6698 Sayılı Kişisel Verilerin Korunması Kanununun 12. Maddesine göre; Veri sorumlusu kurum içindeki veri güvenliğine ilişkin yükümlülüklerini düzenlemekten sorumludur. İlgili yükümlülüklerin yerine getirilmemesi ise kabahat olarak kabul nitelendirilir.
Önemli olan diğer husus ise; 12. Maddenin uygulama alanı dışında olsa da gerçekleşen tüm veri ihlalleri, veri güvenliğine ilişkin yükümlülüklerin ihlali olarak değerlendirilmektedir. Bunun bir sonucu olarak da Kişisel Verilerin Koruma Kurulu, veri ihlali yaşanan kurum/kuruluşlara yüksek tutarlarda para cezaları uygulamaktadır.
Kişisel verilerin hukuka aykırı bir şekilde işlenmesi ve erişilmesini önlemek, bu verilerin muhafazasını sağlamak ve yaşanabilecek tüm ihlallerin engellenmesini sağlamak için gerekli tüm teknik ve idari tedbirler alınmış olmalıdır. Örnek tedbirlere Kurul’un teknik ve idari tedbirlere ilişkin kılavuzundan ulaşabilirsiniz. (1)
Madde 12 üçüncü fıkraya göre; “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.”
Kanunun 12. Maddesine genel olarak bakıldığında, Veri sorumlusu kendi kurum/kuruluşunda veri güvenliğini sağlamalı ve gerçekleşecek tüm ihlallere yönelik de gerekli tedbirleri almalıdır. Tüm bunların sürekliliğini sağlamak ise kurum içi düzenli denetimlerden geçmektedir diyebiliriz.
Sonuç olarak, Veri sorumlusu kendi kurum/kuruluşu içinde çalışanlar da dahil olmak üzere düzenli olarak bir iç denetim yaptığında, Kanun nezdindeki sorumluluklarına yerine getirmek daha kolaylaşacak ve oluşabilecek hatalar minimalize edilerek, cezai işlemlere maruz kalınmayacaktır.
Bu sebeple KVKK’ya Tam Uyum, düzenli bir iç denetim ile mümkündür.
(1) https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf