Uygun idari ve teknik tedbirlerin alınabilmesi için, öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin tespit edilmesi, tespit edilen bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve gerçekleşmesi durumunda yol açacağı kayıpların neler olabileceği belirlenmelidir.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet ve uygulanabilirlikleri açısından değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
Kişisel Veri Güvenliği Politika ve Prosedürleri Belirlenerek uygulanması sağlanmalıdır.
Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.
Kişisel verilerin kurum dışına sızmasını engelleyecek ve gözlemleyecek teknik altyapının temin edilmesi ve ilgili matrislerin oluşturulması sağlanmalıdır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmalıdır.

Şunu da belirtmekte fayda var, İdari ve Teknik tedbirler kişisel verileri koruma kurulu tarafından belirlenmiştir. Fakat her veri sorumlusu bütün önlemleri almak zorunda değildir. İşletmenin büyüklüğüne göre veri akışının fazlalığına göre tedbirler belirlenecektir.
Kurumun BT altyapısı gereksinimi ve yapısı göz önünde bulundurularak Kurul tarafından belirlenen teknik tedbirler uygulanmalıdır.

 

Aslı Topçu

Kişisel Veri ve Yönetim Sistemi Uzmanı