Kişisel verilerin işlenmesinde, veri sorumlusunun KVKK'dan doğan yükümlülüklerinden biri de 'teknik ve organizasyonel önlemler' almaktır. Bu önlemler neleri kapsar ve veri sorumlusunun bu yükümlülüğünü yerine getirip getirmediği nasıl denetlenir?

KVKK m. 12 uyarınca veri sorumlusunun almakla yükümlü olduğu 'teknik ve organizasyonel önlemler', kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla alınması gereken tüm tedbirleri ifade eder. **Teknik Önlemler:** Genellikle bilişim sistemleriyle ilgilidir. Örneğin; siber güvenlik önlemleri (güvenlik duvarı, antivirüs yazılımları), yetki matrisi oluşturma (verilere sadece yetkili personelin erişmesi), erişim loglarının tutulması, veri maskeleme, şifreleme (kriptografi), sızma (penetrasyon) testleri, yedekleme politikaları gibi önlemlerdir. **Organizasyonel (İdari) Önlemler:** Kurumun idari yapısıyla ilgilidir. Örneğin; kişisel veri işleme envanteri hazırlama, veri koruma politikaları ve prosedürleri oluşturma, çalışanlara KVKK eğitimleri verme, gizlilik taahhütnameleri imzalattırma, veri ihlali müdahale planı hazırlama, veri işleme sözleşmelerini denetleme, Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüklerini yerine getirme gibi önlemlerdir. Bu yükümlülüğün denetimi ise şu yollarla yapılır: 1. **Kişisel Verileri Koruma Kurulu'nun Re'sen İncelemesi:** Kurul, gerekli gördüğü hallerde veri sorumlusunun faaliyetlerini re'sen denetleyebilir. 2. **Şikâyet Üzerine İnceleme:** Veri sahiplerinin şikayetleri üzerine Kurul, veri sorumlusunun gerekli önlemleri alıp almadığını inceler. 3. **Veri İhlali Bildirimi:** Bir veri ihlali meydana geldiğinde, veri sorumlusu bu durumu 72 saat içinde Kurul'a bildirmek zorundadır. Bu bildirim üzerine Kurul, alınan önlemlerin yeterliliğini değerlendirir. Denetimler sonucunda Kurul, eksikliklerin giderilmesi için talimatlar verebilir ve idari para cezaları uygulayabilir.