Kategoriler

Yazan: Gökhan Bayraktar
VOYD YK Üyesi, Doktora Öğrencisi

Bilişim teknolojilerinde yaşanan gelişmelere paralel olarak veri üretimi de hızlı bir şekilde artış göstermiştir. 1990'lı yıllardan sonra hane halkının da internet erişiminin kolaylaşması ile önce kişisel bloklarla başlayan sonra mobil teknolojinin getirdiği imkanlarla birlikte giderek popülerleşen video ve fotoğraf paylaşımına izin veren platformların gelişmesi ile dijital ortamda sosyal medya adına alan bir mecra oluşmuştur. “Wea Are Social” ve “Hootsite” tarafından yapılan en son araştırmalara göre dünyada 3.8 milyardan fazla mobil veya sabit internet kullanıcısı ve 2.8 milyar aktif sosyal medya kullanıcısı mevcut. Bireysel kullanıcılar gibi kurumlarda çok büyük oranda işlerini e-ortamda gerçekleştirmektedir. Bunun sonucunda e-posta, e- ticaret, e-devlet, e-imza, gibi kavramlar hızla klasik çalışma biçimlerinin yerine geçmektedir. Bu değişimi günlük yaşantımızda neredeyse her alanda görebilmekteyiz. Vergi ödemeleri yapmak, pasaport başvurusunda bulunmak, seyahat rezervasyonları yapmak, çalıntı cep telefonlarını sorgulamak vs. günümüzde sıklıkla yapılmaktadır.

 

 Bilişim sürecinde yaşanan bu hızlı gelişmelerin sonucunda veri miktarının doğal olarak artmış olması kaçınılmazdır.  Kişilerin, kurumların ve işletmelerin sahip oldukları verilerin açık ve özel ağlar arasındaki geçiş durumları, bilgilerin halka açık sistemlerde/sistemlerle paylaşılması gibi uygulamalardaki artış neticesinde artık bilgilere erişimin denetlenmesi son derece güçleşmiş ve güvenlik zayıflıkları da hayatımızın hoşnut olmadığımız vazgeçilmezleri arasına girmiştir. Artık kurumlar, e-sahtekârlık yöntemleri, bilgi hırsızlığı, bilgisayar korsanları, e-saldırılar, bilgi sızdırma ve potansiyel iç saldırılar gibi çok geniş bir yelpazedeki tehlike ve tehditlere göğüs germek zorundadırlar.

Dijital ortamın başka bir ifade ile sanal alemin bu denli popüler olarak her türlü alanımızda özellikle eğlence alanında kullanılması kişisel veri ihlallerinin artışlarına bir sebep olarak gösterilebilir. Yaş sınırı olmadan 7'den 70 'e her kesimden insanın kullanıcısı olduğu sosyal medya mecraları popüler olduğu kadar maalesef güvenli değildir. İnternet ve sosyal medyada paylaşılan özel bilgi, belge, fotoğraf ve videoların başkaları tarafından çalınması ya da farklı şekillerde kullanılması ile veri hırsızlığı ve kişisel veri mahremiyeti problemleri ortaya çıkmaktadır.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum tarihi gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel bilgilerdir. Başka bir tanımda ise kişisel veri, veri idarecisinin hükmü altında olan veya olma ihtimali yüksek olan ve birey ile ilgili herhangi bir fikrin ifadesi ve veri idarecisinin veya bireyle ilgili olan herhangi bir kimsenin niyetine işaret eden, bireyle ilgisi olan veri ya da diğer bilgiler tarafından tanımlanan veri olarak ifade edilmektedir.

Kişisel Verileri Koruma Kanunu

Kişisel veri güvenliği ihlalleri bireysel yapıldığı gibi kurumlar tarafından da yapılabilmektedir. Kamu kurum ve kuruluşlarında saklanan mevcut kişisel bilgiler, bankalarda bulunan hesap bilgileri ve şifreler aracılığıyla türlü nedenlerle dolandırıcılık, sahtecilik gibi olaylarla karşı karşıya kalınmaktadır. Türkiye’ye özgü bir veri koruması kanunu ilk olarak 2003 senesinde, AB Katılım Ortaklığı Belgesi konu ile ilgili bir maddeye değindiğinden dile getirilmiştir. Bu madde daha sonra Türkiye’nin AB Katılım Ulusal Programına kabul edilmiş ve Türkiye’de bir veri koruması yasa taslağının oluşturulmasının ilk denemelerinden biri 2008’de olmuştur. Konuya ilişkin ilk somut adım, söz konusu hakkın 2010 yılında yapılan Anayasa değişikliği sonucu Anayasanın 20. maddesine eklenen 3. fıkrasıyla Anayasal güvence altına alınması ile atılmıştır.

Ancak veri korunması konusunda kanun yapımının ivme kazanması, ancak Aralık 2014’te Kişisel Verilerin Korunması Kanun tasarısı oluşturulması ve ilgili AB kurumları ve yerel sivil toplum gruplarına yasal yorumları için iletilmesi ile gerçekleşmiştir.  Daha sonra 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ardından kişisel verilerin korunması ile güvence altına alınmaya çalışılmıştır. Bu kanundan önce Türk Medeni Kanunda da benzer koruma tedbirleri alınmıştır.

Türk Medeni Kanunda Kişisel Verilerin Korunması Maddesi

Anayasa hükümlerinin dışında Türk Medeni Kanunu’nun 23, 24 ve 25. BK. md. 49. Maddelerinde “Kişilik Hakkının Korunması” başlığı altında yer alan hükümler doğrultusunda, kişisel verilerin hukuka aykırı olarak işlenmesi hususunda ilgililerin hakları korunabilmektedir.

Türk Medenî Kanunu’ndaki bu düzenlemelerin yanı sıra, 4857 sayılı İş Kanununda da, kişisel verilerin korunması ile ilgili düzenleme mevcuttur. 4857 Sayılı Kanun’un 75. maddesi gereği işveren; çalıştırdığı kişilere ait sahip olduğu verileri koruma açısından kanunda belirtilen bazı ödevleri de yerine getirmekle yükümlüdür.

-İşçilere ait özlük dosyası tutma,
-Kişisel verilerin işlenmesinde işlem kıstaslarına uyma,
-Sır saklama,
-Talep edildiği takdirde kişisel verileri ilgililere açıklama.

Yukarıda saydığımız bu maddeler ile çalışanların işe girerken işverene vermiş olduğu tüm bilgi ve belgelerin gizliliği koruma altına alınmıştır.

Kişisel Veri Koruma Kanununu çerçevesinde birçok madde oluşturulmuş ve bu iş ve işlemleri yerine getirme gerekli denetimleri yapma adına Kişisel Verileri Koruma Kurulu kurulmuştur.

Kişisel Verileri Koruma Kurulu

Kişisel Verileri Koruma Kanunu ile Cumhurbaşkanlığı kararnamesi ile kurulan kurulun amaçları;

a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.

f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek, olarak sıralanmaktadır.

Kişisel Veriler Hangi Durumlarda İşlenebilir ?

Türkiye’de yaşayan milyonlarca insan kamu kurum ve kuruluşlarının hizmetlerinden yararlanmak, bilgi ve belge talep etmek gibi iş ve işlemler için kendine özel olan veya olmayan birçok veri paylaşmaktadır. Bu veri ve bilgiler Kişisel Verileri Koruma Kanunu ile güvence altına alınmıştır, ancak bazı durumlarda bu verilerin paylaşılması ve işlenmesinde bazı kurallara uymak şartı ile bir sakınca görülmemiştir.  Bu nedenle Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

-Hukuka ve dürüstlük kurallarına uygun olma.

- Doğru ve gerektiğinde güncel olma.

- Belirli, açık ve meşru amaçlar için işlenme.

- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, olarak belirlenmiştir.

Kişisel Veri İhlalleri

Kişinin hayatının gizli alanında kalması gereken ve herkes tarafından bilinmeyen kişisel verilerin hukuka aykırı bir şekilde ele geçirilmesi başkasına verilmesi veya yayılması ile meydana gelir. Kişisel veri ihlali yapanlar 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümleri gereği bir yıldan dört yıla kadar hapis cezası uygulanır. Ayrıca özel ve tüzel kişilere 5 bin ile 1 milyon TL'ye varan idari para cezaları verilebilmektedir. Veri ihlalleri genelde internet ve sosyal medya üzerinden yapılmaktadır. Milyonlarca üyesi olan popüler sosyal medya mecralarının üyelerinin bilgilerini satması ile yapılan birçok veri ihlali söz konusudur.

Kullanıcı paylaşımlarından kaynaklı bilgi hırsızlığı, mahremiyet problemleri, maddi ve manevi birçok ihlalin yaşandığı görülmektedir. IBM, Microsoft, Apple, Samsung, Facebook ve Google gibi büyük teknoloji şirketleri kişisel veri güvenliği konusunda önlem aldıklarını söyleseler de, günümüzde verinin ekonomik değeri göz önünde bulundurulursa bunun pek de dikkate alınmadığı görülmektedir. Veri güvenliği denilince çoğumuzun aklına Facebook “Cambridge Analytica” skandalı gelir. 2014 yılında Cambridge Üniversitesi Profesörü Aleksandr Kogan tarafından ABD seçmen hakkında ayrıntılı psikolojik profil çıkarmayı amaçlayan bir anket uygulaması ile Facebook bilgilerine erişim izni alarak 50 milyondan fazla kullanıcının bilgisini toplamış ve bu bilgileri “Cambrigde Analytica” adlı bir şirkete satmıştır. Bu bilgiler ABD seçimleri ve birçok seçim kampanyalarında kullanılmıştır.

Kişisel veri güvenliği ihlalleri bireysel yapıldığı gibi kurumlar tarafından da yapılabilmektedir. Kamu kurum ve kuruluşlarında saklanan mevcut kişisel bilgiler, bankalarda bulunan hesap bilgileri ve şifreler aracılığıyla türlü nedenlerle dolandırıcılık, sahtecilik gibi olaylarla karşı karşıya kalınmaktadır.

Kişisel Verileri Koruma Kurulu Türkiye'nin en büyük bankalarından birine mahkemece istenmemesine rağmen davalının 6 aylık kredi kartı ekstresinin gönderilmesini Kişisel Verilerin Korunması Kanunu'na aykırı buldu. Kurul bankaya 30.000 TL idari para cezası verdi. Ülkemizde görülen bu davada banka davalı tarafın da erişimine açık ve incelemesine uygun bir şekilde mahkemeye 6 aylık harcama ekstrelerini göndermiştir. Kişisel Verileri Koruma Kurulu uzun bir inceleme ve değerlendirmeden sonra bu durumun kişisel veri gizliliği ihlali olduğuna karar vermiştir. Bu ve buna benzer birçok dava kurum ve kuruluşların tazminat ödemeye mahkum etmektedir. Bu olaya baktığımızda banka müşterisi olarak banka ile paylaştığımız kimlik bilgisi adres, telefon gibi bilgiler ve bankada mevcut olan banka hesap bilgilerimiz bizim için çok önemli belgelerdir. Ancak mahkeme tarafından istenmemesine rağmen bu bilgilerin paylaşılması, müşteri verilerinin banka tarafından çok da önemsenmediğini göstermektedir.

 

Dünyada Kişisel Veri Güvenliği

Avrupa birliği ülkeleri 1980'li yıllardan buyana kişisel veri gizliliği ve verilerin korunması için özel çaba harcamaktadır. Lizbon Antlaşması’nın 2009 senesinde yürürlüğe girmesiyle birlikte veri koruması temel bir hak haline gelmiş ve Avrupa’nın devletlerin gizlilik koruma mekanizmalarını gevşeterek daha yayılmacı güvenlik önlemleri benimsemeye meyletmesine karşı koyan gizlilik kanunlarını daha da sağlamlaştırmıştır.

Avrupa Birliği genelinde 2017 Mayıs ayında yürürlüğe giren hesap verilebilirlik, rıza alma ve raporlama gibi alanlarda ciddi düzenleme getiren Genel veri Koruma Yönetmeliği (GDPR) ile birçok ülke örnek uygulamalara geçmiştir. Avrupa’da, Avrupa İnsan Hakları Mahkemesi (AHİM), Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) ve Avrupa Konseyi (AK) kişisel gizliliği ve veriyi korumak için yasal tedbirlerin uygulanmasından sorumlu ana kurumlardır.

ABD, Kanada, Avusturalya gibi ülkelerde benzer uygulamalarla kişisel veri güvenliğini koruma altına almak için benzer çalışmalar yürütmektedir. Amerika Birleşik Devletleri, vatandaşlarını daha iyi koruyabilmek adına Elektronik İletişim Güvenlik Yasası (1986), kolluk kuvvetlerinin kişisel iletişime olan erişimini kısıtlamış, hukuka aykırı olarak elde edinilen bilginin ifşa edilmesini cezai yaptırıma tabi bırakmıştır.

Sonuç

İnternet teknolojilerinin gelişmesi ile bir gözetim toplumu haline geldiğimiz dünyada, sosyal medya veya diğer dijital kanallardan üretilen her türlü veri eğer bir önlem almazsak başımıza birçok dert açabilmektedir. Kamu kurum ve kuruluşlarının hizmetlerinden yararlanmak amacıyla paylaşılan veriler, banka hesabı açmak için verilen bilgi ve belgeler, internet ortamında oluşturulan verilerin çoğu gelişen internet teknolojileri sayesinde kolay erişilebilir hale gelmiştir. Kişisel verilerin korunabilmesi amacıyla devletler kendi önlemlerini almak amacıyla kanunlar düzenlemiş ve bunu uygulamak adına bir kurumu da sorumlu olarak tayin etmiştir. Türkiye'de de 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu ile kişisel veriler koruma altına alınmıştır. Bu iş ve işlemlerin yapılabilmesi içinde Kişisel Verileri Koruma Kurulu oluşturulmuştur. Ancak sadece kamu kurum ve kuruluşlarının aldığı bu önlemler yeterli değildir. İnternet ve sosyal medya kullanıcılarının da fenomen olmak amacıyla ya da farkında olmadan mahremiyet sınırlarını zorlayan, bu içerikleri üretmek için kişisel mahremiyetlerinden de ödün verdikleri açıkça görülmektedir. Kişisel Verilerin korunması adına yapılan kanunlar ve idari yaptırımlar, kişisel verilerin tam olarak korunması için yeterli olmamaktadır. Bunun en önemli nedenleri arasında hangi verinin gizli olduğu ve hangi verinin paylaşılabilir olduğu çoğu kişi tarafından bilinmediği için bu ihlaller sıklıkla yaşanabilmektedir. Bunun önlenebilmesi için siber güvenlik önlemlerinin yanı sıra elinde veri bulunduran kurum ve kuruluşların personellerini eğitmesi ve bu verileri paylaşan kişilerin de bu konuda bilinçlendirilmesi gerekmektedir.

KAYNAKÇA

  1. http://www.dijitalajanslar.com/internet-ve-sosyal-medya-kullanici-istatistikleri-2017/

  2. Karaaslan, E, Koç, S, Akın, G, Vatandaşlık Numarası Bazlı E-devlet Sistemlerinde Kişisel Veri Mahremiyeti Durum Saptaması, İzmir Bilişim Hukuku Kurultayı, 2010

  3. https://www.kisiselverilerinkorunmasi.org/kisisel-veri-nedir-ne-demektir/

  4. Ünver, H. Akın, and Grace Kim. "Türkiye'de Veri Gizliliği ve Gözetimi: Kişisel Verilerin Korunması Kanunu Tasarısının Değerlendirmesi." İstanbul: Ekonomi ve Dış Politika Araştırmalar Merkezi (2016)

  5. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Koruması Kanuna Uygulama Rehberi, s. 22. Mart 2018, Ankara

  6. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Koruması Kanuna Uygulama Rehberi, s. 23. Mart 2018, Ankara

  7. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

  8. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

  9. https://webrazzi.com/2018/03/22/cambridge-analytica-hikayesi-facebook-ve-buyuk-veri/ Cambridge Analytica hikayesi, Facebook ve Büyük Veri, 22 Mart 2018

  10. Doğan D, Kişisel Verilerin Korunmasında Veri Madenciliği Etkisi: Online Mahremiyetin Sonunda mıyız?

  11. https://kisiselveri.com/istenmeyen-ekstre-gonderilmesine-kuruldan-30-000-tl-ceza

  12. http://fintechtime.com/tr/2018/10/gdpr-tum-dunya-ulkelerini-etkiliyor/?doing_wp_cron=1550925712.5178360939025878906250