Ddk'dan "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile...

Devlet Denetleme Kurulu'nun (DDK) hazırladığı bilgi güvenliği ve kişisel verilere ilişkin raporda "Bilgi sistemlerinin kurumların iş süreçlerinin ana unsuru haline geldiği günümüzde ise organizasyonel boyut büyük önem kazanmıştır. Denetim çalışmalarında, kurumların bilgi güvenliğine yönelik olarak organizasyon yapılarında yeterli değişikliğe gitmedikleri görülmüştür" ifadesine yer verildi.

DDK'nın "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" raporu yayımlandı.

Raporda, Kişisel Verilerin Korunması Kanunu Tasarısı Taslağı'na ilişkin olarak, taslak metindeki bazı tanım ve kavramların belirsiz olduğu, bu kavramların gözden geçirilmesi ve yeniden düzenlenmesi önerildi.

Raporda, kişinin sosyal yardım alıp almadığına veya muhtaçlık durumuna ilişkin verileri ile mahkumiyet bilgilerinin de hassas veri olarak nitelendirilmesi ile kimlik numarasının diğer pek çok veri ile ilişkiyi ortaya koyma açısından anahtar rol üstlenmesi nedeniyle bu verinin işlenme usul ve esasları bakımından diğer kişisel verilerden farklı olarak değerlendirilmesine yönelik belirleme yapılması tavsiye edildi.

Sivil toplum kuruluşlarına Kişisel Verileri Koruma Kurumuna şikayet hakkı verilmesi de önerilen raporda, uluslararası düzenlemeler ve Avrupa Konseyi tavsiyeleri dikkate alınarak yapılacak sektörel düzenlemelerin belli bir süre içinde yürürlüğe konulmasına ilişkin bir geçiş hükmünün tasarı taslağında yer almasının faydalı olacağı belirtildi.

DDK raporunda, ulusal bilgi güvenliğini sağlama konusunda dünyada uygulanan kurumsal yapılanma modelleri ve Türkiye'deki mevcut uygulamalar ve yürütülen çalışmalar da dikkate alınarak, mevcut yapıda kurumlar arasındaki yetki çakışması veya görev ve yetki açısından belirsizlikler gibi eksikliklerin giderilmesi ve ulusal bilgi güvenliğini sağlama amacına yönelik strateji, politika ve standartların belirlenmesi ve belli zaman aralıklarıyla güncellenmesi önerildi.

Ulusal bilgi güvenliği risklerinin zamanında ve hızlı şekilde tespit ve analiz edilmesine ilişkin mekanizmanın oluşturulması tavsiyesinda bulunulan raporda, kurumlar arasında koordinasyon ve etkin işbirliği imkanlarının artırılmasına, uzman personelin önemi dikkate alınarak, yeterli ve yetkin bilişim personeli yetiştirilmesine yönelik önlemlerin geliştirilmesine işaret edildi.

Raporda, bilgi güvenliğinin uzun süre sadece teknolojik boyutu ile dikkate alındığına vurgu yapılarak, "Bilgi sistemlerinin, kurumların iş süreçlerinin ana unsuru haline geldiği günümüzde ise organizasyonel boyut, büyük önem kazanmıştır. Denetim çalışmalarında, kurumların bilgi güvenliğine yönelik olarak organizasyon yapılarında yeterli değişikliğe gitmedikleri görülmüştür" değerlendirmesinde bulunuldu.

Kurumların sahip oldukları bilgi sistemlerinin büyüklüğü, önemi ve bu sistemlerde tutulan verilerin niteliği dikkate alınarak, gerekli güvenlik önlemlerinin alınması gerektiği de belirtildi.

Kişisel veri paylaşımına ilişkin olarak diğer kamu kurumları ve özel kesim ile veri paylaşımında, hukuki dayanağın bulunup bulunmadığı, verilerin talep eden kurum için gerekliliği, bu verilerin kurumun hizmet gerekleri ile orantılı düzeyde olup olmadığı gibi konularda yeterli analizin yapılmadığı ve etkin karar mekanizmalarının oluşturulmadığının belirlendiği bildirildi.

Raporda, kişisel verilerin paylaşımında öncelikle amacının net olarak belirlenmesi, paylaşmanın ya da paylaşmamanın kişiler, kurumlar ve toplum için oluşturduğu potansiyel yararların ve maliyetlerin tespit edilmesi, gereklilik durumu, hassas kişisel veri içerip içermediği, yasal olarak bu verileri almaya yetkili olup olmadıkları, bilgi ve uygun yetki düzeyine sahip bir kurul tarafından gerçekleştirilmesi gerektiğine dikkat çekildi.

DDK'nın raporunda bazı kamu kurumlarının sahip olduğu verileri çevrimiçi olarak kamu ve özel kesim kurum ve kuruluşları ile paylaştıklarını ancak bu kurum ve kuruluşların verilerin güvenliğini sağlama konusundaki yeterliliğinin araştırılmadığı, bu hususun veri paylaşım protokollerine de ya hiç ya da yeterince yansıtılmadığı, paylaşılan verileri alan kurumdaki güvenlik düzeyi ile ilgili olarak, genellikle herhangi bir çalışma ve araştırmanın yapılmadığı tespit edildi.

Güvenlik önlemlerine ilişkin olarak veri paylaşımına ilişkin sözleşmelerde yer alacak hususlara da değinilen raporda, çevrimiçi olarak yapılan sorgulara ilişkin kayıtların tutulmasına ilişkin tespit edilen eksikliklere de yer verildi.

Raporda, denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıklarına dikkat çekilerek, şu değerlendirmelerde bulunuldu:

"Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkanı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkanı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği ve kullanılabileceği, çoğaltılıp çoğaltılamayacağı, söz konusu bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi hiçbir güvenlik hususunun belirlenmediği tespit edilmiştir."

Raporda, kurumlar tarafından gerek çevrimiçi gerekse çevrimdışı olarak hem kamu hem de özel kesim ile veri paylaşımı yapılmasına rağmen, pek çok kurumda kişisel verilerin paylaşımında uyulacak usul ve esasları belirleyen herhangi bir düzenlemenin bulunmadığı, buna bağlı olarak veri paylaşımlarında büyük oranda kişisel takdir ve değerlendirmelerin etkili olduğu, standartları önceden belirlenmiş güvenlik önlemleri alınmaksızın veri paylaşımları yapıldığı dile getirildi.

Raporda, "Bu nedenle Anayasa'nın 20. Maddesi hükmü ve Avrupa Konseyi Bakanlar Komitesince yayımlanan Kamu Makamlarının Elinde Bulunan Kişisel Verilerin Üçüncü Kişilere İletilmesine İlişkin Tavsiye Kararı da dikkate alınarak; kurumların sahip olduğu kişisel verileri paylaşma yetki, usul ve esaslarına ilişkin temel çerçevenin kanun düzeyinde belirlenmesi, kanuni düzeyde belirlenen yetki, ilke, usul ve esaslara uygun olmak şartıyla, veri paylaşımlarının gerekli güvenlik önlemleri de alınmak suretiyle yerine getirilmesini sağlamaya yönelik ikincil düzenlemelerin yapılması, veri paylaşımına ilişkin olarak kurumlara ve paylaşılan kişisel verilerin niteliğine göre standart sözleşme formatlarının geliştirilmesi gerektiği değerlendirilmektedir" ifadelerine yer verildi.

- Ankara