6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve bu verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemek amacıyla yürürlüğe girmiştir. Kanun’un veri sorumlularına getirdiği yükümlülükler arasında, belki de en dinamik ve özen gerektiren norm, 12. maddede düzenlenen veri güvenliğini sağlama mükellefiyetidir. Salt beyan ve dokümantasyona dayalı bir uyum anlayışının ötesinde, bu madde, veri sorumlusuna proaktif ve yaşayan bir güvenlik mekanizması kurma sorumluluğu yüklemektedir. İzmir KVKK avukatı hizmetimiz kapsamındaki bu çalışmamızda, KVKK Madde 12’nin normatif içeriği, Kurul içtihatları ve mukayeseli hukuk uygulamaları ekseninde ele alınacak ve veri sorumlusunun hukuki sorumluluğunun kapsamı aydınlatılmaya çalışılacaktır.
Hukuki Bir Standart Olarak “Uygun Güvenlik Düzeyi” Kavramı ve Kapsamı
KVKK Madde 12, veri sorumlusunun objektif özen yükümlülüğünün temelini oluşturur. Madde, veri sorumlusuna üç temel amacı gerçekleştirmeye yönelik olarak “gerekli her türlü teknik ve idari tedbiri almak” yükümlülüğü getirmektedir:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak.
Kanun koyucu, alınması gereken tedbirleri tahdidi olarak saymak yerine, “gerekli her türlü” ve zımnen “uygun güvenlik düzeyi” gibi esnek ve soyut kavramlar kullanmıştır. Bu yaklaşım, teknolojinin ve tehditlerin sürekli değiştiği bir ortamda, statik bir kural setinin kısa sürede işlevsiz kalmasını önlemeyi amaçlamaktadır. Uygun güvenlik düzeyinin belirlenmesinde; veri sorumlusunun faaliyet alanı, işlenen kişisel verinin niteliği ve hassasiyet derecesi (örneğin, özel nitelikli kişisel veriler), verinin niceliği, teknolojik imkanlar ve maliyet ile maruz kalınabilecek potansiyel risklerin bir arada değerlendirildiği risk temelli bir yaklaşım benimsenmelidir.
Veri Güvenliği Tedbirlerinin Niteliği
İdari Tedbirler: Kurumsal Yönetim ve Farkındalık
Kurul’un yerleşik hale gelmiş kararlarında, veri ihlali vakalarının kökeninde teknolojik zafiyetlerden ziyade idari tedbirlerdeki eksikliklerin yattığı sıklıkla vurgulanmaktadır. İdari tedbirler, kurumun veri koruma yönetişimini ve organizasyonel direncini ifade eder.
Kurumsal Politikaların Tesis Edilmesi
Veri sorumlusu, Kanun’a uyumu yazılı ve denetlenebilir politikalara (örneğin, Kişisel Veri Saklama ve İmha Politikası, Bilgi Güvenliği Politikası, Veri İhlali Müdahale Planı) bağlamalıdır. Pratikte şirketler açısından kritik olan, standart metinler kullanmak yerine şirketin kendi iş akışlarına özgü, uygulanabilir politikalar oluşturmaktır. Hazırlanan her bir politikanın üst yönetim tarafından onaylanarak bir iç genelge ile tüm personele duyurulması ve bu politikalara uyumun denetlenmesi sağlanmalıdır. Bu yaklaşım, politikaların yalnızca kâğıt üzerinde kalmasını engeller.
Yetki Matrisi ve Erişim Kontrolü
“Bilmesi gereken” prensibi çerçevesinde, personel ve üçüncü tarafların kişisel verilere erişim yetkileri görev tanımlarıyla sınırlı olmalı ve bu yetkiler düzenli olarak gözden geçirilmelidir. Şirketin insan kaynakları ve bilişim departmanları koordinasyonunda, tüm unvanlar için standart görev tanımlarına dayalı bir “Erişim Yetki Matrisi” oluşturulması ve uygulanması gerekmektedir. İşe yeni başlayan personele yetkilerin bu matrise göre atanması, görev değişikliği veya işten ayrılma durumunda ise yetkilerin derhal kaldırılmasına yönelik prosedürlerin varlığı, sorumluluğu minimize etmek için kritik öneme sahiptir.
Risk Analizi ve Yönetimi
Veri işleme süreçlerine ilişkin envanter çıkarılmalı; bu varlıklara yönelik tehdit ve zafiyetler periyodik olarak analiz edilerek riskleri minimize edecek kontrol mekanizmaları geliştirilmelidir. Şirketler, bu sürecin salt bir bilişim denetimi olmadığını, aynı zamanda hukuki bir analiz gerektirdiğini anlamalıdır. Veri envanteri çıkarıldıktan sonra, hangi verinin hukuki olarak ne kadar “riskli” olduğunun (örneğin özel nitelikli kişisel veriler, finansal veriler) tespiti ve bu risklere yönelik alınacak idari ve teknik tedbirlerin orantılılığının denetlenmesi esastır. Analiz sonucunda ortaya çıkan “Risk Raporu”, atılacak adımları ve sorumluları içeren bir “Aksiyon Planı” ile desteklenmelidir.
Eğitim ve Farkındalık
Personelin oltalama, sosyal mühendislik gibi tehditler ve veri gizliliği yükümlülükleri konusunda düzenli olarak eğitilmesi, insan faktöründen kaynaklanacak risklerin önlenmesinde esastır. İşe giriş süreçlerinde, tercihen 2 aylık bir deneme sürecinin bitmesinin ardından KVKK eğitiminin zorunlu kılınması ve personelin belirli aralıklarla bu eğitimi tekrarlamasını sağlayan bir iç prosedür, Kurul nezdinde “gerekli özenin gösterildiğini” ispatlamanın en önemli yollarından biridir.
Üçüncü Taraf Yönetimi
Veri işleyen sıfatıyla hizmet alınan tedarikçilerle (örneğin, yurtdışında yerleşik serverları bulunan iCloud, bulut bilişim hizmeti sağlayıcıları) akdedilen sözleşmelere, veri güvenliğine ve Kanun’a uyuma ilişkin spesifik hükümler eklenmeli ve bu tarafların uyumu denetlenmelidir. Özellikle yurtdışına veri aktarımı içeren durumlarda, Kurul’un aradığı şartlara uygun hukuki mekanizmaların (Taahhütname, Bağlayıcı Şirket Kuralları veya Standart Sözleşmeler) işletilmesi zorunludur.
Teknik Tedbirler: Teknolojik Savunma Mekanizmaları
İdari tedbirlerle oluşturulan kurumsal çerçeve, etkin teknolojik kontrollerle desteklenmek zorundadır.
- Siber Güvenlik Altyapısı: Güncel güvenlik duvarları (firewall), atak tespit/önleme sistemleri (IDS/IPS) ve DLP (Veri Kaybı Önleme) yazılımları gibi katmanlı bir savunma mimarisi kurulmalıdır.
- Ağ Mimarisi ve Segmentasyon: Özellikle hassas verilerin bulunduğu sistemlerin ağın diğer bölümlerinden mantıksal olarak ayrıştırılması (segmentasyon), olası bir siber saldırının yayılmasını sınırlar.
- Sızma (Penetrasyon) Testleri: Sistem ve uygulamaların, üçüncü taraf uzmanlar tarafından düzenli aralıklarla sızma testlerine tabi tutulması, zafiyetlerin proaktif olarak tespitini sağlar.
- Kriptografik Tedbirler: Özellikle özel nitelikli kişisel veriler başta olmak üzere, risk teşkil eden verilerin hem iletim hem de saklama sırasında güçlü kriptografik algoritmalarla şifrelenmesi kritik bir yükümlülüktür.
- Erişim ve İşlem Kayıtları (Log Yönetimi): Veri sistemleri üzerindeki tüm kullanıcı ve sistem hareketlerinin zaman damgalı olarak kayıt altına alınması ve bu kayıtların anomali tespiti amacıyla düzenli olarak analiz edilmesi, olası bir ihlalin tespiti ve delillendirilmesi için zorunludur.
Emsal Mahiyetteki Kurul ve Otorite Kararlarının İncelenmesi
Marriott International, Inc. Kararı (KVKK)
Olay: Veri sorumlusunun devraldığı Starwood otel grubunun misafir rezervasyon veri tabanına yetkisiz erişim sağlanması neticesinde milyonlarca misafirin pasaport, kredi kartı ve konaklama bilgilerini içeren kişisel verilerinin ifşa olması.
Hukuki Değerlendirme ve Kurul Kararı: Kişisel Verileri Koruma Kurulu, 28/05/2019 tarihli ve 2019/143 sayılı kararında, veri sorumlusunun birleşme ve devralma süreçlerinde gerekli özeni (due diligence) göstermediğini; devralınan sistemlere yönelik risk analizi yapmadığını, ağ üzerinde anomali tespit sistemleri kurmadığını ve erişim loglarını yeterince analiz etmediğini tespit etmiştir. Bu eksiklikler, Kanun’un 12. maddesinde belirtilen teknik ve idari tedbirlerin alınmaması olarak değerlendirilmiştir.
Veri sorumlusuna toplamda 1.450.000 TL idari para cezası uygulanmıştır.
British Airways Kararı (GDPR – ICO)
Olay: Veri sorumlusunun web sitesine ve mobil uygulamasına enjekte edilen kötü amaçlı bir yazılım (Magecart saldırısı) aracılığıyla yaklaşık 500.000 müşterinin kişisel ve finansal verilerinin çalınması.
Hukuki Değerlendirme ve ICO Kararı: Birleşik Krallık Veri Koruma Otoritesi (ICO), yaptığı incelemede, veri sorumlusunun çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik kontrollerini birçok kritik sistemde uygulamadığını, sistemlerine düzenli sızma testi yaptırmadığını ve genel siber güvenlik altyapısının zayıf olduğunu tespit etmiştir. Bu durum, GDPR’ın 32. maddesinde yer alan “uygun teknik ve organizasyonel tedbirleri alma” yükümlülüğünün ihlali olarak kabul edilmiştir.
Veri sorumlusuna, nihai olarak yaklaşık 22 milyon Euro tutarında idari para cezası verilmiştir.
Sonuç olarak, 6698 sayılı Kanun’un 12. maddesi, veri sorumlularına sessiz bir uyumdan ziyade, proaktif ve hesap verebilir bir yönetişim sistemi kurma sorumluluğu yüklemektedir. Kişisel Verileri Koruma Kurulu ve uluslararası otoritelerin yerleşik kararları, denetimlerde odaklanılan hususun bir veri ihlalinin yaşanıp yaşanmamasından öte, veri sorumlusunun bu riski yönetmek için gerekli özeni gösterdiğini somut delillerle ispat edip edemediği olduğunu göstermektedir. Bu ispat külfetinin karşılanması ise ancak hukuki, idari ve teknik boyutları bir bütün olarak ele alan, periyodik olarak denetlenen ve kurum kültürüne entegre edilmiş yaşayan bir güvenlik programı ile mümkündür. Dolayısıyla, Madde 12’ye uyum, salt bir maliyet unsuru veya hukuki bir formalite olarak değil, dijital çağda kurumsal sürdürülebilirliğin, rekabet avantajının ve marka itibarının temel bir yapı taşı olarak kabul edilmeli ve bu altyapının tesisi için uzman bir hukuki ve teknik perspektiften faydalanılmalıdır.
Kaynakça
- 6698 sayılı Kişisel Verilerin Korunması Kanunu. T.C. Resmî Gazete, 29677, 7 Nisan 2016.
- Kişisel Verileri Koruma Kurulu, Marriott International, Inc. hakkında Karar Özeti, Karar Tarihi: 28/05/2019, Karar No: 2019/143. Erişim: https://www.kvkk.gov.tr/Icerik/5479/2019-143
- Information Commissioner’s Office (ICO), Monetary Penalty Notice – British Airways Plc, 16 October 2020. Erişim: https://ico.org.uk/action-we-ve-taken/enforcement/british-airways-plc-mpn/
