← Önceki Madde [11]
[13] Sonraki Madde →
RESMİ METİN

Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tızel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, kişisel verilerin korunması mevzuatının en operasyonel, en teknik ve bilgi güvenliği (information security) standartlarıyla doğrudan entegre olan "Veri Güvenliği ve İhlal Yönetimi" normudur. Kanunun getirdiği aydınlatma veya ilkeler gibi kurallar ne kadar mükemmel uygulanırsa uygulansın; eğer verilerin saklandığı sistemler siber saldırılara, fiziksel hırsızlıklara veya içerideki personelin kötü niyetli sızdırmalarına karşı korunmuyorsa koruma illüzyondan ibaret kalır.

Madde; veri sorumlusuna üçlü bir güvenlik koruması (hukuka aykırı işlemeyi önleme, erişimi engelleme ve güvenli muhafaza) yüklemekte, bu amaçla teknik ve idari tedbirlerin alınmasını zorunlu kılmaktadır. Ayrıca veri işleyenlerin kusurlarından ötürü veri sorumlusuna müşterek sorumluluk yüklemekte, periyodik iç denetimleri emretmekte ve bir sızıntı durumunda "Veri İhlali Bildirimi" (Data Breach Notification) acil durum mekanizmasını devreye sokmaktadır.

2. Maddedeki Kavramların Analizi

  • Teknik ve İdari Tedbirlerin Ayrımı (m. 12/1):
    • Teknik Tedbirler: Siber güvenliğe ilişkin teknolojik korumalardır. Kurulun yayımladığı Kişisel Veri Güvenliği Rehberi uyarınca; güvenlik duvarları (firewall), antivirüs yazılımları, ağ erişim loglarının tutulması, sızma testleri (penetration testing), veri tabanında verilerin şifrelenmesi (encryption), iki faktörlü kimlik doğrulama ve kullanıcı yetkilendirme sistemleri bu kapsamdadır.
    • İdari Tedbirler: Yönetsel ve organizasyonel düzenlemelerdir. Personel ile imzalanan gizlilik taahhütnameleri, veri envanterinin hazırlanması, şirket içi veri koruma politikaları, personele verilen KVKK farkındalık eğitimleri ve disiplin yönetmelikleri idari tedbirlerin omurgasıdır.
  • Müşterek Sorumluluk (m. 12/2): Veri sorumlusu, kendi adına veri işleyen taşeronların (veri işleyenlerin) veri güvenliği açıklarından ve hatalarından müştereken ve müteselsilen sorumludur. Örneğin, şirketin anlaştığı dış kaynaklı yazılım firmasının sunucularının hacklenip şirket verilerinin çalınması durumunda; şirket "benim suçum yok, taşeron hacklendi" diyerek sorumluluktan kurtulamaz, Kurul cezayı doğrudan veri sorumlusuna keser.
  • Periyodik Denetim Ödevi (m. 12/3): Veri sorumlusu, kendi sistemlerinde ve veri işleyenleri nezdinde kanuna uyumluluğu denetlemek üzere her yıl düzenli olarak siber güvenlik ve usul denetimleri yapmak veya dışarıdan bağımsız denetim firmalarına yaptırmak zorundadır.
  • 72 Saatlik Acil Veri İhlali Bildirimi (m. 12/5): Verilerin kanuni olmayan yollarla (siber saldırı, fidye yazılımı/ransomware, çalışan sızdırması vb.) çalınması veya kaybolması durumunda; veri sorumlusu durumu "en kısa sürede" Kurula ve etkilenen ilgili kişilere bildirmelidir. Kurul yerleşik kararlarıyla "en kısa süre" kavramını 72 saat (3 gün) olarak kesinleştirmiştir. İhlali öğrenen veri sorumlusunun 72 saatlik geri sayımı başlar. Kurul bu ihlalleri kendi resmi sitesinde kamuoyuna ilan eder.

3. Sistematik İlişkiler

Madde 12; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 32. maddesi (Security of processing) ve 33-34. maddeleri (Breach notification) ile tamamen uyumludur. Kanun içinde m. 3 (veri işleyen tanımı), m. 18 (yaptırımlar - veri güvenliği ihlali kabahati) ve Türk Ceza Kanunu'nun 136. maddesiyle doğrudan ilişkilidir.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

  • Veri Güvenliği İhmali ve En Ağır İdari Para Cezaları: KVKK Kurulu'nun en yüksek para cezası kestiği alan Madde 12/1 ihlalleridir. Kurul, siber saldırıya uğrayan firmaları denetlerken "Kusursuz Sorumluluk" mantığına yakın bir denetim yapar. Şirket en üst düzey siber tedbirleri almış olsa bile, sızma testi yaptırmadığı veya personeline kimlik avı (phishing) eğitimi vermediği tespit edilirse, veri güvenliği yükümlülüğünü ihlalden milyonlarca lira para cezasına çarptırılır.
  • 72 Saatlik Sürenin İhlali Cezaları: Kurul, siber saldırıyı geç fark eden veya fark etmesine rağmen 72 saatlik süreyi aşarak bildirimde bulunan veri sorumlularına, ihlalin kendisinden bağımsız olarak sadece "bildirim yükümlülüğünü geç yerine getirmekten" ötürü ayrıca ağır cezalar uygulamaktadır.

5. Pratik Örnek Olaylar

Örnek (Siber Saldırı ve Müşterek Sorumluluk): Bir kargo şirketi (veri sorumlusu), müşteri adreslerini barındıran veri tabanını X bulut şirketinin (veri işleyen) sunucularında saklamaktadır. X şirketinin sistemindeki bir açık nedeniyle hackerlar sunucuya sızmış ve 100.000 kargo müşterisinin verilerini çalmıştır. Kargo şirketi bu durumu 10 Nisan saat 10:00'da öğrenmiştir. Kargo şirketi en geç 13 Nisan saat 10:00'a kadar KVK Kurumu'na resmi ihlal bildirimi yapmak ve müşterilerine SMS/e-posta ile bilgi vermek zorundadır. Kargo şirketi "saldırı bulut firmasına yapıldı" diyerek cezadan kurtulamaz; Madde 12/2 gereği müştereken sorumlu olduğundan Kurul kargo şirketine m. 18/1-b uyarınca (2026 YDO oranıyla en az 32.510 TL - 2.013.887 TL) ceza keser.

6. Pratik Uygulama Notları

  • İhlal Müdahale Planı Hazırlayın: Her şirketin ve kurumun, olası bir siber saldırı veya veri sızıntısı anında devreye sokulacak yazılı bir "Veri İhlali Müdahale Planı" (Data Breach Response Plan) bulunmalıdır. İhlal anında kimin kime haber vereceği, Kurul ihlal formunun nasıl doldurulacağı ve 72 saatlik sürenin nasıl yönetileceği bu planla önceden simüle edilmelidir.

7. Eleştirel Değerlendirme

  • Siber Saldırı Mağduru Şirketlerin Cezalandırılması Çelişkisi: KVKK Kurulu'nun siber saldırıya uğrayan şirketlere yönelik uygulamaları doktrinde "mağduru cezalandırma" olarak eleştirilmektedir. Şirketler zaten fidye yazılımları veya siber hırsızlıklarla büyük itibar ve finansal kayba uğramışken; bir de devletin milyonlarca liralık idari para cezaları kesmesi ve ihlali kamuoyuna ilan ederek şirketi teşhir etmesi adil bulunmamaktadır. Bu katı yaklaşım, şirketlerin veri sızıntılarını bildirmek yerine gizlemeye ve karaborsada fidye ödeyerek olayın üstünü örtmeye çalışmasına yol açmaktadır. Regülasyon başarısı için, en üst düzey teknik tedbirleri aldığını ispatlayan şirketlerin cezalardan muaf tutulması veya teşhir uygulamasının yumuşatılması yönünde reform yapılması siber güvenlik kalitesini artıracaktır.

Metodolojik Not

Bu akademik yorum ve analiz, veri güvenliğinin teknik ve idari tedbirler boyutunu, siber güvenlik standartlarının hukuki yansımalarını, veri işleyenlerin müşterek sorumluluğunu ve 72 saatlik veri ihlali bildirimi rejimini 6698 sayılı Kanun'un 12. maddesi ve bilgi güvenliği mevzuatı kapsamında Av. Fethi Güzel'in siber hukuk uzmanlığıyla tahlil etmektedir.

← Önceki Madde [11]
[13] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.