
Cumhurbaşkanlığı DDK, kişisel verilerin korunmasıyla ilgili yasa taslağında değişiklik ve ek önerilerinde bulunurken "sivil toplum kuruluşlarına Kişisel Verileri Koruma Kurumuna şikayet hakkı verilmesini" istedi. DDK, paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizmanın öngörülmediğini belirttiği raporunda, "Basına ve adliyeye yansımış pek çok olaydan; kişilerin kimlik bilgileri ve kimlik fotokopileri kullanılmak suretiyle kişiler adına yüzlerce telefon hattı açıldığı, sahte kredi kartı çıkartıldığı, şirket kurulduğu, kişilerin dernek, kuruluş ve siyasi partilere üye olarak kaydedildiği, konusu suç teşkil eden adli soruşturmalara dahil edildiği ve çeşitli dolandırıcılık faaliyetlerinin icra edilebildiği bilinmesine rağmen kurum ve kuruluşların pek çok işlemde kişilerin kimlik fotokopisini alma uygulamaları devam etmektedir" saptaması yaptı.
-İSTENEN BİLGİYİ "İŞLEMLE ORANTILIYSA" VERİN-
Cumhurbaşkanlığı DDK, veri talebinde bulunan kurum veya kuruluşların yasal olarak bu verileri almaya yetkili olup olmadıkları, hukuki dayanakları ve gerekçeleri, talep edilen verinin türü, şekli ve miktarının yürütülen iş ve işlemler ile orantılılığının gözönünde bulundurulduktan sonra teslimat yapılmasını istedi.
Haziran 2013 itibariyle 68 milyon 25 bin 878 mobil abonenin; "9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu" anlamına geldiğini dile getiren DDK raporunda şu saptama ve değerlendirmeler de yer aldı:
"-Kimlik Paylaşımı Sistemi Yönetmeliği'nin 11. maddesinin 3. fıkrasında; "Kimlik
Paylaşımı Sistemi çerçevesinde kimlik bilgisine erişebilen kamu kurum ve kuruluşlarınca ve 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankalarca kişilerden ayrıca nüfus cüzdanı örneği veya kimlik bilgilerine ilişkin başkaca bir belge istenemez.' Düzenlemesine ve Ocak 2013 itibariyle Kimlik Paylaşım Sistemine online erişebilen kamu kurumu ve özel kuruluş sayısının 2 bin 478 olmasına rağmen, pek çok işlemde kişilerin kimlik fotokopisinin alınması uygulamasına devam edilmektedir.
-Seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamıştır.
-Adli makamlara da intikal etmiş olan bazı olaylarda 18 yaş ve üzerindeki kişilerin T.C. kimlik
numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imkan veren yazılımların üretildiği ve satıldığı bilgisi, bu tur uygulamaların doğurabileceği sonuçlar acısından dikkat çekicidir."
-1 CD = 14 MİLYON KİŞİNİN BİLGİSİ-
Kurumlardaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmadığını, firma personelinin güvenlik araştırmasından geçirilmediğini kaydeden DDK bir CD'de 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edildiği örneğini verdi.
-"SİVİL TOPLUM KURULUŞLARINA ŞİKÂYET HAKKI TANINSIN"-
Kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşandığını, gereksiz maliyetlere katlanıldığını kaydeden DDK Kişisel Verilerin Korunması
Kanunu Tasarısı Taslağı'nda değişiklik ve ek önerilerinde bulundu. DDK, Toplumsal değerler acısından değerlendirildiğinde; kişinin sosyal yardım alıp almadığına veya muhtaclık durumuna ilişkin verileri ile mahkumiyet bilgilerinin de hassas veri olarak nitelendirilmesini, sivil toplum kuruluşlarına Kişisel Verileri Koruma Kurumuna şikâyet hakkı verilmesini, kimlik numarasının diğer pek çok veri ile ilişkiyi ortaya koyma acısından anahtar rol üstlenmesi nedeniyle bu verinin işlenme usul ve esasları bakımından diğer kişisel verilerden farklı olarak değerlendirilmesini önerdi.
Türkiye'de kişisel verilerin korunması ile ilgili herhangi bir otorite veya bu konuyla doğrudan görevlendirilmiş bir birim bulunmadığını, bunun üzerinde çalışıldığını dağınık yapının tam olarak giderilemediğini belirten DDK, raporuna şöyle devam etti:
"-Bazı kamu kurumlarının sahip olduğu verileri çevrimiçi (online) olarak kamu ve özel kesim kurum ve kuruluşları ile paylaştıkları görülmüştür. Ancak veri paylaşım talebinde bulunan kurum ve kuruluşların kişisel veriler dâhil çevrimiçi olarak ilgili kurumdan alacağı verilerin güvenliğini sağlama konusundaki yeterliliğinin araştırılmadığı, bu hususun veri paylaşım protokollerine de ya hiç, ya da yeterince yansıtılmadığı, paylaşılan verileri alan kurumdaki güvenlik düzeyi ile ilgili olarak, genellikle herhangi bir çalışma ve araştırmanın yapılmadığı tespit edilmiştir.
-TAŞINIR BELLEKTE CEPTEN DÜŞERSE-
-Denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür. Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkânı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkânı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik onlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik onlemleri alınarak muhafaza edileceği ve kullanılabileceği, çoğaltılıp
çoğaltılamayacağı, söz konusu bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi hiçbir güvenlik hususunun belirlenmediği tespit edilmiştir.
-KARGOYLA KİŞİSEL VERİ PAYLAŞILMASIN-
-Kişisel veri paylaşımlarında mümkün olduğunca verinin elden yetkili kişilere imza karşılığı teslimi yöntemi tercih edilmelidir. E-posta, posta, kargo ve benzeri vasıtaların kullanımından mümkün olduğunca kaçınılmalıdır.
-Büyük çaplı doğal felaket durumları için kuruma ait ve fiziksel olarak ayrı bir yerde felaket kurtarma merkezi kurulmalıdır.
-Denetimlerde, bilgi işlem personeli ve kurum çalışanlarında güvenlik konusundaki farkındalığın çok düşük olduğu görülmüştür.
-Özel sektör kurum ve kuruluşları üzerinde düzenleme ve denetim yetkisi bulunan kurumların, ilgili sektörlerde gerçekleştirecekleri denetimlerin kapsamını, Bankacılık Düzenleme ve Denetleme Kurumu ile Bilgi Teknolojileri ve İletişim Kurumu örneklerinde olduğu gibi, bilgi sistemlerinin güvenliği ve kişisel verilerin korunması alanını da
kapsayacak şekilde belirlemelerinin, özel kesimde kişisel veri ihlallerinin önlenmesi acısından
önemli bir boşluğu dolduracağı değerlendirilmektedir."
Cumhurbaşkanlığı DDK yazılımda dışa bağımlılığın oluşturduğu güvenlik riskleri gözönünde bulundurulmak suretiyle, Turkiye'de bilgi sistemleri yazılımlarında yerlilik oranını artırmaya yönelik Ar-Ge yapılmasını da istedi.
Son Dakika › Güncel › Ddk Raporunda 'Asma Kilit' Şoku (2/son): Sivil Toplum Kuruluşlarına Şikâyet Hakkı Verilsin! - Son Dakika
Masaüstü bildirimlerimize izin vererek en son haberleri, analizleri ve derinlemesine içerikleri hemen öğrenin.