Veri Sorumlusunun Yükümlülükleri
Kanunda öngörülen yükümlülüklerini yerine getirebilmek için, uygun bir güvenlik düzeyini sağlamak üzere gerekli tüm teknik ve idari tedbirleri almak zorundadır. Veri sorumlusunun veri güvenliğine ilişkin sorumlulukları Kanunun 12. maddesi veri güvenliğine odaklanmıştır. Hükme göre, veri sorumlusu şunları sağlamakla yükümlüdür: Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin korunmasını sağlamak. Veri sorumlusu, bu yükümlülüklerini yerine getirebilmek için, yeterli bir güvenlik düzeyini sağlamak üzere gerekli tüm teknik ve idari tedbirleri almak zorundadır.
Veri Güvenliği Yükümlülükleri
Veri güvenliğine ilişkin yükümlülüklerin belirlenmesine yönelik işlemleri düzenlemek, Kurulun yetki ve sorumlulukları arasındadır. Ayrıca, sektör bazında işlenen kişisel verilerin niteliğine bağlı olarak, Kurul tarafından belirlenen asgari ölçütler dikkate alınarak, daha ileri tedbirler alınabilir. Veri sorumlusunun, kendi adına kişisel verileri işleyen gerçek veya tüzel kişilerle birlikte gerekli tedbirlerin alınması konusunda müştereken sorumlu olduğunu belirtmek gerekir.
Ortak Sorumluluk
Dolayısıyla, veri işleyenler, veri güvenliğinin sağlanması için tedbirleri almakla yükümlüdürler. Buna göre, örneğin, bir veri sorumlusunun şirketine ilişkin kayıtların bir muhasebe firması tarafından tutulması halinde, veri sorumlusu, veri işleme konusunda birinci fıkrada belirtilen tedbirlerin alınmasını sağlamaktan muhasebe firması ile birlikte müştereken sorumlu olacaktır.
Denetim Yükümlülükleri
Ayrıca, Kanunda veri sorumlusuna veri güvenliği konusunda bir gözetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda Kanun hükümlerine uyumu sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusunun bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi tarafından da gerçekleştirilmesi mümkündür.
Kişisel Verilerin Açıklanmaması
Milli Eğitim Bakanlığı Ortaokul Kurumları Yönetmeliği’ne kişisel verilerin gizliliği ile ilgili hükümler eklenmiştir. Ayrıca, veri sorumluları ve veri işleyenler, öğrendikleri kişisel verileri bu Kanuna aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevlerinden ayrıldıktan sonra da devam eder.
İhlal Durumunda Bildirim Yükümlülüğü
Son olarak, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde, veri sorumlusu durumu derhal ilgili kişiye ve Kurula bildirir. Kurul, gerektiğinde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle duyurabilir. Bu duyuru, kendi internet sitesi aracılığıyla veya kendi takdirine bağlı olarak başka uygun bir yöntemle yapılabilir.
Uygun Güvenlik Düzeyi
Her veri sorumlusunun, veri güvenliği için aldığı tedbirleri kendi yapısına, faaliyetlerine ve karşı karşıya olduğu risklere göre uyarlaması gerekmektedir. Bu nedenle, veri güvenliğinin sağlanmasına ilişkin tek bir model öngörülmemektedir. Uygun tedbirlerin belirlenmesinde, veri sorumlusunun işinin niteliği ve korunan kişisel verilerin türü, şirketin büyüklüğü veya geliri kadar önemlidir.