Perspektifimizden Kişisel Verilerin Korunması Kanunu’na Dair

Bu blog yazımızda; üzerinden beş ay geçmesine rağmen ve hazırlık sürecinin bitmesine sayılı günler kala belki de hala hakkında fazla bilgi sahibi olmadığımız 6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında konuşarak geç olmadan cezai yükümlülüklerimizi öğrenip, korunan haklarımızın farkına vararak; gerekli önlemleri alma yoluna gidebileceğiz.

Günümüzde teknolojik gelişmeler ile birlikte veri kavramının anlamı değişmese bile fazlaca değerlendiğini söyleyebiliriz. Artık veriler satış ve pazarlama gibi konuların çokça ilgi odağı oldu. Bundan on yıl öncesinde hiç tanımadığımız bir insanın bize ismimizle hitap etmesini ne kadar garip hatta tehlikeli karşıladıysak da; günümüzde alışkanlıklarımız, zevklerimiz, ihtiyaçlarımız bu yollarla üçüncü şahıs kişilerin rahatça ulaşabileceği ve bunu iyi veya kötü niyetle rahatça kullanıp bundan çıkar elde edebileceği bir durum haline geldi. Aslında bu bir nevi falcılık mesleğine dönüştü. Biz farkında olmadan birçok özel verimizi onlarla paylaştık ve onlar bize bunları sunduğunda bir o kadar etkilenerek kandırılmaya müsait hale geldik. Bazen de sağlık veya finansal durumlarımızın gizli kalmasını istememiz nedeniyle bu kadar kolay ulaşılabilir olmaktan oldukça rahatsız olduk.

İşte özel hayatımızı güvence altına alarak bizi bu dertlerden kurtaracak ve AIHM’de(Avrupa İnsan Hakları Mahkemesi) Türkiye adına açılan davaları biraz olsun azaltabilecek nitelikte olan bu yasa 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. Gerek hukuki gerek teknolojik alanlarda birçok yeniliğin öncüsü olacak gibi duruyor.

Aslında kanunlar ne kadar hukukla bağlantılı gibi gözükse de bu yasanın işlevselliğini yerine getirmesi açısından belki de en önemli görev IT sektörü çalışanlarına düşecek. Yasanın şirketlerdeki işleyişe uyarlanmasında etkili olacaklardır.

Yasa Neleri/Kimleri Kapsayacak?

• 2015 yılında yürürlüğe giren yasadan farklı olarak kişiden bilgilerini tutmasına dair evet veya hayır mesajı isteyip yanıt alamazsa cevabı olumlu saymak yerine artık birebir açık rıza alma zorunluluğu olacak.
• Yasada özel veya kamu gibi bir ayrım yok. 2015 tarihli İzinli Pazarlama Yasası’nın aksine bu yasayla birlikte belediyeler de mesaj attığı vatandaşlardan açık rıza almak mecburiyetindeler.
• Sadece dijital ortam verileri değil evrak bilgileri de kapsam dâhilinde tutulacak. Yani elinde matbu olarak da belge nüshası bulunduran şirketler/kuruluşlar şahıslardan bunları saklayabilmek adına veya ne kadarını saklayacağına, ne kadar süre elinde tutacağına dair onay almak durumunda olacak. Kurum işe almadığı şahısların veya eski çalışanlarının kişisel verilerini de bir süre sonra imha etmek zorunda olacak.
• En önemlisi de kan, DNA, parmak izi vb. bilgiler bazı özel durumlar dışında kişinin istemediği hallerde tutulamayacak.
• Bazı durumlarda ise kişisel veri birden fazla kişiye ait olabilir. Kanun bu ayrımdan dolayı ait olma tanımından ziyade ilgili terimini kullanmıştır.
• Kişisel verileri işleme onayını aldığında ise gerekli olan süre kadar muhafaza edeceğine, hukuka ve kanunlara uyacağına, bilgileri güncel tutacağına, işlendikleri amaca bağlı ve ölçüler dâhilinde olacağına, açık ve meşru amaçlar için işleyeceğine dair söz verilmiş sayılacaktır.

Yasa kapsamında denetleme görevini görecek kurum ise şimdilik edindiğimiz bilgilere göre önümüzdeki ay resmi görevine başlayacak ve yasa daha detaylı şekilde o zaman ele alınacaktır.

Sektör İçin Yeni Bir Kariyer Fırsatı: Veri Sorumlusu

Yasadaki ifadesi ile anlatacak olursak: ‘Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi‘dir. Şimdilik sahip olduğumuz bilgiye göre; veriye sahip olan her şirket bu personelden istihdam etmeli veya bu görevi yerine getirecek bir kurumla anlaşmalıdır. Veri tabanıyla ilişkili olacağını az çok hesaba katarsak IT sektörüne yeni bir kariyer fırsatı açılabileceğini düşünmek çok da zor değildir. Verilerin mevzuata uygunluğunu denetleyen patrona veya yönetim kuruluna onlardan da yanıt alamazsa esas denetleme kuruluna bildiren kişi veya kurumdur. Veri sorumlusunun, en ufak bir hataya göz yumamayacak ciddi sorumluluklara sahip olması nedeniyle ne kadar karizmatik gibi gözükse de zor ve riskli bir meslek sahip olacağı kesin.

Özetle Bu Süreçte Yapmamız Gerekenler:

• Kurum/kuruluşlardaki yazılım, raporlama kısımları, veri tabanları, web siteleri, iş yönetim mekanizmaları kısacası herhangi bir verinin tutulduğu hemen hemen her yer tekrar kontrol edilmeli,
• Buralardaki birden fazla olan veriler tekilleştirilmeli,
• Ayrıca yedeklemeler için de izin alınmalı,
• Alınacak güvenlik önlemleri sicile işlenmelidir,
• Varsa müşteri hizmetleri onay metinlerini gözden geçirerek gerekli düzenlemeli yapmalı, sadece bu kısımda değil her aşamada gerekirse hukuki destek almalı ve çalışanlara eğitim verilmeli,
• Bundan sonraki kullanıcı bilgileri istenilen formlarda, yasanın istediği bazı bilgilerin yer alacağı şekilde düzenlemeler yapılmalı,
• Müşteriye verinin nasıl, neden ve nerede tutulup ne şekilde saklandığının cevaplarını verebilecek şirket işleyişini yürürlüğe sokulmalı,
• Verisi mevcut olan müşterilerden açık rıza halinde onay alınmaya çalışmalı, onay aldıklarımızın bilgileri güncellemeli ve bu iki senelik süre zarfında onay alamadıklarımızın verilerini silmeli veya anonimleştirmeliyiz.

Anonimleştirmek Nedir?

Eskiden şirkette bilgileri bulunan ancak daha sonra ulaşılamayan veya onay alınamayan şahısların verilerini maskelemektir.

• İlgili kişinin verileri açık rızası alınmadığı takdirde yurtdışına aktarılamayacak. Cloud ortamında yurtdışında veri tabanına sahip şirketlerin ne yapması gerektiği de sanırım henüz netleşmeyen bilgiler arasında. Devlet politik ilişkilerden dolayı veri tabanının bazı ülkelerde tutulmasına yasak koyabilir veya acil durumlar nedeniyle isteme talebinde bulunabilir.
• Son olarak da denetleme kurumunun belirlediği koşullar göz önüne alınarak en kısa zamanda bir Veri Sorumlusu şirket bünyesine katılmalıdır.

Bilinmesi gerekenler:

• Eğer kişisel verilerinizi herkese açık şekilde paylaşırsanız; artık o kişisel veri olmaktan çıkar. Bundan sonra sosyal medyayı daha dikkatli kullanmakta fayda var :)
• Bir sistemde 11 tane Zeynep Onur varsa ve telefon numarası, adres, vatandaşlık numarası vb. bilgiler içermiyorsa bu da bir kişisel veri değildir.
• Fenerbahçe’nin milyon tane taraftarı var desek sorun olmaz ancak “Zeynep Fenerbahçeli” dersek bu kişisel veri haline girer.
• Tek kişisel veri birden fazla kişiye ait olabilir. Bu durumda ilgilendiren herkesin onayı alınmalıdır.
• Adli vakalarda verilerin işe yarama olasılığından dolayı silmek yerine encrypt halde veri tabanında saklamak daha mantıklı bir yaklaşım olabilir.
• Bilişim sistemlerine dair güvenlik ve kişisellik gerektiren herhangi bir bilginin ele geçirilme süreci ve buna yardım edilmesi durumunda cezalar 1 yıldan 3 yıla kadar değişkenlik gösterebiliyor.
• Yaptığının suç teşkil ettiğini bilmediğini, kasıtlı yapmadığını, uyardığını ve sonuç alınamadığını söylemek, başka şirkete geçsem davam biter, nasıl olsa şirket öder, çalışanın cezasını niye ben çekeyim gibi söylemler hiçbir şekilde bahane sayılmayacaktır.

Cezalar

Sadece kişisel verileri kaydetmek eylemi 1 yıldan başlayıp, yok etmeme, ele geçirme gibi sebeplerle 4 yıla kadar çıkabilmekte ve para cezasına dönüşememektedir.

Bunların dışında bazı yükümlülüklerden doğan ihmaller nedeniyle şirket, 5 bin ile 1 milyon TL arasında değişen para cezalarına çarptırılabiliyor.

Veri Aktarımındaki Sorumluluk ve Önlemler

Evet, buraya kadar verinin işlenmesi ve tutulması konusunda kurumların alması gerektiği tedbirlerden söz ettik. Şimdi gelelim bu süreçte güvenliğin nasıl sağlanacağı konusuna. Çünkü bizdeki veriler mevzuata uygun şekilde tutulabilir; ancak dışarıya açılımı ve veriye erişimi kolay bir hale getiriyorsak bu bizim için yine sıkıntılı bir durum oluşturacak, aynı şekilde suç teşkil edecektir. Her durumu düşünmek zorundayız. Bizim sistemimiz önem seviyesi düşük bilgiler içerse bile, kullanıcıların aynı şifreleri ve bilgileri genelde birçok yerde kullanmasından dolayı bu durum ziyaretçinin çaprazlama saldırıya uğramasına bile sebep olabilir.

• Web siteleri açısından bakacak olursak; sitelerin SSL sertifikasına sahip olmaması önemli bir durumu teşkil eder. Ayrıca sertifikanın geçerlilik süresi ve nereden alındığı da önemlidir. Aşağıda verdiğimiz örneklerde Netsparker ile taranan bir web sitesinin SSL zafiyetlerini görüyoruz. Örneklerde de görüleceği gibi uygulamanın HTTPS protokolü ile çalışıyor olması, istemci ile sunucu arasındaki trafiğin her zaman olması gerektiği gibi şifrelendiğinin garantisini vermez.

Hatalı SSL sertifikası kullanımına dair tarama esnasında karşımıza çıkan bir uyarı

• Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu bilginin korunması için çok önemli ve dikkat edilmesi gereken bir noktadır. Dijital sertifikanızın şifreleme standardı 256 bit'den aşağı olmamalıdır. Ayrıca kullanılan sunucu ve panele göre de doğru şekilde implement edilmiş olması gerekir.

Zayıf şifrelemeye karşı bir uyarı

• TLS’in yeni sürümlerini kullanmak da unutulmaması gereken bir nokta, şu sıralar TLS 1.0 ve daha eski versiyonları güvensiz kabul edilmektedir.

SSL ve TLS desteklenmeyen sürümlerini ve çözüm önerilerini belirten ekran görüntüleri

• Mixed content ise atlanmaması gereken diğer önemli güvenlik açığı raporlamalarımızdandır. Bu durum, HTTPS protokolü ile çalışan bir sayfanın içeriklerinden bir kısmının halen HTTP protokolü ile açık metin olarak aktarılmasından kaynaklanmaktadır.