Kişisel verileri koruyan genel bir yasal düzenlemenin henüz yürürlükte olmaması nedeni ile kişisel verilerin korunması hususunda Türkiye, yüksek riskli ülkeler arasında yer alıyor.
Bilgi çağının itici gücü olan bilişim ve iletişim teknolojilerinin yaygınlaşması ile birlikte, günlük hayatımızdaki birçok işlemi artık, zamandan ve mekandan bağımsız olarak gerçekleştirebiliyoruz. Cebimize sığan bu dünyadan faydalanmak için kimlik, kredi kartı, sağlık, eğitim, konum, fotoğraflar ve videolar gibi kişisel bilgilerimizi çevrim içi veri toplayan kamu ve özel sektör kuruluşları vasıtası ile büyük veri ekosistemine dahil ediyoruz.
Kayıt altına alınan, depolanan veya işlenen bu veriler, niteliklerine göre bizim için kişisel veri vasfını korumaktadır. Fakat bu verilerin durumu ve vasfı sadece bununla sınırlı değildir. Çünkü bahse konu veriler öte yandan bakıldığında bu verileri toplayan, işleyen ve saklayan kurum ve kuruluşlar açısından; “ticari veri”, “müşteri sırrı”, “ticari sır”, “hasta sırrı” gibi ayrıca korunması gereken diğer haklar ile iç içe geçmektedir. Özellikle hassas veri olarak nitelendirilen “sağlık verileri” konusunda yerel ve uluslararası tartışmalar devam etmektedir. Bir yanda sağlık verilerinin paylaşılması ile tıp alanında elde edilecek kazanımlar öne sürülürken diğer yanda bu verilerin paylaşımının kişilik haklarına ağır bir saldırı olduğu tartışılmaktadır. Buna benzer bir tartışma ülkemizde de 2012 senesinde SGK’nın uhdesindeki kişisel sağlık verilerinin 5 ayrı firmaya 65 bin TL karşılığında satılması ile gündeme gelmiştir. Meslek örgütleri ve akademisyenlerin oluşturduğu bir kesim konuyu yargıya taşıyarak kişisel verilerin korunması ile ilgili çekinceleri gündeme getirmiş ancak bu konuya yeterli kamuoyu desteği sağlayamamıştır.
Kişisel verilerin korunması ile ilgili yapılan yasal düzenlemeler; taraflar arasındaki hak / menfaat dengesini sağlayarak, kişisel verilerin kayıt altına alınması ve saklanması ile ilgili genel ilkeleri belirleyecek çerçeve bir düzenleme sunmayı hedeflemektedir. Aşağıda belirtilen ilkeler Avrupa Birliği ve uluslararası düzenlemelerde kabul edilen genel ilkelerden olmakla birlikte henüz ülkemizde yürürlüğe girmemiş olan kişisel veriler kanun tasarısında benimsenmiş ilkelerdir.
Bu kapsamda kişisel veri kayıt eden ve kullanan özel kuruluşların ve kamu kuruluşlarının kişisel verileri işlerken; Hukuk ve dürüstlük kurallarına uygun işlenmesi, Belirli, açık ve meşru amaçlar için veri toplanması ve verilerin bu amaçlara aykırı olarak yeniden işlenmemesi, Verilerin doğru ve güncel olması, Gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulmasından sorumlu olacakları öngörülmüştür.
Kişisel veri nedir? Nasıl korunur? ( Ücretsiz Danışmanlık )
Avrupa Birliği ile uyum sürecinin bir gereği olarak hazırlanan ‘Kişisel Verilerin Korunması Kanunu Tasarısı’nda kişisel veriler; “Bireyleri tanınabilir veya belirlenebilir kılmaya yarayacak her türlü veri, kişisel veridir.” şeklinde tanımlanmıştır. Bu tanıma giren kişisel verileri; kimlik bilgileri, kredi kartı bilgileri, sosyal ve kültürel bilgiler, sağlık verileri, adli veriler, banka hesap bilgileri, kamera görüntüleri, fotoğraf, IP Adresi bilgileri, konum bilgileri gibi sayısı ve türü çoğaltılabilecek örnekler oluşturmaktadır.
Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesinde 2010 senesinde yapılan referandum ile değişikliğe gidilmiş; kişisel verilerin korunması anayasal bir hak olarak kabul edilmiş olsa da, mevzuatımızda kişisel verilerin korunması ile ilgili özel bir yasa maalesef henüz mevcut değildir.
Ancak, Türk Ceza Kanunu’nun 135-136-138. maddelerinde yer alan düzenlemelerde; kişisel verilerin izinsiz kaydedilmesi, ifşa edilmesi halinde altı aydan dört yıla kadar cezai yaptırımlar getirilmiştir. Türk Medeni Kanunu 23-24-25 maddeleri ile kişilik haklarına yönelik yapılan ihlaller düzenlenmekte ve kişilik hakları kapsamında yer alan kişisel verilerin korunduğu görülmektedir.
Bunun dışında özellikle “telekomünikasyon”, “bankacılık” ve “sağlık” sektörlerinde verilerin toplanması ve saklanması ile ilgili bazı dağınık yasal düzenlemeler bulunmaktadır. Bu genel ve dağınık haldeki yasal düzenlemelerin ötesinde ayrıca kısa bir süre içerisinde, Kişisel Sağlık Verilerinin İşlenmesi Veri Mahremiyetinin Sağlanması Hakkında Yönetmelik’in yürürlüğe girmesi beklenmektedir.
Maalesef kişisel verileri koruyan genel bir yasal düzenlemenin henüz yürürlükte olmaması nedeni ile kişisel verilerin korunması hususunda Türkiye yüksek riskli ülkeler arasında yer almaktadır. Türkiye’nin riskli ülkeler arasında olmasının etkisi ile çok uluslu şirketlerin kişisel verileri ülkemizde barındırmaları kendi iç düzenlemeleri nedeni ile mümkün olmamaktadır. Zira kişisel verilerin korunması ile ilgili yasal düzenleme bulunmayan ülkelere veri aktarımı uygun görülmemektedir.
Yakın bir tarihte Amerika’da, içerisinde müşteri bilgilerini içeren taşınabilir bilgisayarını çaldıran banka personeli ile ilgili olarak bankaya iki milyon dolar ceza uygulanmıştır. Başka bir örnek olarak, Kanada’da bir eğitim kurumunda çalışan personel, içerisinde öğrenci verileri olan taşınabilir belleğini çaldırması üzerine kişisel verilerin ihlalinden ötürü cezalandırılmıştır.
Bu olaylar kişisel verilerin korunması ile ilgili yurt dışında yaşanan örneklerden sadece birkaçı olmakla birlikte vatandaşlar ile özel ve kamu kurumlarının artık veri güvenliğinin sadece dışarıdan gelecek saldırılara karşı birkaç yazılım kullanmak demek olmadığının farkına varmasında büyük rol oynamıştır. Özellikle banka ve finans sektöründe yapılan kişisel verilerin korunmasına ilişkin yatırımların sonucu olarak; İngiltere’de bir teknoloji firması tarafından yapılan araştırmada İngiliz vatandaşlarının kişisel verilerin korunması hususunda devletten daha çok bankalara güvendiği ortaya konulmuştur.
Çok yakın bir tarihte Türk hukuk sisteminde ‘Kişisel Verilerin Korunması Hakkındaki Kanun Tasarısı’nın yürürlüğe gireceği ve kişisel verilerin kayıt edilmesi, saklanması ve paylaşılması hususlarında tüm özel ve kamu kuruluşlarının bu kanun kapsamında olacağı ve denetleneceği unutulmamalıdır.
Tasarıda yapılan son revizyonlarla kamu kuruluşlarının veri koruma ve veri gizliliği mükellefiyetlerinden muaf tutulmasına dair eğilimlerin hukuken uygun olmadığını, bu yasal düzenlemenin ruhu ile son derece derin ve tehlikeli bir şekilde çelişki yaratacağını da belirtmek gerekir. Bu nedenle tüm sektörlerin kişisel veri ve bilgi güvenliği hususlarında politikalarını şimdiden oluşturmaları ve teknik koruma yöntemlerini içeren eylem planlarını hayata geçirmeleri, idari ve cezai yaptırımlar ile karşı karşıya kalınmaması için önem arz etmektedir.
Son Beş Yıllın En Büyük Kişisel Veri Saldırıları
Adobe Vakası
Etkilenen Kişi Sayısı: 150 milyon
Ne oldu?
Ekim 2013 tarihinde hackerlar ayrıntıları bugün bile açıklanmamış bir yöntemle Adobe’un ağına erişim sağladılar. 150 milyon insanın e-mail adresleri, şifreleri ve kredi kartı bilgilerini çalmanın yanı sıra Adobe’un bütün programlarının temelini oluşturan yazılımın kaynak kodlarını çaldılar.
Nasıl sonlandı?
Adobe saldırıdan etkilenen bütün kullanıcılarına kredi kartlarının takibi için ücretsiz bir izleme programı sundu. Etkilenmeyenlere ise şifrelerini değiştirmelerini ve verilen siteden e-mail adreslerinin çalınıp çalınmadığını kontrol etmelerini söyledi.
eBay Vakası
Etkilenen Kişi Sayısı: 145 mİlyon
Ne oldu?
Mayıs 2014 tarihinde hackerlar aynı zamanda eBay’in de sistemiyle uyuşan ve önceden farklı bir yerden çalınmış olan çalışan bilgileri ile sisteme giriş yaptılar. 145 milyon müşterinin kullanıcı adları, şifreleri, e-mail adresleri ve diğer kişisel bilgileri çalındı ancak ödeme bilgilerine bir şey olmadı.
Nasıl sonlandı?
eBay kullanıcıların hepsinden şifrelerini değiştirmelerini istedi ve yeni güvenlik önlemleri ile hesapları güçlendirdi.
Target VAKASI
Etkilenen Kişi Sayısı: 110 mİlyon
Ne oldu?
Ocak 2014 tarihinde hackerlar şirketin güvenliğine girişi olan birinin bilgilerini çaldılar ve bu sayede sisteme giriş yaptılar. 70 milyon e-mail adresi, 40 milyon kredi kartı ve borç numarası çalındı.
Nasıl sonlandı?
Olayın gerçekleşmesinden altı ay sonra şirketin CEO’su Gregg Steinhafel istifaya zorlandı. Bilgileri çalınan müşteriler Target’a 10 milyon dolar değerinde bir tazminat davası açtı.
Home Depot
Etkilenen Kişi Sayısı: 109 milyon
Ne oldu?
Eylül 2014 tarihinde Home Depot’nun açıklamasına göre hackerlar bir satıcının bilgilerini kullanarak sistemin ağına girdiler ve sistemin oto-kontrol sistemine kötü amaçlı yazılım yerleştirdiler. Bu yazılım zaman içinde Amerika ve Kanada’da bulunan kullanıcıların bilgilerini topladı. Toplamda 53 milyon insanın e-mail adresi ve 56 milyon kredi kartı numarası ve borç bilgileri çalındı.
Nasıl sonlandı?
Şirketin, sistemini yazılımdan kurtarması 62 milyon dolara mal oldu.
Anthem vakası
Etkilenen Kişi Sayısı: 88 milyon
Ne oldu?
Şubat 2015 tarihinde ABD’nin en büyük ikinci sosyal güvenlik sigorta sağlayıcısı olan Anthem’e yapılan bu saldırı söylentilere göre aylar öncesinden Çin hükümetinin desteklediği bir grubun United Airlines’ın ve Amerikan Personel Yönetim Bürosu’nun sistemine girmesiyle gerçekleşti. 88 milyon kişinin sosyal güvenlik numaraları, çalışan bilgileri ve diğer kişisel bilgileri çalındı
Nasıl sonlandı?
Anthem etkilenenlere ücretsiz kart takip sistemi sundu.
JPMorgan Chase Vakası
Etkilenen Kişi Sayısı: 83 milyon
Ne oldu?
Temmuz 2014 tarihinde hackerlar, JPMorgan’ın bir çalışanının bilgilerine ulaşarak sisteme giriş yaptılar. Toplamda 2.6 trilyon dolar değerindeki dev finans servisinden isimler, adresler ve telefon numaraları çalındı.
Nasıl sonlandı?
Araştırmalar sonucunda hack saldırısında yer aldığından şüphelenilen dört çalışan gözaltına alındı.
Av. Burcu Erdoğan
LinkedIn: tr.linkedin.com/in/berdogan1
Şirketinizi Kişisel Verileri Koruma Kanunu’na uyumlu hale getirmek ve ücretsiz danışmanlık için tıklayınız.