Ddk'dan "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile...

Devlet Denetleme Kurulu'nun (DDK) hazırladığı bilgi güvenliği ve kişisel verilere ilişkin raporda "Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir" değerlendirmesine yer verildi.

DDK'nın "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" raporu yayımlandı. Raporda, tespit ve öneriler de yer aldı.

Bilgi güvenliği ve kişisel verilerin korunması konusunda önlemlerin alınması ve yeterli çabanın gösterilebilmesi için öncelikle bu konuda belirli bir farkındalığın oluşması ve bilinç düzeyinin gelişmesi gerektiğinin altı çizilen raporda, "Konuyla ilgili olarak yapılan inceleme ve araştırmalar ile kurumlar nezdinde gerçekleştirilen denetim çalışmalarında bilgi güvenliği ile kişisel verilerin korunmasının önemi konusundaki farkındalık düzeyinin arzulanan seviyede bulunmadığı görülmüştür. Söz konusu farkındalık eksikliğinin, kurumlarda bilgi güvenliği ve kişisel verilerin korunması konusunda yaşanan pek çok eksikliğe ve yanlış uygulamaya kaynak teşkil ettiği değerlendirilmiştir. Farkındalık eksikliğinin mevzuat ve kurumsal uygulamalara yansıdığı; bunun sonucunda bilgi güvenliği ve kişisel verilerin korunması alanında pek çok eksiklik ve açıklığın ortaya çıktığı; bu tür eksiklik ve açıkların bazen ancak çok ciddi siber saldırılar sonucu ortaya çıkabilecek türden tahribata yol açtığı veya açabildiği anlaşılmıştır" değerlendirmesi yapıldı.

Farkındalık düzeyinin artırılması ihtiyacını ortaya koyan örneklere de yer verilen raporda, şunlar belirtildi:

"Her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır.

Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir."

-En alt kademe çalışanından en üst yöneticiye kadar

DDK'nın raporunda, bilgi güvenliği ve kişisel verilerin korunması konusundaki farkındalık düzeyi ve bu düzeyin yetersizliği konusundaki örneklerin, Türkiye'de öncelikle bu alanda farkındalık oluşturmaya yönelik çaba içine girilmesi gerektiğini ortaya çıkardığının altı çizilerek, "Bu kapsamda, bilgi güvenliği ve kişisel verilerin korunması konusunda farkındalık artırmaya yönelik olarak kurumun en alt kademesindeki çalışanından en üst yöneticisine kadar uzanan geniş bir yelpazede eğitim veya farkındalık oluşturma çalışması yürütülmesi, mevzuat düzenlemelerinde kişisel verilerin güvenliği konusunun gözetilmesi, kurumsal uygulamalardan kaynaklı kötü uygulama örneklerinin tekrarlanmamasına yönelik tedbirlerin alınması gerektiği düşünülmektedir" ifadesi kullanıldı.

Bilgi güvenliği ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli olmadığına dikkat çekilen raporda, bilgi güvenliği kültürünün oluşturulması, ilgililerin bu konudaki bilinç ve bilgi seviyesinin artırılması, idari düzenleme ve örgütlenme yapılarının bilgi güvenliği unsuru da dikkate alınarak şekillendirilmesi, hukuk alt yapısının uygun hale getirilmesi gibi pek çok unsurun birlikte dikkate alınması gerektiği vurgulandı.

-Kurumlara tasarım aşamasında destek verilmeli

Raporda, kamudaki bilgi sistemlerinin bir e-devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşanmakta, gereksiz maliyetlere katlanıldığı dile getirilerek, kamu bilgi sistemi projelerinin yürütülmesinde kurumlara tasarım aşamasında knowhow desteği verilmesi, uygun yönlendirme yapılması ve danışmanlık ihtiyacının karşılanması, şartname yazımı ve teslim veya iş kabul işlemleri, izleme ve değerlendirme, sistemin idamesi gibi alanlarda rehberlik ve gerektiğinde koordinasyon sağlayacak bir yapının en kısa süre içerisinde hayata geçirilmesi gerektiği anlatıldı.

Raporda, bilgi sistem donanımlarının ve yazılımlarının ilgili kurumun envanterinde yer alması, söz konusu bilgi sistemlerinin sahipliğinin ilgili kurumda olması anlamına gelmediğini, bilgi sistemleri üzerindeki gerçek sahipliğin, bu sistemler üzerinde nihai belirleyicilik ve kontrol yetkisine bağlı olduğuna, söz konusu bilgi sistemleri üzerindeki en üst kontrol yetkilerinin bilişim hizmeti alınan özel firma yetkililerinde bulunması durumunda ilgili kurumun, bilgi sistemlerinin sahipliği konumundan, kullanıcısı konumuna düşebildiğine işaret edildi.

Raporda, "Denetimlerde Türkiye'de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür. Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması ve benzeri konularda adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlenmiştir" değerlendirmesine de yer verildi.

-İşlerin yürütülmesi ile güvenlik arasındaki denge

Raporda, kamu kurum ve kuruluşlarının sahip olduğu temel bilgi sistemleri ve bu bilgi sistemleri içinde bulunan kişisel ve kritik veri türlerinin neler olduğuna ilişkin herhangi bir envanter çalışmasının, gerek kurum bazında gerekse Türkiye genelinde yapılmamış olduğu ifade edilerek, kamu kesimi ile bünyesinde önemli hacimde kişisel veri barındıran ya da kritik alt yapı yatırımları ile ilgili olan özel kesim ve sivil toplum kuruluşlarının sahip olduğu bilgi sistemlerinin, bu sistemlerde uygulanan güvenlik önlemlerinin yeterliliği, sistemlerin sahip olduğu kişisel ve kritik veri varlıklarının niteliği gibi konuları kapsayan envanter çalışmasının yürütülmesi, sahip olunan veri varlığının kritik, kişisel, gizli veya hassas olmasına göre alınması gereken güvenlik önlemlerinin belirlenmesine yönelik çalışmalar yapılması gerektiği değerlendirmesinde bulunuldu.

Denetimlerde genel olarak; uygulama, yazılım ve sistemlerin oluşturulması sırasında öncelikle günlük işlerin yürümesine odaklanıldığı, işlerin yürütülmesi ile güvenlik arasındaki denge noktasından uzak olunduğu ve kısa vadede sistemin işleyişi ve çalışır halde bulunmasının daha ön planda tutulduğunun anlaşıldığı aktarıldı.

DDK raporunda, kamu kurumlarında bilgi güvenliği yönetim sistemi sertifikası alma yönünde ciddi gayretlerin bulunduğu, sertifika sahibi olan kamu kurumlarının bu durumu her türlü platformda belirttiklerinin görüldüğüne işaret edilerek, "Denetimlerde, sertifikanın kapsamının genellikle kurumun küçük bir birimini kapsadığı, buna rağmen kurum üst yönetiminde tüm kurumu kapsayan güvenlik sertifikasına sahip oldukları yönünde bir algının hakim olduğu, bu durumun kamuoyuna da aynı şekilde yansıtıldığı görülmüştür" denildi.

Kişisel verilerin korunmasına ilişkin olarak Türkiye'de son dönemde bazı temel düzenlemeler yapıldığı anımsatılan raporda, kişisel verilerin korunmasına yönelik çerçeve bir kanun bulunmadığı belirtildi.

Pek çok kanunda kişisel verilerin toplanması konusunda kurumların yetkili olduğunu belirten hükümlerin bulunduğu, bu yetki çerçevesinde kişisel verilerin hangi ilkeler kapsamında toplanacağı, ne şekilde korunacağı, kimlerle ve ne şekilde paylaşılabileceği, nasıl silineceği, kişilerin Anayasa ile getirilen haklarını kullanabilmeleri için kurumların ne tür önlemler alması gerektiği gibi pek çok hususa genellikle yer verilmediği bildirildi.

Raporda, bu hususlardan bazılarına yer veren düzenlemelerin ise yeterli düzeyde olmadığına vurgu yapılarak, kişisel verilerin korunması konusunda çerçeve kanuna ve diğer kanunlarda kişisel verilerin güvenliğine ilişkin özel düzenlemeler yapılmasına ihtiyaç bulunduğu belirtildi.

-Özel sektörün barındırdığı kişisel veriler

Raporda, bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemlerinin büyük hacimde kişisel veriyi bünyelerinde barındırdıklarına dikkat çekilerek, şunlara yer verildi:

"Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı; buna bağlı olarak kişisel veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve yaptırıma bağlanamadığı, bu nedenlerle özel kesim açısından kişisel verilerin korunmasındaki boşluk ve risklerin önemli boyutlara ulaştığı ve acil önlem alınması gerektiği değerlendirilmeli."

Kişisel verilerin korunması hakkındaki kanun çalışmalarına ilişkin tespit ve öneriler de raporda yer aldı. Kişisel Verilerin Korunması Kanunu Tasarısı Taslağında getirilmesi öngörülen istisnalardan bazılarının veri işlemeye ilişkin genel ilkeler dahil Kanunun hiçbir hükmünün uygulanmayacağı alanlar da ortaya çıkaracağı ifade edilerek, "Bu alana ilişkin bazı uluslararası belgeler ve ülke uygulama örnekleri de göz önünde bulundurulduğunda, demokratik toplumun gerekleri dikkate alınarak ulusal güvenlik, ulusal savunma ve kamu düzeni gibi alanlarda istisnaların getirilebileceği, ancak bu istisnaların kapsam ve sınırlarının belirli ve denetlenebilir olması gerektiği düşünülmektedir. Özellikle veri işlemeye ilişkin genel ilkelere her türlü veri işleme faaliyetinde uyulmasının sağlanması uygun olacaktır" değerlendirmesine yer verildi.

Raporda, kanun taslağında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ilkesine yer verildiği, ancak "açık rıza"nın tanımı yapılmadığı gibi hangi unsurları içerdiğinin de belirtilmediğine işaret edildi.

Raporda, "Bu haliyle, kişisel verilerin korunması hakkı açısından en temel ilkelerden olan kişinin açık rızasının bulunması ilkesinin uygulanmasında sorunlar yaşanması muhtemeldir. Bu nedenle, uluslararası belge örneklerinde de açıkça görüldüğü üzere, açık rızanın kişinin özgürce, konuyla ilgili yeterli bilgiye sahip olarak, tereddüde mahal bırakmayacak açıklıkta ve sadece işlemin yapılmasına yetecek ve işlemle sınırlı olarak verdiği onay beyanı olarak tanımlanması gerektiği düşünülmektedir" ifadesi kullanıldı.

"Veri koruma otoriteleri"nin kişisel verilerin korunması açısından güvence sağlayan en önemli unsurlardan olduğu aktarılan raporda, veri koruma kanunu bulunan 99 ülkeden 85'inde veri koruma otoritesi oluşturulduğu ve uluslararası düzenlemelerde bunların "bağımsız, tarafsız ve teknik kapasite açısından yetkin ve yeterli yapıda" oluşturulmalarına vurgu yapıldığı kaydedildi.

Taslakta, Adalet Bakanlığına bağlı bir başkan, daire başkanları ve yeteri kadar adalet uzmanı ve uzman yardımcısından oluşan "Kişisel Verileri Koruma Kurumu" oluşturulması öngörüldüğü anımsatılan raporda, "Söz konusu yapının uluslararası standartları karşılamaktan uzak ve mevcut haliyle veri koruma otoritesi fonksiyonunu yerine getirip getiremeyeceği hususunun tartışılabilir nitelikte olduğu değerlendirilmektedir" ifadesine yer verildi.

Raporda, aynı kanun taslağında sınırlı sayıda ihlal türü sayılarak 100 TL ile 1 milyon TL arasında değişen idari para cezası verilebilmesinin öngörüldüğü hatırlatılarak, "Söz konusu idari para cezalarının, ihlalin türü, etki alanı ve süresi, ihlalin ihmal sonucu ortaya çıkması veya kasten gerçekleşmesi, ilgilinin sorumluluk derecesi ve ihlal geçmişi, alınmış teknik ve kurumsal tedbir bulunup bulunmadığı ve düzeyi, denetleyici otorite ile işbirliği düzeyi gibi hususları da dikkate alacak şekilde düzenlenmesinin cezaların daha etkili, orantılı ve caydırıcı olmasına katkı sağlayacağı değerlendirilmektedir" denildi.

- Ankara