6698 sayılı KVKK'nın 12. maddesi, veri sorumlusuna 'gerekli her türlü teknik ve idari tedbirleri almak' yükümlülüğü getirmiştir. Bu 'teknik' ve 'idari' tedbirler arasındaki temel fark nedir? Her birine birer örnek veriniz.

Bu iki tedbir türü arasındaki temel fark, birinin teknoloji ve bilişim sistemleriyle, diğerinin ise insan, organizasyon ve süreç yönetimiyle ilgili olmasıdır. 1) Teknik Tedbirler: Bunlar, kişisel verilerin işlendiği bilişim sistemlerinin güvenliğini sağlamaya yönelik, somut teknolojik çözümlerdir. Amaç, siber saldırılara, yetkisiz erişimlere ve veri sızıntılarına karşı teknolojik bir kalkan oluşturmaktır. Örnek: Verilerin saklandığı sunucuların şifrelenmesi (kriptografi), güvenlik duvarı (firewall) ve antivirüs yazılımları kullanılması, ağ güvenliğinin sağlanması, sızma testleri yapılması, erişim yetkilerinin loglanması (kayıt altına alınması). 2) İdari Tedbirler: Bunlar, teknoloji dışındaki, kurumsal politika, prosedür ve insan faktörüne yönelik organizasyonel önlemlerdir. Amaç, teknoloji ne kadar güvenli olursa olsun, insan hatasından veya kurumsal eksikliklerden kaynaklanabilecek riskleri yönetmektir. Örnek: Çalışanlara düzenli olarak kişisel verilerin korunması ve bilgi güvenliği eğitimi verilmesi, veri işleme süreçlerine ilişkin politikalar ve prosedürler (veri imha politikası, erişim yetki matrisi vb.) oluşturulması, veri işleyenlerle gizlilik ve veri güvenliği hükümleri içeren sözleşmeler yapılması, kurum içinde veri güvenliğinden sorumlu birim veya kişi atanması.