimi Yönetici hesaplarının ayrı kontrolü ve izlenmesi
KURUL KARARI
Yetersiz Erişim Kontrolü
Kurul, 2020/915 sayılı kararında, tüm çalışanların tüm müşteri verilerine erişebildiği bir şirkete idari para cezası uygulamıştır. Kararda, "en az yetki prensibi" gereği çalışanların sadece görevlerini yerine getirmek için gerekli verilere erişmesi gerektiği vurgulanmıştır.

Şifreleme

Şifreleme Türü Uygulama Alanı
Aktarım şifrelemesi (TLS/SSL) Web siteleri, API'ler, e-posta iletişimi
Veritabanı şifrelemesi Hassas veri sütunları, özel nitelikli veriler
Disk şifrelemesi Dizüstü bilgisayarlar, taşınabilir depolama cihazları
Yedekleme şifrelemesi Yedekleme dosyaları ve arşivler
Anahtar yönetimi Şifreleme anahtarlarının güvenli saklanması ve rotasyonu

Ağ Güvenliği

Tedbir Açıklama
Güvenlik duvarı Ağ trafiğini filtreleme ve izinsiz erişimi engelleme
Saldırı tespit/önleme sistemleri IDS/IPS sistemleriyle anormal aktivite tespiti
Ağ segmentasyonu Hassas sistemlerin ayrı ağ bölümlerinde izolasyonu
VPN Uzaktan erişim için güvenli tünel
WAF (Web Application Firewall) Web uygulamalarına yönelik saldırılara karşı koruma

Uç Nokta Güvenliği

Tedbir Açıklama
Antivirüs/Antimalware Zararlı yazılımlara karşı koruma ve düzenli güncelleme
Yama yönetimi İşletim sistemi ve uygulamaların güncel tutulması
Uç nokta tespit ve yanıt (EDR) Gelişmiş tehdit tespiti ve müdahale
Mobil cihaz yönetimi (MDM) Kurumsal mobil cihazların merkezi kontrolü
USB kontrolü Taşınabilir medya kullanımının kısıtlanması

İzleme ve Denetim

Tedbir Açıklama
Log yönetimi Sistem ve uygulama loglarının merkezi toplanması
SIEM Güvenlik olaylarının analizi ve korelasyonu
Veritabanı aktivite izleme Veritabanı erişimlerinin kaydı ve analizi
DLP (Veri Kaybı Önleme) Hassas verilerin yetkisiz transferinin engellenmesi
Sızma testleri Düzenli güvenlik testleri ve zafiyet değerlendirmesi
KURUL KARARI
Log Tutma Eksikliği
Kurul, 2021/238 sayılı kararında, veri ihlali yaşayan ancak yeterli log kaydı bulunmayan bir şirkete ceza uygulamıştır. Kararda, log kayıtlarının hem ihlallerin tespiti hem de soruşturulması için kritik öneme sahip olduğu, minimum 2 yıl saklanması gerektiği belirtilmiştir.

4. İdari Tedbirler

Teknik tedbirler tek başına yeterli değildir; bunların organizasyonel düzeyde desteklenmesi gerekmektedir. İdari tedbirler, veri güvenliği kültürünün oluşturulmasını ve sürdürülmesini sağlar.

Politika ve Prosedürler

Doküman İçerik
Kişisel Veri İşleme Politikası Veri işleme ilkeleri, amaçlar, hukuki dayanaklar
Veri Güvenliği Politikası Güvenlik hedefleri, sorumluluklar, teknik standartlar
Erişim Kontrol Politikası Yetkilendirme kuralları, hesap yönetimi, parola gereksinimleri
Veri Saklama ve İmha Politikası Saklama süreleri, imha yöntemleri, periyodik kontroller
Veri İhlali Müdahale Prosedürü İhlal tespiti, bildirim süreci, müdahale adımları
Felaket Kurtarma Planı İş sürekliliği, yedekleme, kurtarma prosedürleri

Çalışan Yönetimi

Tedbir Açıklama
Gizlilik taahhütnamesi Tüm çalışanlardan alınacak yazılı taahhüt
Farkındalık eğitimleri Düzenli KVKK ve veri güvenliği eğitimleri
Rol bazlı eğitimler Özel veri işleyen birimler için detaylı eğitim
İşten ayrılma prosedürü Erişim yetkilerinin iptali, cihaz/veri iadesi
Disiplin prosedürü Güvenlik ihlallerinde uygulanacak yaptırımlar
KURUL KARARI
Çalışan Eğitimi Eksikliği
Kurul, 2019/333 sayılı kararında, çalışanın dikkatsizliği sonucu kişisel veri ihlali yaşanan bir şirkette, çalışanlara yeterli eğitim verilmediğini tespit etmiştir. Kurul, veri sorumlusunun çalışanlarının eylemlerinden sorumlu olduğunu ve eğitim eksikliğinin bir idari tedbir eksikliği olduğunu vurgulamıştır.

Üçüncü Taraf Yönetimi

Tedbir Açıklama
Tedarikçi değerlendirmesi Veri işleyen seçiminde güvenlik kriterlerinin değerlendirilmesi
Veri işleme sözleşmesi KVKK m.12/2 kapsamında yazılı sözleşme
Periyodik denetim Veri işleyenlerin güvenlik düzeyinin kontrolü
Alt yüklenici kontrolü Veri işleyenin alt yüklenici kullanımının onaya bağlanması

5. Özel Nitelikli Veriler İçin Ek Tedbirler

Kurul, özel nitelikli kişisel verilerin işlenmesinde alınması gereken ek tedbirleri 2018/10 sayılı kararıyla belirlemiştir.

KURUL KARARI 2018/10 — ÖZEL NİTELİKLİ VERİLER İÇİN EK TEDBİRLER
Özel nitelikli kişisel verilerin işlenmesinde aşağıdaki tedbirler alınmalıdır:
  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik özel eğitimler
  • Bu verilerle çalışan personelden ek gizlilik sözleşmeleri
  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net belirlenmesi
  • Periyodik yetki kontrolü
  • Görevden ayrılan personelin yetkilerinin derhal kaldırılması
  • Verilerin şifrelenerek saklanması
  • Kriptografik anahtarların güvenli ortamda saklanması
  • İşlem kayıtlarının tutulması
  • Güvenlik güncellemelerinin takibi
  • Elektronik ortamda işleniyorsa ağ güvenliği ve uygulama güvenliğinin sağlanması
  • Fiziksel ortamda işleniyorsa yeterli güvenlik önlemlerinin alınması
  • Aktarım durumunda şifreli aktarım veya güvenli kurumsal e-posta kullanılması

6. Güvenlik Standartları ve Sertifikasyonlar

Veri güvenliği yükümlülüklerinin yerine getirilmesinde uluslararası standartlar ve sertifikasyonlar yol gösterici olabilir.

Standart/Sertifikasyon Kapsam
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27701 Gizlilik Bilgi Yönetim Sistemi (GDPR/KVKK uyumlu)
SOC 2 Hizmet sağlayıcılar için güvenlik, erişilebilirlik, gizlilik
PCI DSS Ödeme kartı verilerinin güvenliği
NIST Cybersecurity Framework Siber güvenlik risk yönetimi çerçevesi
UYGULAMA ÖNERİSİ
Risk Temelli Yaklaşım
Veri güvenliği tedbirleri belirlenirken risk temelli bir yaklaşım benimsenmelidir. İşlenen verilerin niteliği (özel nitelikli mi?), hacmi, işleme faaliyetlerinin karmaşıklığı ve olası ihlallerin sonuçları değerlendirilerek uygun güvenlik düzeyi belirlenmelidir. Her kuruluş için tek tip çözüm yoktur.

7. Veri Sorumlusu ve Veri İşleyen İlişkisi

KVKK'nın 12/2. maddesi, veri sorumlusunun veri işleyenler üzerindeki denetim yükümlülüğünü düzenler.

KVKK Madde 12/2
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Bu müşterek sorumluluk, veri sorumlusunun veri işleyeni dikkatli seçmesini ve sürekli denetlemesini zorunlu kılmaktadır.

8. Sonuç

Veri güvenliği, KVKK uyumunun teknik boyutunu oluşturur ve sürekli bir çaba gerektirir. Tek seferlik bir proje olarak değil, sürekli iyileştirme gerektiren bir süreç olarak ele alınmalıdır.

Veri sorumluları, hem teknik hem de idari tedbirleri bir bütün olarak uygulamalı, risk değerlendirmesi yapmalı, çalışanlarını eğitmeli ve güvenlik durumunu düzenli olarak gözden geçirmelidir. Özellikle özel nitelikli veri işleyen kuruluşların Kurul'un belirlediği ek tedbirleri titizlikle uygulaması gerekmektedir.

KVKK Makale Serisi 8 / 15
VERBİS Kaydı Veri İhlali Bildirimi

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.