LIABILITY OF THE DATA CONTROLLER TO TAKE ADMINISTRATIVE AND TECHNICAL MEASURES REGARDİNG DATA SECURITY

Abstract

Technological developments bring many innovations that make our lives easier, as well as the collection of data belonging to individuals with applications using artificial intelligence technologies and the production of inferences about the private and social lives of individuals with the combination of these data. Failure to ensure the security of these data, which is collected, processed, transferred and stored until the formation of these inferences, may cause serious legal problems. In order to ensure the security of personal data, some obligations have been imposed on data controllers and data processors with the Law on the Protection of Personal Data No. 6698. The main reason for these obligations is to protect the privacy of the data subjects and to ensure that the data processing activities are carried out in accordance with the law. In this context, the obligation to take the necessary administrative and technical measures brought to data controllers by KVKK in order to prevent the person concerned from losing their rights has been examined. Purpose: In this study, the aim is to determine the activities to be done within the scope of the obligation to take technical and administrative measures brought to the data controller for the protection of personal data and to produce general solutions for preventing data breaches. Method: The research was prepared by scanning written sources and databases. Findings: The protection of personal data also ensures the protection of the privacy and fundamental rights of the individual. For this reason, it is of great importance to process personal data by the law without affecting the data circulation, to prevent unlawful access and to protect the data in this process. As a matter of fact, although it is possible to reduce risks and threats to data security within the scope of obligations imposed on data controllers, it is not possible to completely prevent violations. Originality: This is an original study that examines the importance of protecting the privacy of individuals, the problem of data security, the measures that can be taken by evaluating the published works and studies on the protection of personal data.

Keywords

• Data
• Personal Data
• Personal Data Security
• Technical and Administrative Measures

Veri Sorumlusunun Veri Güvenliğine İlişkin İdari ve Teknik Tedbirleri Alma Yükümlülüğü

Abstract

Teknolojik gelişmeler, hayatımızı kolaylaştıran birçok yenilik getirmekle birlikte yapay zekâ teknolojilerinin kullanıldığı uygulamalar ile bireylere ait verilerin toplanmasını ve bu verilerin birleşimi ile kişilerin özel ve sosyal hayatlarına ilişkin çıkarımlar üretilmesini sağlamaktadır. Bu çıkarımların oluşturulmasına kadar geçen süreç içerisinde toplanan, işlenen, aktarılan ve saklanan bu verilerin güvenliğinin sağlanamaması ise, ciddi hukuki sorunlara sebep olabilmektedir. Kişisel verilerin güvenliğinin sağlanabilmesi için 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile veri sorumlusu ve veri işleyenlere bazı yükümlülükler getirilmiştir. Bu yükümlülüklerin getirilmesinin temel sebebi, ilgili kişilerin mahremiyetlerinin korunması ve veri işleme faaliyetinin hukuka uygun olarak yerine getirilmesinin sağlanmasıdır. Bu kapsamda, ilgili kişinin hak kaybına uğramasının engellenmesi için KVKK ile veri sorumlularına getirilen gerekli idari ve teknik tedbirleri alma yükümlülüğü incelenmiştir. Amaç: Bu çalışmada, kişisel verilerin korunması için veri sorumlusuna getirilen teknik ve idari tedbirleri alma yükümlüğü kapsamında yapılması gereken faaliyetler ve veri ihlallerinin engellenmesine ilişkin genel çözümler üretilmesi amaçlanmıştır. Metodoloji: Araştırma yazılı kaynakların ve veri tabanlarının taranması ile hazırlanmıştır. Bulgular: Kişisel verilerin korunması, bireyin mahremiyetinin ve temel haklarının da korunmasını sağlamaktadır. Bu sebeple veri dolaşımı etkilenmeden kişisel verilerin hukuka uygun olarak işlenmesi, hukuka aykırı erişimin önlenmesi ve bu süreçte verilerin muhafazasının sağlanması büyük önem arz etmektedir. Nitekim veri sorumlularına getirilmiş olan yükümlülükler kapsamında veri güvenliğine ilişkin risk ve tehditlerin azaltılması mümkün olsa da ihlallerin tamamen engellenmesini sağlamak mümkün değildir. Özgünlük: Kişisel verilerin korunmasına ilişkin yayımlanmış eserler ve yapılan çalışmalar değerlendirilerek kişilerin mahremiyetinin korunmasının önemi, veri güvenliği sorunu ve alınabilecek tedbirleri inceleyen çalışma özgün niteliktedir.

Keywords

• Veri
• Kişisel Veri
• Kişisel Veri Güvenliği
• Teknik ve İdari Tedbirler

References

1. Akdağ, H. (2015). Türk ceza hukukunda kişisel verilerin korunması: Prof. Dr. Nevzat Toroslu’ya armağan, 27-48. https://www.academia.edu/
2. Aksoy, H. C. (2010). Medeni hukuk ve özellikle kişilik hakkı yönünden kişisel verilerin korunması. Ankara: Çakmak Yayınevi.
3. Altındere, M. (2020). Kişisel verilerin korunması hukuku ve uygulanması. Ankara: Adalet Yayınevi. Aşıkoğlu, Ş. İ. (2018). Avrupa birliği ve Türk hukukunda kişisel verilerin korunması ve büyük veri [Yayınlanmamış yüksek lisans tezi]. İstanbul Üniversitesi.
4. Ayözger Öngün, A. Ç. (2019). Kişisel verilerin korunması hukuku: Elektronik haberleşme sektörüne ilişkin özel düzenlemeler dahil. İstanbul: Beta Basım Yayın.
5. Başalp, N. (2004). Kişisel verilerin korunması ve saklanması. Ankara: Yetkin Yayınları.
6. Bayram, Ö. B. (2022). Bir uyum aracı olarak veri koruma etki analizinin Türk hukuku bakımından değerlendirilmesi. Kişisel Verileri Koruma Dergisi, 4(1), 38-53.
7. Beytar, E. (2018). İşçinin kişiliğinin ve kişisel verilerinin korunması. İstanbul: On İki Levha Yayıncılık.
8. Canbek, G. & Sağıroğlu, Ş. (2006). Bilgi, bilgi güvenliği ve süreçleri üzerine bir inceleme. Politeknik Dergisi, 9(3), 165-174.

9. Civan Kemiksiz, R. (2022). Büyük veri çağında kişisel veri güvenliği üzerine bir alan araştırması: Dijital yerliler ve dijital göçmenlerin güvenlik algıları. Maltepe Üniversitesi İletişim Fakültesi Dergisi, 9(1), 64-91.
10. Çelikel, S. (2021). Kişisel verilerin korunması hukuku kapsamında veri sorumlusu ve veri sorumlusunun yükümlülükleri [Yayınlanmamış doktora tezi]. Ankara Üniversitesi.
11. Çekin, M. S. (2019). Avrupa birliği hukukuyla mukayeseli olarak 6698 sayılı kişisel verilerin korunması kanunu. İstanbul: On İki Levha Yayıncılık.
12. Çekin, M. S. (2016). 6698 sayılı kişisel verilerin korunması hakkında kanun’un big data (büyük veri) ve irade serbestisi açısından değerlendirilmesi. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 74(2), 629-644.
13. Develioğlu, H. M. (2017). 6698 sayılı kişisel verilerin korunması kanunu ile karşılaştırmalı olarak avrupa birliği genel veri koruma tüzüğü uyarınca kişisel verilerin korunması hukuku. İstanbul: On İki Levha Yayıncılık.
14. Dülger, M. V. (2019). Avrupa birliği genel veri koruma tüzüğü bağlamında kişisel verilerin korunması. Yaşar Hukuk Dergisi, 1(2), 71-174.
15. Dülger, M. V. (2020). Kişisel verilerin korunması hukuku. İstanbul: Hukuk Akademisi Yayıncılık.
16. Dülger, M. V. (2021, Şubat). Tasarlanmış ve önceden tanımlanmış veri koruma ile zarara karşı risk sorumluluğu: Kişisel verileri koruma kurulu’nun 18 şubat 2019 tarihinde yayınlanan kararları ne anlama geliyor?, 1-13. https://www.academia.edu/
17. Eraslan Türkmen, S. (2019). Özel nitelikli kişisel verilerin işlenmesinde açık rızanın aranmadığı haller. İstanbul: On İki Levha Yayıncılık.
18. Göksu, M. (2010). Hukuk yargılamasında elektronik delil [Yayınlanmamış doktora tezi]. Ankara Üniversitesi.
19. Günbey, O. (2020). Kişisel verilerin korunması kanunu kapsamında veri sorumlusunun yükümlülükleri [Yayınlanmamış yüksek lisans tezi]. İstanbul Bilgi Üniversitesi.
20. Gündüz, M. Ş. (2022). Uluslararası insan hakları açısından kişisel veri güvenliği [Yayınlanmamış yüksek lisans tezi]. Batman Üniversitesi.
21. Gürbüz Erel, İ. (2021). Sağlık hukukunda kişisel verilerin korunması. [Yayınlanmamış yüksek lisans tezi]. Kocaeli Üniversitesi.
22. Hizarcı, E. (2019). 6698 sayılı kişisel verilerin korunması kanununun ab veri koruma hukuku ışığında değerlendirilmesi. [Yayınlanmamış yüksek lisans tezi]. Marmara Üniversitesi.
23. Kara, Ş. (2013). Veri kurtarma yöntemlerinin başarımlarının değerlendirilmesi [Yayınlanmamış yüksek lisans tezi]. Fırat Üniversitesi.
24. Kartöz, M. O. (2020). Şeffaflık ve hesap verilebilirlik açısından kişisel verilerin korunması ve yapay zekâ. [Yayınlanmamış yüksek lisans tezi]. İstanbul Üniversitesi.
25. Kaya, C. (2011). Avrupa birliği veri koruma direktifi ekseninde hassas (kişisel) veriler ve işlenmesi. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, LXIX(1-2), 317-334.
26. Kaya, M. B. (2020). Kişisel verilerin korunmasında yeni paradigma: Hesap verebilirlik ilkesi. İstanbul Hukuk Fakültesi Mecmuası, 78(4), 1859-1897. DOI: 10.26650/mecmua.2020.78.4.0005.
27. Keser, L. (2018). General data protection regulation (GDPR) ve uygulanması. İstanbul Bilgi Üniversitesi. https://cdn2.hubspot.net/hubfs/5089999/Mdsap_2019/PDF/SolutionPDF-1152018123643.pdf
28. Korucu, O. (2021). Veri güvenliğinin iyileştirilmesi sürecinde risk tabanlı küresel standart, çerçeve ve en iyi uygulama yaklaşımları. [Yayınlanmamış yüksek lisans tezi]. İstanbul Bilgi Üniversitesi.
29. Küzeci, E. (2019). Kişisel verilerin korunması, Ankara: Turhan Kitabevi.
30. KVK Kurumu. (2018). Kişisel veri güvenliği rehberi (teknik ve idari tedbirler). https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf. KVK Kurumu. (2020). Veri sorumluları için bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman. https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU. Özkan, O. (2020). Kişisel verilerin korunması. [Yayınlanmamış yüksek lisans tezi]. Ankara Üniversitesi.
31. Sarı, O. (2013). Uluslararası hukuk ve Türk ceza hukuku bağlamında siber güvenlik ve bilişim sistemine yönelik suçlar. [Yayınlanmamış yüksek lisans tezi]. Harp Akademileri Stratejik Araştırmalar Enstitüsü, İstanbul.
32. Taştan, F. G. (2017). Türk sözleşme hukukunda kişisel verilerin korunması, İstanbul: On İki Levha Yayıncılık.
33. Zor, A. (2020). Veri sorumlusunun yükümlülükleri ve bu yükümlülüklerin ihlalinden doğan özel hukuk sorumluluğu. [Yayınlanmamış yüksek lisans tezi]. İstanbul Üniversitesi.