e-KEŞİF: METADATA (YARDIMCI VERİ) KEŞFİ?

Amerika Birleşik Devletleri Federal Medeni Yargılama Kuralları (FRCP), keşif materyalinin bir parçası olarak Metadata (yardımcı veri) hazırlamanın gerekli olup olmadığı konusunda açık bir hüküm ihtiva etmemektedir. Yardımcı veri informel olarak “veri hakkındaki veri” olarak tanımlanmaktadır. Bir diğer tanımlamaya göre ise; veri nesneleri hakkında bilgi veren veriler olarak ifade edilmektedir[1].
Amerikan mahkemeleri ise, keşif prosedüründe yardımcı veri hazırlama konusuna çok çeşitli davalarda değinmektedirler. Bu kararlar incelendiğinde genel olarak mahkemelerin, yardımcı verilerin keşif talebi üzerine ancak gerekli olduğu ve dava ile ilintili oldukları takdirde hazırlanması gerektiği konusunda görüş birliği halinde oldukları sonucuna varılacaktır. Aşağıdaki paragraflarda bu konudaki çok yeni tarihli bir karar incelenmiştir.
[1] Sankur, Bülent; Bilişim Sözlüğü, İstanbul 2002.



Aguilar v. Immigration & Customs Enforcement Div. of U.S. Dep’t of Homeland Sec., 2008 WL 5062700 (S.D.N.Y. Nov. 21, 2008)
Bu sınıf davasında, yardımcı veri hazırlamaya ilişkin olarak bir keşif uyuşmazlığı söz konusu olmuştur. Mahkeme, davacıların yaptığı e-mail, word ve excel dokümanları ve veritabanları da dahil olmak üzere elektronik olarak saklanan bilgilerin (ESI) farklı çeşitleri için yardımcı veri hazırlanması şeklindeki talebe kısmen katılmıştır.
18 Ocak 2008 tarihinde davalıların davanın reddine ilişkin olarak verdiği dilekçeye rağmen taraflar, bir ölçüde keşif yapılması konusunda anlaşmışlardır. Davalılar, çalışanlarından ilgili materyalleri toplamaya başlamıştır. Davacılar doküman hazırlamaya ilişkin ilk dilekçelerini 15 Şubat 2008 tarihinde tebliğ etmişler, ancak yardımcı veri hazırlama şeklinden bahsetmemişlerdir. Konu ilk olarak davacılar tarafından 18 Mart 2008’de sadece söz arasında gündeme getirilmiştir.
Bu tarihte davalı taraf belge toplama vazifelerini tamamlamıştır. 22 Mart 2008 tarihinde davacılar e-maillerin ve diğer elektronik olarak saklanan bilgileirn (ESI) “TIFF” formatında, yardımcı veri alanlarını da içerecek şekilde ilişkin kütüklerle birlikte hazırlanmasını, Excel hesap çizelgelerinin ve metinlerin ve veri tabanlarının ise yerel dosya yapısı şeklinde hazırlanmasını talep etmişlerdir. Taraflar 1 Temmuz 2008 tarihinde veri tabanının hazırlama formatını tartışmak üzere buluşmuşlardır.
14 Temmuz 2008 tarihinde davalılar, elektronik olarak saklanan bilgilerin davacıların talep ettikleri formda hazırlanmasına, ilinti ve külfet gerekçeleriyle itiraz etmişlerdir. Davalılar ayrıca, davacıların dava ile ile ilintisini ortaya koymaları kaydıyla, belirli bir doküman için yardımcı veri hazırlayabileceklerini belirtmişlerdir. Çok sayıdaki teşebbüse rağmen taraflar anlaşmaya varamamışlardır. Bu nedenle, davacıların taleplerini değerlendirme işi mahkemeye kalmıştır.
Mahkeme ilk olarak çok genel bir başlıkta metada'nın ne olduğuna ve genel olarak davadaki kullanımına değinmiştir. Kararda mahkeme yardımcı verinin üç çeşidini tanımlamıştır: Substantive metadata (bağımsız yardımcı veri), system metadata (sistem yardımcı verisi) ve embedded metadata (gömülü veya tümleşik yardımcı veri). Bağımsız yardımcı veri; doküman veya dosyayı oluşturmak için kullanılan uygulama yazılımının bir fonksiyonu olarak yaratılır ve daha önce yapılan edit’ler veya editoryal yorumlar gibi dokümanda yapılan modifikasyonları yansıtır.
Sistem yardımcı verisi ise; kullanıcı veya işletmenin bilgi yönetim sistemi tarafından oluşturulan bilgileri yansıtır ve dokümanın yazarına, oluşturulma tarihi ve zamanına ve dokümanda yapılan değişiklik zamanına ilişkin bilgileri ihtiva eder. Tümleşik yardımcı veri ise; yerel bir dosyaya doğrudan veya dolaylı olarak kullanıcı tarafından girilen text numaraları, içerik, veri ve diğer bilgilerdir. Örnek olarak; hesap çizelgesi formülleri, hyperlinkler ve veritabanı bilgileri verilebilir.
Yardımcı verinin “keşfedilebilirliği” başlığına dönerek mahkeme, ilk olarak yardımcı verinin FRCP tarafından ne şekilde ele alındığını incelemiştir. İlk olarak mahkeme, FRCP içinde yardımcı veriye doğrudan atıf yapan bir hüküm mevcut olmadığını, ancak bunun keşfe ilişkin genel kurallara tabi olduğunu belirtmiştir. Yardımcı veri bu nedenle, eğer dava ile veya herhangi bir tarafın savunması ile ilgili ise ve ayrıcalıklı değilse keşfe konu teşkil edebilecektir. Mahkeme bu noktada, yardımcı veri keşfinin bir mahkemenin keşfe konu malzemenin ispat değeri ile belge hazırlamanın potansiyel yüklerini tartmasını gerektiren FRCP Kural 26(b)(2)(C)’deki dengeleme testinin konusu olabileceğine işaret etmiştir.
Kural 34’e dönerek mahkeme, elektronik olarak saklanan bilgilerin (ESI) hazırlanması için bu Kural’da yer alan isterlerin önemine ve yardımcı veri bakımından söz konusu olabilecek çıktılarına atıf yapmıştır. Mahkeme, danışma komitesinin notlarında yer alan, elektronik olarak araştırılabilir bir formda saklanan ESI’lerin, “bu özelliklerini kaldıracak veya önemli ölçüde azaltacak bir formda hazırlanamayacakları” şeklindeki talimatın altını çizmiştir.
Daha sonra mahkeme Sedona İlkelerine ve yardımcı verilere ilişkin tavsiyelerine değinmiştir. Mahkemeye göre; Sedona İlkeleri, (Kural 34’te değinildiği gibi) bir belge hazırlama şekli seçildiğinde, yardımcı verinin ispat değeri ve yine yardımcı verinin, elektronik bilginin fonksiyonel faydasını ne ölçüye kadar geliştireceği şeklindeki iki primer mülahazanın gözönünde bulundurulması gerektiğine işaret etmektedir. Sedona İlkeleri ayrıca farklı hazırlama opsiyonlarından bahsetmekte ve yerel dosya yapısı talep edilse dahi, ESI’nin PDF veya araştırılabilir metin ve seçilmiş yardımcı verileri içeren bir load file ile birlikte TIFF formatında hazırlanmasının yeterli olacağını belirtmektedir.
Son olarak içtihat hukukuna değinen mahkeme, bu konudaki birçok mahkeme kararını örnek göstermiş ve bir tarafı yardımcı veri hazırlamaya zorlamak için yapılan taleplere ilişkin olarak içtihat hukukunda açık örneklerin mevcut olduğunu vurgulamıştır. Mahkemeler genel olarak, ilk doküman talebinde istenmişse ve belge hazırlayan tarafın henüz herhangi bir formda belge hazırlamadığı durumlarda yardımcı verilerin hazırlanmasına karar vermektedir.
Bu ilkelerin ışığında, e-maillerle işe başlayarak, davacıyı bu yöndeki talebinde gecikmiş kabul eden ve davadaki e-maillerin küçük hacimlerini dikkate alan mahkeme; davalıların hazırladıkları tüm dosyalarda yardımcı veri araştırması yapmalarının gerekli olmadığına karar vermiştir. Davalı taraf daha önce, topladıkları e-mailler için yardımcı verileri hazırlayabilecekleri konusunda istekli olmalarına rağmen, mahkeme farklı şekilde hareket etmelerine karar vermiştir.
Yedekleme kasetlerindeki e-mail yardımcı verilerine ilişkin olarak mahkeme, Kural 26(b)(2)(B)’ye istinad etmiş ve tarafları masraf veya külfet yüzünden “makul bir şekilde erişilemeyecek” durumdaki bilgilerin hazırlanmasından kaçınmaları konusunda uyarmıştır. Mahkeme, bu tür bir keşfin masraflarının “tartışmasız çok yüksek” olacağını, ancak olası faydasının az olacağını belirtmiş ve belge hazırlama kararından vazgeçmiştir.

Daha sonra mahkeme davacıların tüm Word ve PowerPoint dokümanları için söz konusu olacak sistem yardımcı verilerine değinmiştir. Davacılar verinin hem dava ile ilintili olduğunu hem de dokümanların efektif araştırılması için gerekli olduğunu iddia etmektedir. Mahkeme “efektiflik” iddiasını, dokmanların davadaki küçük hacimlerini dikkate alarak reddetmiştir. İlinti iddiası bakımından ise mahkeme; davacının belge hazırlamaya ilişkin tüm masrafları taşıması gerektiğine ilişkin talebi kabul etmiştir.
Excel hesap çizelgeleri bakımından ise mahkeme, özellikle karmaşık bir hesap çizelgesindeki yardımcı verilerin potansiyel yararlılığını kabul etmiş, ancak; davadaki hesap çizelgelerinin bu derecede olmadığını belirtmiştir. Mahkeme, davacıların hesap çizelgelerinin hileli bir şekilde değiştirildiğine ilişkin olarak herhangi bir kanıt gösteremediğini ve araştırılması istenilen yardımcı verilerin dava ile ilintisine gölge düşürdüklerini belirtmiştir. Yine de davalının, hesap çizelgelerini yerel yapısında hazırlama şeklindeki isteklerini dikkate alarak, bunların hazırlanmasına karar vermiştir.
Davalının hiyerarşik veritabanında yer alan anlamlı bilgiler için davacının verdiği dilekçeye ilişkin olarak ise mahkeme, davacının talebini kısmen kabul kısmen reddetmiştir. Mahkeme, davalının veritabanlarından birine erişim talebini reddetmiş, ancak davalının, davacıya “konu kayıtlarını” gösteren diğer iki veritabanının canlı bir demonstrasyonunu 12 Aralık 2008 tarihinde yapmasına ve davacının bilgilerde ne zaman ve ne tür değişiklikler yapıldığını belirlemesine yarayacak durum raporu (incident report) vermesine karar vermiştir.

E-İMZA ve E-KİMLİK TESPİTİ HAKKINDAKİ AVRUPA EYLEM PLANI

28 Kasım 2008 tarihinde Avrupa Komisyonu “Sınır ötesi kamu hizmetlerinin Avrupa Tek Pazarı’nda sunulmasını kolaylaştırmak için e-İmza ve e-Kimlik Tespiti Hakkında Bir Eylem Planı” kabul etmiştir. Kamu kurumları, kamu hizmetlerini ve aynı şekilde kamu ihale prosedürlerini gittikçe daha çok elektronik ortam ve araçlar yardımıyla sunmaktadırlar. Ancak; uygulamalar şimdiye kadar genellikle ulusal ihtiyaçlar ve olanaklara yoğunlaşmıştır. Bu yaklaşım ise; söz konusu kamu hizmetlerine diğer üye devlet vatandaşlarının veya teşebbüslerinin erişimini sınırladığı için, sınır ötesi pazarın önünde bir “e-bariyer” oluşturmakta ve Tek Pazarın iyi bir şekilde işlemesine engel olmaktadır.



Eylem Planı kamu hizmetlerinin online kullanımını AB çapında yaygınlaştırmak için çözüm aramakta ve kapsamlı bir yaklaşım önermektedir. Eylem Planı Üye Devletlere, bilgi toplumunda kamu hizmetlerinin sınır ötesi gerçekleştirilmesini kolaylaştırmak amacıyla, karşılıklı olarak tanınan ve karşılıklı işler elektronik imza ve kimlik tespiti çözümlerinin uygulanmasında yardımcı olmayı hedeflemektedir. Eylem Planı esas olarak e-devlet uygulamalarına odaklanmışsa da, önerilen eylemler B2B (işletme-işletme) ve B2C (işletme-tüketici) işlemleri bakımından da uygulanabilecektir.
Eylem Planına ilişkin detaylı bilgi
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0798:FIN:EN:PDF
adresinde yer almaktadır.

Federal Trade Commission (FTC): Mahremiyet Davasında Uzlaşmak İçin Sony’nin 1 Milyon USD Ödemesi Gerekecek!

Sony BMG Music Entertainment’in, 13 yaşın altında olan binlerce çocuğun kişisel bilgilerini ebeveynlerinin rızası olmaksızın hukuka aykırı bir şekilde topladığı ve ifşa ettiği gerekçesiyle FTC tarafından uzlaşmak için 1 milyon USD ödemesine karar verildi.
FTC bu rakamın, Çocukların Online Mahremiyetlerinin Korunması Yasasının ihlal edildiği iddiasıyla ödenecek olan en yüksek tazminat olduğunu belirtmiştir. Sosyal paylaşım özelliği taşıyan siteler, diğer herhangi bir web sayfası gibi çocuğun kişisel bilgilerini topamadan önce ebeveyn’lerinin rızalarını almak zorundadır.



FTC’den yapılan açıklamaya göre; sanatçıları ve markaları için 1000’den fazla müzik sitesi işleten Sony Music, 196 web sitesinde en az 30.000 reşit olmayan çocuğun, anne ve babasının rızasını almadan kişisel bilgilerini bile bile toplamıştır.
FTC, Sony Music’den kuralları ihlal eden nitelikteki bu toplanan ve saklanan kişisel verilerinin tümünün silinmesini istemiştir. Gelecek 5 yıl için de, Sony’nin Çocukların Online Mahremiyetlerinin Korunması Yasası uyarınca, çocukların kişisel bilgilerini toplayan veya toplamayı hedefleyen bu web sitelerine FTC’nin tüketici eğitim materyallerine link vermesini zorunlu kılmıştır.
FTC’nin şikayeti geçen haftalarda New York’taki Federal Mahkemede dava konusu yapılmıştır. Uzlaşma önerisi de aynı zamanda mahkemenin takdirine sunulmuştur.

ABD Virginia Eyaletinde Ev Bilgisayarlarına El Koyma ve Arama Yapma

Bilimsel olarak henüz kanıtlanmamış olsa da, ev bilgisayarlarının online suç işleyen kişiler bakımından kesinlikle izole bir ortam sağladığı açıktır. Buna karşın, siber suçlarla uğraşan kurumlar bakımından ev bilgisayarlarına el konulması ve bunlarda araştırma yapılmasına yönelik olarak izin almak her zaman kolay olmamaktadır. Aynı evi paylaşan yakınların veya oda arkadaşlarının bilgisayara el konması veya araştırma yapılmasına yönelik olarak verdiği “rıza”, savunma avukatları ve delillerin gizlendiğine yönelik olarak verilen dilekçeleri karara bağlayacak olan hakimler için yasla bir güçlük ortaya koymaktadır. Aşağıda değinilen Temyiz Mahkemesi 4. Dairenin kararı Virginia eyaletinde yakınların verdiği “rıza”’nın ne şekilde ele alındığını açıklamaktadır.



United States v. Buckner, 473 F.3d 551 (8th Cir. 2007) davasında, Temyiz Mahkemesinin 4. Dairesi Bölge Mahkemesinin verdiği, delilin gizlendiğine yönelik bir dilekçenin reddine ilişkin kararını onaylamıştır. Söz konusu delil, polis tarafından yetki belgesi olmadan, ancak davalının karısının “rızası” ile müsadere edilen ve araştırma yapılan bir ev bilgisayarında bulunmuştur.
Davalı Buckner, AOL ve eBay hesapları kullanılarak gerçekleştirilen hileli online işlemler gerçekleştirmiştir. Polis başlangıçta, Buckner’ın karısı ile temasa geçmiştir. Çünkü; bu online şirketlerin hesaplarında karının ismi gözükmektedir. Polis, Buckner’ların evine geldiğinde, davalı kapıyı açmış ve karısının evde olmadığını bildirmiştir. Polis, geldiğinde kendilerini araması gerektiğine ilişkin bir mesaj bırakmıştır. Bayan Buckner daha sonra polisle temasa geçmiştir. Polis, Bayan Buckner’in adının AOL ve eBay hesapları ile ilişkili olan çok sayıda online dolandırıcılık şikayetine karıştığını anlatmıştır.Bayan Buckner, bu işlemlerin hiçbirini yapmadığını bildirmiş ve kendi adına kiralanmış bir ev bilgisayarlarının olduğunu, ancak bu bilgisayarı sadece solitaire oynamak için kullandığını beyan etmiştir. Polis, müteakip günlerde Buckner’ların evine tekrar gitmiştir. Bu sefer davalı evde değildi. Ancak Bayan Buckner evdeydi. Bayan Buckner polislere mümkün olduğu kadar çabuk bir şekilde kendileriyle işbirliği yapmak istediğini ve ihtiyaçları olan ne varsa alabileceklerini söylemiştir. Yetki belgesi olmamasına rağmen Polis, Bayan Buckner bilgisayara el konulmasına ve araştırma yapılmasına rıza göstermiştir. Polis, bilgisayarın veri depolama bileşenlerini forensic analiz için almıştır.
Davalı daha sonra, 20 wire dolandırıcılıktan ve 12 mail dolandırıcılıktan suçlanmıştır. Olumlu bir savunma olarak davalı, bilgisayarın password korumalı olduğunu ve hiç kimsenin, karısının bile password korumalı bu dosyalara girme yetkileirnin olmadığını iddia etmiştir. Ancak; forensic analiz herhangi bir password koruma olduğunu göstermemiş ve polis veri saklama bileşenlerine erişmek için herhangi bir şifreye ihtiyaçları olmadığı konusunda tanıklık etmiştir. Gerçekte, kayıtlar davalının dosyalarının şifreli olmadığını göstermektedir ve polisin password gerekliliğinden kaçınmak için teknolojik bir yöntem kullandığına ilişkin herhangi bir iddia da mevcut değildir. Bölge Mahkemesi, bu delillerin gizlenmesi için davalının verdiği dilekçeyi reddetmiştir. Temyizde davalı tekrar, polisin ev bilgisayarına el koyması ve bunun üzerine password korumalı dosyaları üzerinde araştırma yaptığı iddiaları üzerinde durmuştur.
“Geçerli rıza” yetki belgesi olmadan el koymanın ve araştırma yapmanın çok iyi bilinen bir istisnasıdır. Devlet, “geçerli rızanın” alındığını kanıtlamakla yükümlüdür. Üçüncü kişinin rızası eğer “incelenecek olan konular bakımından genel bir yetki veya diğer herhangi bir yeterli ilişki mevcutsa” geçerli olacaktır (United States v. Matlock, 415 U.S. 164, 171, 94 S. Ct. 988, 39 L. Ed. 2d 242 (1975). Bu olayda da davalı her ne kadar karısının password korumalı dosyaları bakımından rıza vermeye yetkili olmadığı iddiasında ise de, davalının karısının bilgisayar üzerinde genel olarak yetkiye sahip olduğu tartışmasızdır. “Koşulların bütünlüğü” yaklışımı çerçevesinde, Temyiz Mahkemesi, davalının karısının ev bilgisayarındaki “tüm dosyalar” üzerinde rıza vermeye genel olarak yetkili olduğunu, çünkü; bilgisayara genel olarak erişim olanağının mevcut olduğunu, bilgisayarın evin oturma odasında durduğunu, Polis Buckner’ların evine geldiğinde, davalı evde olmamasına rağmen bilgisayarın açık olduğunu ve bilgisayarın münhasıran Bayan Buckner’ın adına kiralandığını ve dolayısıyla bunun Bayan Buckner’ın bu bilgisayarı dilediği zaman kiralama ofisine götürüp geri verebileceği anlamına geldiğini belirtmiştir.
Karar onaylanmış ve Bayan Buckner’ın rızası karara esas teşkil etmiştir. Bu nedenle Virginia Yasaları kapsamında, koşulların bütünlüğü yaklaşımı, yetki belgesi olmadan yapılan el koyma ve araştırmalarda üçüncü kişinin rızasının geçerliliği bakımından belirleyici olmaktadır.

Intel ve Google’dan AB Veri Koruması Mevzuatını Revize Etmek İçin Yardım İstendi!

AB Komisyonu, Avrupa Birliği veri koruması mevzuatını revize etmeye yardımcı olacak, aralarında Google ve Intel’in yöneticilerinin de bulunduğu bir danışma kurulu oluşturdu. Grubun amacı yeni teknolojilerin ortaya çıkardığı sorunları ve güçlükleri belirlemektir. Halihazırda veri koruması mevzuatını gözden geçirmeye başlamamış olan grup, ilk adım olarak bunu düşünmektedir. AB sözcüsü bu grupta özel sektörü temsilen, iki büyük şirketin temsilcileri yerine yöneticilerinin bilinçli olarak seçildiğini belirtmiştir.



Başta AB veri koruması mevzuatının köşe taşı niteliğinde olan 1995 tarihli Direktif olmak üzere, mevcut AB düzenlemeleri gelişen teknoloji dikkte alındığında ihtiyaca cevap veremez durumdadır. Google’ın yöneticilerinden biri tarafından açıklamaya göre, özel sektör temsilcileri olarak Komisyona, şirketler olarak şu an yaptıkları gibi tüm 27 ülkenin veri korumasına ilişkin taleplerini karşılamak zorunda olmak yerine, sadece tek bir ulusal veri koruması otoritesi ile muhatap olmaları konusunda önerilerde bulunulacaklardır. Avrupa’da veri koruması uygulamasının harmonize edilmesi ihtiyacınına dikkat çeken şirketler, ulusal otoriteler arasında karşılıklı tanımaya dayanan bir sistemin bu amaca ulaşmak için uzun bir yol olduğunu belirtmektedirler.
Komisyonu ayrıca lokasyon esaslı yaklaşımdan uzaklaşmaya da ikna etmeye çalışacak olan şirketlere göre; bu tür bir yaklaşım veriler kağıt üzerinde tutuluyorsa mantıklı olan bir sistemdir. Oysa internetle birlikte bu konsept artık eskimiş durumdadır. Çünkü; veriler tüm dünyayı dolaşmakta ve genellikle farklı lokasyonlarda saklanmaktadır. Bu nedenle yeni teknolojiler dikkate alınarak veri koruması yasalarının gözden geçirilmesinde acil ihtiyaç söz konusudur. Tam bu noktada lokasyon esaslı olmayan, ancak şirketler gibi, veri güvenliğinden sorumlu olan veri kontrolörlerine görev vermiş olan Kanada yaklaşımına dikkat çekmektedirler.
Nihayet, veri koruması yasalarının özel şirketler gibi, kamu kurumlarına da uygulanmasına işaret eden Google Yöneticisi, kişilerin verilerine ve mahremiyetlerine yönelik potansiyel ciddi tehditlerin bazılarının şirketler tarafından değil, devlet tarafından geldiğine dikkat çekmektedir.

AİHM’ye Göre İngiltere DNA Veritabanı Özel Yaşamın Gizliliği Hakkını İhlal Etmektedir!

Avrupa İnsan Hakları Mahkemesi (AİHM), İngiltere’deki DNA profillerini içeren veritabanının özel yaşamın gizliliği hakkını (Avrupa İnsan Hakları Sözleşmesi md. 8) ihlal ettiğine ve bireylerin özel yaşamlarına saygının sağlanması için değiştirilmesi gerektiğine hükmetti[1].
Büyük Daire verdiği kararda şu ifadeleri kullanmaktadır: “Bireylere ait verilerin geniş kapsamlı ve ayırt edilmemiş bir şekilde muhafaza edilmesi”, “birbiriyle yarışan kamusal ve bireysel menfaatler arasında adil bir denge bulunması çabalarına darbe indirmiş olacaktır”.
[1] https://dl.coe.int/coenew2007/voirfr.aspx?ID=1519&startdate=&enddate=&search=arrêt.



Bu dava, farklı davalardaki suçlardan aklandıktan sonra DNA örneklerinin, parmak izlerinin ve profillerinin yok edilmesi yönündeki başvuruları reddedilen iki ingiliz vatandaşı tarafından 2004 yılında açılmıştır.
AİHM, Avrupa Konseyi kapsamında sadece İngiltere, Galler ve Kuzey İrlanda’nın herhangi bir yaştaki sanıklardan parmak izi ve DNA örnekleri alınmasına ve bunların süresiz olarak muhafaza edilmesine olanak verdiğine işaret etmektedir. İskoçya’da ise sadece mahkum olan kişilerin verileri saklanabilmektedir.
İngiltere İçişleri Bakanı ise “DNA ve parmak izinin suçla mücadelede hayati öneme sahip olduğunu ve polise bir ayda 3500’den fazla uygun eşleştirme sağladığını, bu nedenle AİHM tarafından verilen kararın hayal kırıklığı yarattığını” belirtmiştir.
Bu veritabanı İngiltere’de 1994 yılında yeni yılda Bristol yakınlarında öldürülmüş olarak bulunan 18 yaşındaki Louise Smith’in ailesinin başlattığı bir kampanya sonucu oluşturulmuştu. Polis, Louise’in katilinin bulunmasına yardımcı olmak amacıyla kullanılacak toplu tarama şeklinde alınan 4500 DNA örneğini tahrip etmekle yükümlüydü ve aile yasayı değiştirmek için başarılı bir kampanya başlattı.
2001 yılından beri bu tür profiller bir veri tabanında saklanmaktadır. Ve 2004 yılından itibaren polis sanıklardan DNA örnekleri almak ve bu örnekleri ilgili kişi tahliye olsa veya beraat etse dahi saklamakla yetkili kılındı.
Bu tür verilerin “kişinin asli olarak suçlandığı suçun niteliği ve önemi veya şüpheli sanığın yaşı” dikkate alınmadan saklanması, “masumiyet karinesinden yararlanma hakkı olan” kişileri de damgalamaktadır. Çünkü bu veriler bu kişilerden, hüküm giymiş olan kişilerle aynı şekilde alınmaktadır.
2001 yılında tutuklanan iki davacının avukatları, Avrupa İnsan hakları Sözleşmesi kapsamında polisin örnekleri saklama yetkisi olmadığını belirtmekte ve müvekkillerinin kesinlikle sabıkalı olmadığını iddia etmektedirler. Michael Marper taciz davasında tahliye edilmiş ve ikinci kişi ise hırsızlıkla suçlanıyordu ve tutuklandığında 11 yaşında olduğu için “S” şeklinde adı kısaltılmıştır.


AİHM davacılar lehine, şikayet için yaptıkları harcamalar için 42.000 Euro’ya (53.000 USD) hükmetmiştir.
İngiltere, henüz herhangi bir suçtan mahkum olmayan bir milyondan fazla kişi de dahil olmak üzere nüfusun %7’sini, yani 4.3 milyondan fazla insanın profillerini taşıyan dünyanın en büyük DNA veri tabanını oluşturmuştur.
Davaların numaraları: 30562/04. S. v. the United Kingdom, and 30566/04, Marper v. the United Kingdom’dur.

AB 27 Ülkelerinde 2008 yılında İnternet Erişimi ve Kullanım Oranları

Bireylerin internet bankacılığı kullanım oranları yaklaşık %30’dur ve hanelerin %60’ı internet erişimine sahiptir (2 Aralık 2008 tarihi itibariyle). AB 27 ülkelerinde hanelerin internet erişimi 2008’in ilk çeyreği boyunca %60’dır. Bu oran 2007’nin ilk çeyreğinde %54’tü. Yine 2008’in ilk çeyreğinde geniş bant internet bağlantısı kullanım oranı %48 iken, 2007’nin ilk çeyreğinde bu oran %42 idi. Bu veriler Avrupa Toplulukları İstatistik Ofisi “Eurostat” tarafından yayınlanmıştır ve AB 27 ülkelerinde, Norveç, İzlanda ve Hırvatistan’da bireyler ve haneler tarafından ICT kullanımına ilişkin olarak yapılan bir araştırmada elde edilen bulguların sadece küçük bir bölümünü göstermektedir. İnternet kullanımı ve genişbant bağlantıların yanısıra araştırma, e-alışveriş, e-devlet ve iletişim ve içerik bağlantılı hizmetler gibi diğer göstergeleri de kapsamaktadır.

Facebook Kapsamını Tüm Web’e Yaymak İstiyor

İnternetin en büyük sosyal ağı olan Facebook, web’de seyahat ederken yanınıza arkadaşlarınızı da almanızı sağlamaya çalışıyor.

Facebook Connect olarak adlandırılan şirketin yeni özelliği, üyelerine kendi Facebook ID’lerini kullanarak diğer sitelerde oturum açmalarına ve bu sitelerdeki arkadaşlarının aktivitelerini görmelerine olanak sağlıyor. Facebook’un tartışmalı reklam programı olan ve mahremiyete ilişkin tartışmalar yüzünden geri çekilen Beacon gibi, Connect’de üyelere kendi aktivitelerini Facebook’daki arkadaşlarına yayınlama imkanı vermektedir.

Önümüzdeki birkaç hafta içinde bir dizi önemli web sitesi bu hizmeti kendi sayfalarına taşıyacaklarını duyurmuşlardır. Bunlar arasında Discovery Channel ve The San Francisco Chronicle, sosyal haber sitesi Digg ve online video merkezi Hulu sayılabilir.
Facebook Connect Silicon Vadisindeki şaşırtıcı yenilikçi düşüncülerin temsilcilerinden biridir. Kullanıcılarına ilişkin bilgileri saklamaya uğraşmak yerine bu düşüncenin temsilcileri, insanların kimlik belirleyici aynı bilgileri farklı sitelerde tekrar tekrar girmek zorunda kalmalarını engellemek için en azından bazı verilerin paylaşılmasını planlamışlardır. Yine bu görüşün temsilcilerine göre bu tür programlar yeni bir “sosyal web”’in doğuşuna yardımcı olacaktır.
Bu özellik sayesinde örneğin; bir kişi Facebook arkadaşlarını CBS.com’da izlediği videoyu birlikte seyretmeye davet edebilecek ve daha sonra oynayan videoyu birlikte tartışabileceklerdir.
MySpace, Yahoo ve Google’da ortak standartları kullanarak benzer bir programı bu yıl başlatacaklarını duyurmuşlardır. Ancak kendine özgü veri paylaşım teknolojisini kullanan Facebook şu an için diğer rakiplerine nazaran daha ileri bir durumdadır.

Siber Suçlarla Mücadele: Siber Karakollar ve İnternet

Avrupa Birliği Bakanlar Komitesi 27 Kasım 2008 tarihinde siber suçlarla mücadeleyi pekiştirecek Avrupa Komisyonu stratejisi kabul etmiştir. Strateji ile öngörülen bir dizi operasyonel önlemin gelecek beş yıl içinde siber suçlarla mücadelenin bir parçası haline geleceği öngörülmektedir. Bunlar arasında siber karakollar, ortak soruşturma ekipleri ve uzaktan arama gibi önlemler yer almaktadır. Strateji ayrıca kolluk kuvvetleri gibi yasa uygulayıcı makamlar ve özel sektör arasında daha yakın işbirliği ve bilgi alışverişi için somut adımlar ortaya koymaktadır.

İnternet: Girilmesi Tehlikeli ve Yasaktır!

İnternet: Girilmesi Tehlikeli ve Yasaktır!: Türkiye'de İnternet İçerik
Düzenlemesi ve Sansüre İlişkin Eleştirel Bir Değerlendirme

Dr. Yaman AKDENİZ & Dr. Kerem ALTIPARMAK

Bu Çalışma İnsan Hakları Ortak Platformu'nun (İHOP) 'İfade Özgürlüğü
Programı'nın Katkılarıyla 25 Kasım 2008 tarihinde
http://privacy.cyber-rights.org.tr adresinde yayımlanmıştır.


Yönetici Özeti

Yaman Akdeniz ve Kerem Altıparmak tarafından yazılan İnternet: Girilmesi
Tehlikeli ve Yasaktır: Türkiye'de İnternet İçerik Düzenlemesi ve Sansüre
İlişkin Eleştirel Bir Değerlendirme başlıklı kitapta Türkiye'de
İnternet'teki içeriğin yasal düzenlenmesi ve sansür konularında bir durum
değerlendirilmesi yapılmıştır. Çalışmada, İnternet'teki içeriğin yasal
düzenlenmesi konusundaki diğer girişimlerin yanısıra yeni çıkarılan ve
kısaca '5651 Sayılı Kanun' diye anılan 'İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanun' ve onunla ilintili düzenlemeler de eleştirel açıdan
değerlendirilmiştir. Kitap, mevcut düzenleme sistemlerinin nasıl işlediğini
ve ağırlıklı olarak Türk yargısının yetki alanı dışında bulunan web
sitelerine erişimin mahkeme ve idari erişim engelleme kararlarıyla nasıl
engellendiğini örnekler vererek incelemiştir. Bu incelemede 5651 Sayılı
Kanun'un uygulanmasıyla ilintili olduğu ölçüde 'Telekomünikasyon İletişim
Başkanlığı'nın ('TİB') ve onun yasadışı etkinlikleri izleyen 'İnternet Bilgi
İhbar Merkezi'nin kuruluş ve işleyişi de değerlendirilmiştir. Çalışmada bu
yeni düzenlemenin kapsamı dışında kalan erişim engelleme kararları da ele
alınmıştır.

Kitabın Birinci Bölümünde 5651 Sayılı Kanun'dan önceki sansür uygulamaları,
5651 Sayılı Kanun'un gelişimi ve yürürlüğe girmesi, onun uygulamaları ve
eleştirel değerlendirmesi dâhil olmak üzere, Türkiye'de İnternet içerik
düzenlemelerinin tarihçesi ayrıntılı olarak ele alınmıştır. Birinci bölüm,
ayrıca Türkiye'deki web sitesi engelleme ve kapatmalarının temel
gerekçelerini özetleyerek değerlendirmesini yapmıştır. İkinci Bölümde,
Türkiye'de İnternet yönetimine ilişkin mevzuat ve uygulamanın, AİHS ve
Anayasa hukuku açısından değerlendirilmesine yer verilmiştir. Engellemeye
ilişkin yargı kararlarının ve idari işlemlerin etkinliği ile filtrelenmiş ve
engellenmiş web sitelerine erişim için Türk kullanıcılar tarafından
başvurulan 'boşluklardan yararlanma' teknolojilerinin kullanılabilirliği ve
değerlendirilmesi de bu bölümde yapılmiştır. Kitap, daha sonra, Üçüncü
Bölümde Türkiye'yi bu konuda ilgilendiren uluslararası gelişmeleri gözden
geçirmiş, İnternet'te içerik düzenlemeleriyle ilgili olarak Avrupa Birliği
ve Avrupa Konseyi düzeyindeki gelişmelere de değinmiştir.

Akdeniz ve Altıparmak, kitabın son bölümünde bazı önemli tavsiyeler
sunmuştur. Bu bölümde 5651 sayılı Kanun'un kamuoyundan destek görmediğinin
altı çizilmiş, ve 5651 sayılı Kanun'un uygulanmasından kaynaklanan sorunlar
ve mevcut hukuksal rejim değerlendirilmiştir. Kitapta açıklanan gerekçelerle
5651 Sayılı Kanun'un kaldırılmasının en doğru çözüm olduğu yazarlar
tarafından öngörülmüştür. Akdeniz ve Altıparmak, Hükümetin, mevcut
politikası yerine çocukları gerçekten zararlı İnternet içeriğinden korumak
için yeni bir politika geliştirecek geniş bir kamuoyu yoklaması yaptırması
gerektiğini, fakat bu yeni girişimin şeffaflık, açıklık ve çoğulcu bir
yöntemle gerçekleştirilmesi gerektiğini savunmuşlardır.

Yazarlar Hakkında

Doç. Dr. Yaman Akdeniz Leeds Üniversitesi (İngiltere) Hukuk Fakültesi'nde
öğretim üyesidir. Fakülte içinde kurulmuş olan SiberHukuk Araştırma
Ünitesi'nin koordinatörlüğünü yapmaktadır ve SiberHukuk LLM (hukuk 'master')
programından sorumludur. Aynı zamanda Cyber-Rights.Org adlı kar amacı
gütmeyen sivil toplum örgütünün kurucusu ve 1997'den beri başkanıdır ve 2003
yılından beri de bilgi edinme hakkı konusunda çalışmalar yapan
BilgiEdinmeHakki.Org'un ortak kurucu başkanıdır. 'İnternette Çocuk
Pornografisi ve Hukuk; Ulusal ve Uluslararası Etkiler' (Internet Child
Pornography and the Law: National and International Responses) adlı kitabı
Haziran 2008'de Ashgate tarafından yayımlanmıştır. Akdeniz hakkında daha fazla bilgiye http://cyberlaw.org.uk adresinden ulaşabilirsiniz. İletişim için lawya@cyber-rights.org adresini kullanabilirsiniz.

Web Sitesi Kapatmalarıyla İlgili Televizyon Sohbeti

CNNTürk'te yayınlanan "Nası Yani" programında web sitesi kapatmaları üzerine Beyazıt Öztürk ile yaptığımız sohbeti izlemek için aşağıdaki bağlantıyı kullanabilirsiniz.

http://www.cnnturk.com/Gallery/Video/default.aspx?VideoGalleryID=9264&CategoryRelationID=580&VideoID=165703

İCRA VE İFLAS KANUNUNA GÖRE ALACAKLININ HACİZ İSTEME HAKKI VE BİLGİSAYAR HACZİNİN TEMEL ANAYASAL HAKLAR AÇISINDAN DEĞERLENDİRİLMESİ

İcra ve İflas Kanunu (İİK) md. 78-105 hükümleri arasında düzenlenen “Haciz” kurumu; “kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için, bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara, icra dairesi tarafından hukuken el konulmasıdır” şeklinde tanımlanabilir(1).

Haciz kurumu borçlunun temel anayasal haklarına müdahalenin, yasal istisnalarından birini oluşturmaktadır. İcra ve İflas Kanunu haciz bakımından haczi yapan icra dairesi görevlisinin dikkate alması gereken önemli bazı ilkelerin altını çizmektedir. Konumuz bakımdan önem taşıyan iki önemli ilke şunlardır:

- Hacizde Ölçülülük İlkesi veya Hacizde Tertip: Borçlunun mallarından ancak alacağın ana ve faizi ile takip giderlerini karşılayacak kadarı haczedilir, daha fazlası haczedilemez (İİK md. 85/I).
- Haczi koyan icra müdürü, borçlu ile alacaklının menfaatlerini mümkün olduğu ölçüde bağdaştırmakla yükümlüdür (İİK md. 85/VI).


İİK’na HAKİM BU İLKELER IŞIĞINDA BİLGİSAYAR HACZİ

İİK md. 85’de yer alan bu iki ilke açısından soruna yaklaşıldığında, alacaklının talebi üzerine borçlunun evine veya şyerine haciz için giden icra müdürünün hacizde bir sıraya uyması gerekmektedir. Önce borçlunun “çekişmesiz” mallarının haczi gereklidir. Çekişmesiz mallardan da önce “taşınırlar”’ın haczi gerekmektedir. Taşınırların haczinde de kendi içinde belli bir sıra söz konusudur: Taşınır mallardan muhafaza ve satılması daha kolay olan mallar –örneğin; altın, gümüş, para vs.- ile yokluğu borçluya en az yük teşkil eden mallar daha önce haczedilmelidir.

Bu kural uyarınca haciz yapan müdür, eğer yukarıda tanımlanan nitelikte taşınır mal mevcutsa ve alacağı karşılamaya yeterli ise, borçlunun bilgisayarına haciz koymamalıdır. Ancak; söz konusu nitelikteki taşınır malların haczine rağmen, takip konusu alacak karşılanamayacak durumda ise, bu olasılıkta borçlunun bilgisayarının haczi yapılmalıdır.

UYGULAMADA MEVCUT DURUM

Bilgisayar hacizleri bakımdan uygulamada icra müdürleri tarafından Adli Biliim’e ilişkin ilkeler gözetilmeden bilgisayarlara el konulmaktadır. Ceza yargılamaları bakımından birçok noktada eleştirilmesine rağmen, bilgisayarlara el konulması ve arama yapılmasına ilişkin CMK md. 134 hükmü mevcut iken, hukuk davaları bakımından ister yargılamada delil olarak kullanılacak bilgisayarlar açısından ister alacaklının alacağı için haczedilecek bilgisayarlar bakımından bu el koymanın nasıl ve ne şekilde yapılacağına ilişkin olarak Hukuk Usulü Muhakemeleri Kanununda (HUMK) ve İİK’da herhangi bir hüküm mevcut değildir.

Bilgisayara el konulması durumunda, alacaklı ve icra müdürü için önemli olan kural olarak o bilgisayar içindeki veriler değil, bilgisayarın maddi değerdir. Ancak; uygulamada içindeki veriler bakımından borçlunun “özel hayatının gizliliği hakkı” ve “kişisel verilerinin korunması ve gizliliği” şeklindeki ilkeler gözetilmeden bilgisayarlar haczedilmekte ve alacaklının talebi üzerine borçlunun elinden alınmakta ve satış aşamasına kadar yeddieminliklerde veya Adalet Bakanlığı’nın açtığı depo veya garajlarda muhafaza edilmektedir. Haciz sırasında da icra müdürü tarafından bir bilgisayara el koymaya ilişkin adli bilişimin “toplama ve el koyma” aşamasına hakim ilkeler bilinmediği için, bilgisayarlar uygun olmayan şekillerde taşınıp, yine satış aşamasına kadar fiziki koşullar bakımından uygun olmayan yerlerde saklanmaktadır. Bu uygun olmayan koşullar bilgisayar içinde yer alan verileri bozabileceği veya tahrip edebileceğinden verilerin sahibi olan borçlu açısından hukuka aykırı sonuçlar doğurabilecektir. Aynı şekilde ihale aşamasında bilgisayarın yeni alıcısı bakımından da örneğin; işletim sistemi hasar görmüş bir bilgisayarı satın almak bu durumun bilinip bilinmemesine göre ihle prosedürünü etkileyecek bir olgudur.

Dolayısıyla uygulamada ihale veya satış aşamasında içindeki veriler ve bunlar bakımından borçlunun sahip olduğu temel haklar gözetilmeden bilgisayarlar satılmaktadır. Bilgisayarı ihalede satın alan alıcı ise; hard diskinde borçluya ait birçok özel, kişisel veya ticari bilginin bir anda bilgisayarla birlikte yeni sahibi olabilmektedir.


ÖNERİLEN ÇÖZÜM

Her ne kadar yasalarda açık bir hüküm mevcut değilse de, uygulamada icra müdürünün özellikle İİK md. 85/VI’daki alacaklı ile borçlunun menfaatlerini mümkün olduğu ölçüde bağdaştırma yükümlülüğü uyarınca bilgisayar haczi bakımından dikkate alması gereken kurallar şunlardır:

- İcra müdürü haciz sırasında açık olan bilgisayarı gerekiyorsa mutlaka borçluya kapattırmalıdır veya kapalı olan bilgisayarda az sonra anlatacağımız şekilde borçlu tarafından yedekleme yapılması gerekli olduğunda, bilgisayarın mutlaka borçlu tarafından açılmasını talep etmelidir.
- Bilgisayarına el konulacak olan borçluya, bilgisayar içinde yer alan tüm verilerin yedeklemesinin ve bu verilerin adli bilişim anlamında silinmesinin uzmanlar tarafından yapılmasını isteyip istemediğinin ve bu işin söz konusu olacak masrafları ödeyip ödemeyeceğinin sorulması: Adli bilişim anlamında bir bilgisayarın ayna görüntüsünün alınması ve yine adli bilişim anlamında bilgisayardaki borçlya ait tüm verilerin silinmesi işlemi bu konuda uzman olan kişiler tarafından yapılabilecek bir işlem olduğu için, bu husus borçluya açıklanmalı ve böyle bir işleme rıza gösterip göstermediği ve masraflarını üstlenip üstlenmeyeceği icra müdürü tarafından sorulmalıdır. Eğer borçlu bu işleme rıza gösterirse, bilgisayar icra müdürü tarafından adli bilişim ilkelerine uygun olarak sökülmeli, etiketlenmeli, özel paketlere konulmalı ve verilerin zarar görmemesi için fiziki olarak uygun koşullarda muhafaza edilmelidir(2).

Bilgisayarı bu şekilde hazceden icra müdürü ayna görüntünün alınması verilerin silinmesi için bilgisayarı ya Emniyet Müdürlüklerinin ilgili birimlerine veya bu işlemleri yapabilecek resmi bilirkişilere göndermelidir. İlgili kurumlarca alınan ayna görüntü icra müdürü tarafından borçluya teslim edilecektir. Borçluya ait veriler bakımından temizlenmiş durumda olan bilgisayar da artık satış aşamasında herhangi bir sorun olmadan satılabilecektir. Ayna görüntü alınması ve silme işlemleri, bilgisayara haciz konduktan sonra, alacaklının rızası ile bilgisayar borçluda bırakıldıysa, satış aşamasına kadar bizzat borçlu tarafından bu konuda hizmet veren özel kurumlara da yaptırılabilir.
- Borçlu bu şekilde bir işlem yapılmasını istemediğini beyan ederse, en azından bilgisayarındaki veriler bakımından kendi olanakları ile yedekleme yapmasına ve verileri silmesine olanak verilmesi: Yukarıda seçeneği tercih etmeyen borçlular bakımından icra müdürünün haciz sırasında, eğer alacaklı bilgisayara haciz konulmasına rağmen borçluda bırakılmasına rıza göstermemişse, borçlunun kendi olanaklarıyla verilerini yedeklemesi ve silmesi için uygun olan süreyi borçluya tanıması gereklidir. Haciz konulduktan sonra, alacaklının muvafakati ile bilgisayar borçluda bırakılacaksa, bu takdirde satış aşamasına kadar borçlunun bu verileri yedeklemesi veya silmesi gerektiği kendisine bildirilir. Kendi olanaklarıyla özellikle silme işlemini gerçekleştiren borçluya, bu verilerin sonradan ihale aşamasında bilgisayarı satın alan alacaklı tarafından tekrar elde edilebileceği olasılığı icra müdürü tarafından hatırlatılmalıdır.
- Haciz sırasında alacaklı veya borçlu tarafından bilgisayarın maddi değerinden çok, içindeki verilerin ekonomik veya ticari değerlerinin önemli olduğu belirtilir ve alacaklı bu verilerle birlikte bilgisayarı haczettirmek ister ve borçluda buna rıza gösterirse, hard diskte bulunan verilerin ekonomik değeri, icra müdürü tarafından bilirkişiye tespit ettirilir ve bilgisayar bu verilerle birlikte sahip olduğu değerle haciz tutanağına yazılır.

(1) Kuru, Baki/Arslan, Ramazan/Yılmaz, Ejder, İcra ve İflas Hukuku, Ankara 2006.
(2) Ayrıntılı bilgi için bkz. Keser Berber, Leyla; Adli Bilişim (Computer Forensic), Ankara 2004.

e-PARA DİREKTİFİ DEĞİŞİKLİK ÖNERİSİ YAYIMLANDI!

AB Komisyonu, AB’de elektronik para ihracına ilişkin koşulları düzenleyen mevcut kuralların revizyonunu öngören bir öneri teklif etti. Öneri 2000 tarihli yürürlükteki kuralların elektronik para pazarına ivme kazandırmadığı, teknolojik gelişmelere engel olduğunu ortaya koyan üye devletlerle yapılan kapsamlı konsültasyonlar üzerine hazırlanmıştır. Revize edilen kurallar yeni sağlayıcıların pazara girişini kolaylaştıracak ve 2012 yılı itibariyle 10 milyar Euro’nun üstünde bir hacme ulaşması beklenen bir endüstrinin gelişimine katkıda bulunmuş olacaktır.

E-Para Nedir?
e- Para nakit paranın elektronik ortamdaki alternatifidir. Kullanıcıların kart veya telefon gibi cihazlarda veya internette elektronik parayı muhafaza etmelerini ve ödeme işlemlerini yapmalarını olanaklı kılmaktadır. Örnek olarak; Belçika’daki Proton gibi elektronik cüzdanlar ve Hollanda’daki gibi Chipknip ve PayPal gibi web tabanlı hizmetler verilebilir.

Komisyon Neden Mevcut Kuralların Revize Edilmesi İçin Teklif Vermiştir?
Mevcut 2000 tarihli e-Para Direktifinin bugüne kadarki uygulamasının değerlendirilmesi, Direktifin bazı hükümlerinin elektronik para pazarının gelişimini önlediği ve teknolojik inovasyonlara engel oluşturduğunu göstermiştir. Tam lisanslı elektronik para kurumlarına ilişkin sınırlı sayıdaki rakamlar (20 elektronik para kurumu) ve ihraç edilen elektronik para hacminin düşük olması (halihazırda AB’deki elektronik paranın tam miktarı 1 milyar Euro’dur. AB’deki nakit para miktarı ise 600 milyar Euro’dan fazladır), birçok üye devlette e-paranın henüz gerçekten canlanmadığını göstermektedir.

2007/64/CE sayılı Ödeme Hizmetleri Direktifinin kabulü, ödemeler için modern ve bağdaşık bir yasal çerçeve oluşturacaktır. Bu nedenle AB’de e-para hizmetleri için gerçek bir tek pazarın oluşumunu desteklemek için doğru çerçevenin uygulamaya konması acil önem taşımaktadır. Yeni kurallar küçük sağlayıcılar için pazara girişi kolaylaştıracak ve bu sayede inovasyonu ve rekabeti teşvik edecek gerçek Pazar koşulları oluşturacaktır.

Önerinin Amaçları Nelerdir?
Öncelikle Öneri, ödeme hizmetleri için AB’de efektif ve etkin bir iç Pazar oluşumuna katkıda bulunacaktır:

• Tüketiciler, iş dünyası ve AB ekonomisi için maddi faydalar yaratarak, inovasyonu ve yeni ve güvenli e-para hizmetleri tasarımlarını olanaklı kılmak,

• Yeni oyuncuların pazara girişini kolaylaştırmak ve tüm Pazar katılımcıları arasında gerçek ve etkin bir rekabeti teşvik etmek,

• E-Para Direktifi’nin hükümlerini modernize etmek ve 2007/64/CE sayılı Ödeme Hizmetleri Direktifi ile uyumunu sağlamak.

Öneri 2006 tarihinde yayımlanan Değerlendirme Raporuna da atıf yapmaktadır.

Öneri İle Getirilen Başlıca Değişiklikler Nelerdir?
Öneri hukuki kesinliği sağlamak amacıyla, e-para’nın teknoloji nötr ve basitleştirilmiş bir tanımını içermektedir. Yeni tanım ödeme servis sağlayıcıların (e-para kurumu veya bir kredi kurumu) nakit para yerine kullanılmak üzere değeri önceden ödenmiş e-para ihraç etmelerine ilişkin tüm olasılıkları kapsamaktadır. Örneğin; çok amaçlı bir mobil ödeme çözümü yeni kuralların kapsamına girecektir.

Öneri e-para kurumlarına ve 2007/64/CE sayılı Ödeme Hizmetleri Direktifi kapsamına giren ödeme kurumlarına yönelik makul isterler arasında olabildiği kadar büyük ölçüde tutarlılığı sağlamak amacıyla bazı kurallar öngörmektedir:

• Küçük oyuncuların pazara girişini kolaylaştırmak için başlangıç sermayesi 125.000 Euro olarak belirlenmiştir.

• Ödeme Hizmetleri Direktifi kapsamındaki ödeme kurumları için öngörülen koruma isterleri doğrultusunda e-para kurumları için de koruma isterleri öngörülmüştür.

• Ödeme Hizmetleri Direktifindeki seviyeye uyum sağlamak amacıyla, kara para aklamayı önleyecek kurallar güncellenmiştir.

Öneri, mobil telekomünikasyon uygulamalarına atıfla paraya çevirme uygulamasına açıklık getirmektedir. Tüketiciler yeni kurallarda belirlenen koşullara uygun olarak herhangi bir zamanda elektronik paralarının iadesini isteme hakkına sahiptirler. Yeni kurallar ayrıca oldukça yüksek seviyede bir tüketici koruması sağlamayı hedeflemektedir.

Öneri “daha iyi düzenleme” yaklaşımıyla hazırlanmış ve ayrıntılı bir etki analizi raporu yayımlanmıştır. Genel yasal çerçeve Ödeme Hizmetleri Direktifi ile uyumu sağlamak adına önemli ölçüde geliştirilmiştir. Ayrıca küçük işletmeler için idari yükler azaltılmış ve Öneri’deki isterlere uyumu sağlamak kolaylaştırılmıştır.

ALMAN MAHKEMESİ SERVER LOGLARINDAKİ IP ADRESLERİNİN KİŞİSEL VERİ OLMADIĞINA KARAR VERDİ!

Bir Alman Mahkemesi web site operatörlerinin ziyaretçilerinin İnternet Protokol (IP) adreslerini veri koruması mevzuatına aykırı olmayacak şekilde saklayabilmelerinin mümkün olduğu yönünde karar verdi. Mahkeme ek bilgiler olmaksızın, sadece IP adreslerinin kişisel veri sayılamayacağını ifade etmiştir.

Arama motoru şirketleri ve diğer web operatörleri kullanıcıları teşhis etmek ve kullanım alışkanlıklarını belirlemek amacıyla IP adreslerini saklamaktadırlar. Kişisel gizlilik aktivistleri IP adreslerinin veri mevzuatı kapsamında kişisel veri olarak kabul edilmesi gerektiğini iddia etmişlerdi. Web site operatörleri ise aksi fikri savunmaktadır.

Münih Bölge Mahkemesi verdiği kararda, internet yayıncıları tarafından saklanan IP adreslerinin ülkedeki Veri Koruması Yasası kapsamında kişisel veri olarak nitelendirilemeyeceğini, çünkü bu bilginin bir kişinin kimliğinin tespitinde kolayca kullanılmayacak bir veri olduğunu belirtmiştir.

Kararın gerekçesinde mahkeme İnternet Servis Sağlayıcıların (ISS) üçüncü taraflara, belirli bir IP adresinin belirli bir zamanda kimin tarafından kullanıldığını yasal bir gerekçe olmadan açıklayamayacağını; ISS’lerin bu tür bilgileri mahkeme kararı olmadan genel olarak veremeyeceğini ifade etmiştir. Mahkeme kararında ayrıca IP adreslerinin kişisel veri olarak kabul edilebilmeleri bakımından gerekli olan “belirlenebilirlik” özelliğinden yoksun olduğunun altını çizmiştir. Bu, verinin arkasında bulunan kişinin kimliğinin aşırı külfet olmaksızın ve normal olarak mevcut olan bilgi ve araçlar kullanılarak belirlenebilmesi anlamına gelmektedir. Mahkeme, web yayıncılarının bu nedenle, bir web sayfasındaki aktivitenin izini muhafaza eden server log dosyalarındaki IP adreslerini saklayabileceklerine hükmetmiştir.

Bu dava, web yayıncısının log dosyalarındaki IP adreslerini muhafaza etmesinin mahremiyet ihlali anlamına geleceğini iddia eden bir kişi tarafından açılmıştır. Davacının iddiasına göre bu bilgiler kendi kimliğini teşhis etmek amacıyla kullanılabilecek ve kimliği ile web sörf aktiviteleri arasında bağlantı kurulmasını sağlayacaktır. Ancak mahkeme davacının iddialarını kabul etmemiştir.

2007 yılında İngiltere’nin veri koruması temsilcisi de IP adreslerinin kişisel veri olarak tasnif edilemeyeceğini belirten bir kılavuz yayınlamıştı. Bu Kılavuza göre de IP adresleri ancak bir birey hakkında bir profil oluşturmak amacıyla kullanılırsa kişiel veri olarak kabul edilecektir. Uygulamada IP adreslerinin kişiselleştirilmiş profiller oluşturulması amacıyla kullanılmasının güçlüğüne dikkat çekilen Kılavuzda, birçok IP adreslerinin, özellikle bireylere tahsis edilenlerin dinamik IP olduğu ve kullanıcının kendi ISS’ine bağlandığı her zamanda, ISS’in verdiği IP adresinin her seferinde diğerinden farklı olduğu belirtilmektedir. Kılavuza göre bazı IP adresileri ise statiktir ve dinamiklerden farklıdır. Bazı cookielerde olduğu gibi bunlar, bireysel bir kullanıcıya bağlantı yapacak şekilde belirli bir bilgisayarla ilintili hale getirilebilirler. Statik IP adresine istinaden böyle bir bağlantının kurulduğu ve profiln oluşturulduğu durumlarda, bu adresler ve profiller kişisel veri olarak kabul edilebilcektir. Ancak statik ve dinamik IP adresleri arasında ayrım yapmak kolay değildir. Bu nedenle kişiselleştirilmiş profiller oluşturmak amacıyla bunların kullanımları dar bir kapsamda söz konusudur.

Article 29 Çalışma Grubuna göre ise; her zaman kişisel veri olmasalar bile, ISS’ler ve arama motorları tarafından tutulan IP adreslerinin kişisel veri olarak değerlendirilmesi gerekecektir.



Yargıtay'ın Bilişim Hukuku Konferansına Hazırladığım Tebliğ

9-10 Ekim 2008 tarihlerinde Yargıtay'da yapılan Bilişim Hukuku konulu konferans için hazırladığım bu Tebliğ'de ayrıntılı olarak Adli Bilişim kurumunun ABD'de mahkeme içtihatları ışığında değerlendirilmesi, Federal Medeni Yargılama Kurallarına özet bir bakış ve AB'de-Türkiye'de Adli Bilişime ilişkin çalışmalar değerlendirilmiştir.

Kişisel Verilerin Korunması Konusunda ise AB'nin 95/46 Sayılı Direktifin temel ilkeleri ve Direktif'e ilişkin olarak AB'de son zamanlarda yaşanan veri saklama konusundaki tartışmalar ve veri korumasının geleceğine ilişkin sorunlar açıklanmıştır.

http://bthukuku.bilgi.edu.tr/newsfull.asp?id=37&r=10%2F14%2F2008+2%3A31%3A08+PM


İsveç Kişisel Gizlilik Ombudsmanı İstiyor

İsveç’te Sosyal Demokratlar, kişisel gizliliğin korunmasına yardımcı olmak amacıyla ombudsman oluşturulmasını talep ettiler.

Devlet kurumları elektronik bilgilere giderek daha çok güvendikleri ve umumi mahallere daha çok gözetleme kameraları yerleştirdikleri için Sosyal Demoktarlara göre; bugünün dünyasında kişisel gizliliği ihlal edecek çok sayıdaki ve çeşitlilikteki tehditlere dikkat çekmenin zamanı gelmiştir. Kişisel gizlilik tehditlerini ciddiye almak ve bu tehditleri izlemek ve gizlilik ihlal edildiğinde uyarı da bulunacak bir ombudsman kurulması gerekmektedir.

İsveç’in eleştirilen gözetim yasalarından da kaynaklanan kişisel gizlilik tartışmaları, hakları ihlal edildiğinde birçok İsveç’linin mahremiyetlerini farklı yollarla gerçekleştirmelerine neden olmaktadır.


Önceki hükümet polise daha çok gözetim gücü veren ve telefon şirketlerine müşterilerine ilişkin bilgileri saklama yönünde yükümlülükler getiren bir dizi tedbir aldığı için İsveç’te eleştirilmişti. Şu sıralar kurulması teklif edilen kişisel gizlilik ombudsmanı ile amaçlanan ise; ne suçun takibine ilişkin olarak devlet güçlerini zayıflatmak ne de kriminal aktivitelerin açığa çıkartılmasını engellemektir. Bu her iki unsur arasında bir denge oluşturmaya çalıştırmaktır.

Halihazırda İsveç’te Adalet Bakanlığı ve Veri Koruması Kurulu bireylerin kişisel gizliliklerini korumakla görevlidir. Ancak Sosyal Demokratlara göre kişisel gizlilik konularıyla ilgili tüm sorumluluğun, misyonu açıkça belirlenmiş bir organa verilerek tek çatı altında toplanması en iyi çözüm olacaktır.

İsveç’te oluşturulması düşünülen ombudsmanın yerine getirmesi gereken görevlerden birisi olarak tanımlanan, kişisel gizlilik ihlali olduğunda uyarı mekanizması ABD’de yeni çıkarılan yasalarda veya mevcut yasalarda yapılan değişikliklerle mutlaka yer verilen önemli bir yeniliktir. Güvenlik ihali uyarı sistemi konusu AB’de de özellikle elektronik haberleşme sektöründe gündemdedir. 22 Ekim 2008 tarihinde Brüksel’de bu ve elektronik haberleşme sektörü için yeni yasal isterlerin neler olduğuna ilişkin bir toplantı yapılacaktır(1). Söz konusu toplantı kişisel verilerin korunmasına ilişkin Direktifin karşısında yer alan veri saklama Direktifi ve ayrıca AB telekomünikasyon düzenleyici çerçevesinin yeniden gözden geçirilmesi açısından da 1.8. 2008 tarihinde TBM’ce kabul edilen Elektronik Haberleşme Kanunu bakımından önem taşımaktadır.


(1)New Legal Requirements for the Electronic Communications, Sector: Security Breach Notification, Content Filtering and Data Retention, 22 October 2008 Brussels, Belgium: New requirements for operators and service providers will be introduced by the review of the EU telecommunications regulatory framework. Companies suffering a security failure will be required to notify affected individuals as well as supervisory authorities.
One of the issues debated is whether the application scope of the notification obligation will be extended at the national level, to include also banks, insurance companies, hotels, universities, etc. Another requirement under discussion is content filtering. The electronic communications sector is also facing the implementation of the new European rules about traffic and location data retention for law enforcement purposes.


YORUMSUZ

Trabzon'da ramazan eğlencelerinin yapıldığı alanda stant açan polis, gönüllü vatandaşların parmak izini kayıt altına alıyor.

Trabzon Emniyet Müdürlüğü Toplum Destekli Polislik Büro Amirliği tarafından açılan stantta, tanıtım broşürleri, video gösterileri yer alırken, halkın polisi daha iyi tanıması için çeşitli aktiviteler de gerçekleştiriliyor.

Stantta ayrıca, gönüllü olan vatandaşların parmak izleri, bir dizüstü bilgisayar yardımıyla yaklaşık 2,5 dakikada alınarak, AFİS (Otomatik Parmak İzi Alma Sistemi) adı verilen sistemle kaydediliyor.

Burada kayıt altına alınan parmak izleri ile kimlik bilgileri ve vatandaşa ait bir de fotoğraf, otomasyon ağıyla Emniyet Genel Müdürlüğü veri tabanına ekleniyor.

Toplum Destekli Polis Amirliği yetkilileri, ramazan ayının başından itibaren bu çalışmanın yürütüldüğünü, standın oldukça ilgi gördüğünü belirterek, günde ortalama 20 kişinin, kendi isteğiyle parmak izinin alındığını söyledi.

Parmak izi veren gönüllülerin, başları sıkıntıya düştüğünde "keşke" dememek için stantlarında bulunduklarını ifade eden yetkililer, parmak izinin, en hızlı ve en kolay kimlik tespit yöntemi olduğunu belirtti.

Yetkililer, parmak izinin arşivde kayıtlı olmasının birçok faydasının bulunduğunu ifade etti:

"Size ait kimlik bilgilerinin başkaları tarafından kullanılması durumunda, parmak iziniz arşivde kayıtlı olduğu için, kimliğinizi ispat etme çabasına girişmeyecek, haklarınızı koruma altına almış olacaksınız. Yangın, deprem, sel gibi doğal afetler ile uçak ve tren kazası gibi toplu ölüm olaylarında kayıtlardaki parmak izlerinden kimlik tespiti kolay bir şekilde yapılabilecektir. Parmak izini vermek, hiçbir hak mahrumiyetine neden olmadığı gibi, kimseyi de şüphe altında bırakmaz."

"Suça karışmayacağım için verdim"

Stantta parmak izi vererek sisteme kayıt olan öğrenci Ziya Koçak (23), insanların bir kazada veya suçlanma durumunda parmak izinin önem kazanacağını belirterek, "suça karışma durumum olmayacağına emin olduğum için rahatlıkla parmak izimi kaydettiriyorum. Suça karışsam bile bunu yaptığım için pişmanlık duymam. Çünkü bu TC kimlik numarası gibi bir şey. Her insanda kimlik numarası bir tane var, parmak izi de öyle" dedi.

Medikalci Ali Demircan (27) ise parmak izi kaydını gönüllü olarak yaptırdığını ifade ederek, "güzel bir uygulama. Herkesin vermesi gerekiyor. 70 milyonluk Türkiye'nin tümünün parmak izinin kayıt altına alınması çok güzel olurdu. Bu uygulama bizler için. Bir suç durumunda ben bile işlesem cezamı çekmeliyim. Parmak izi verenlerin sayısı arttıkça suçlunun tespiti daha kısa sürede yapılacak. Mağdur insanların devlete olan güvenleri sarsılmayacaktır" diye konuştu.

Öğrenci Pelin Dal (24) da Almanya'da yaşadığını, tatil için geldiği memleketinde ilginç bulduğu için bu uygulamaya katıldığını söyledi.

Yasal dayanak

Polis Vazife ve Salahiyet Kanunu'nda 2 Haziran 2007 tarihinde değişiklik yapan 5681 Sayılı Kanun'la pasaport, ehliyet ve silah ruhsatı alacakların parmak izi vermeleri zorunlu hale getirilirken, aynı kanun kapsamında polise, gönüllülerden de parmak izi alma yetkisi tanındı.

Gönüllü parmak izi verenlerin haricinde parmak izi alınanların, fotoğrafları da Emniyet Genel Müdürlüğü'nün sistemine kaydediliyor.

Veriler, kayıt tarihinden itibaren 80 yıl süreyle sistemde saklanırken, parmak izi alınan kişinin ölmesi halinde, bu süre 10 yıl ile sınırlandırılıyor.

Kaynak: http://www.cnnturk.com/HaberDetay/Turkiye/2/Gonullu_vatandasin_parmak_izi_aliniyor/493144/0

Telekulak’ta Adalet Bakanlığı İkincil Düzenleme Yapmaya Yetkili Değil! Yasal Düzenlemeler İncelenerek Yetkili Kurum’un Belirlenmesi Gerekecek!

Danıştay İdari Dava Daireleri Kurulu, telefon dinleme ve teknik takip konusunda Adalet Bakanlığı’nın yönetmelik çıkarmaya yetkisi olmadığı sonucuna vardı. Soruşturmalarda bu yöntemin kullanılabilmesi için yeniden yönetmelik çıkarılması gerekecek. Adalet Bakanlığı geçen yıl, Ceza Muhakemesi Kanunu’ndaki telefon dinleme ve teknik takip ile örgütlü suçlarda ajan kullanılması hükümlerini somutlaştırmak için yönetmelik çıkarmıştı. Yönetmelik, suçluların birinci derece yakınlarının teknik takibi ve dinlenmesini de içeriyordu. İstanbul Barosu bunun hukuka aykırı olduğu gerekçesiyle yönetmeliğin bu hükümlerinin iptali için Danıştay’a dava açmıştı. Danıştay 10′uncu Dairesi, dava sonunda şüphelilerin birinci derece yakınlarının da dinlenebilmesine ilişkin yönetmelik hükmünün yürütmesini durdurmuştu. Bakanlık, Daire’nin bu kararının bozulması için Danıştay İdari Dava Daireleri Kurulu’na temyiz etti. Kurul, Daire’nin kararını, oybirliğiyle kaldırdı.


Karar’da Adalet Bakanlığı’nın bu konularda yönetmelik çıkarmaya yetkili olmamasına bir dizi yasal hüküm gerekçe olarak gösterilmektedir. Örneğin; “5271 sayılı Ceza Muhakemesi Yasası'nda yönetmelik ile belirlenecek ve gösterilecek hususlar açıkça belirtilmiştir. İletişimin denetlenmesi, gizli soruşturmacı ve teknik araçlarla izlemeye ilişkin bulunan 135-140. maddelerinde ise davalı idareye yönetmelik ile düzenleme yetkisi veren herhangi bir kural bulunmamaktadır. Bununla birlikte, 5271 sayılı Ceza Muhakemesi Yasası'nın 167. maddesinde, adli kolluk görevlilerinin "... nitelikleri ve bunların ... uzmanlık dallarına göre hangi bölümlerde çalıştırılacakları ve diğer hususlar"ın Adalet ve İçişleri Bakanlıkları tarafından çıkarılacak yönetmelikte belirlenmesi öngörülmüştür”.
“ 2559 sayılı Polis Vazife ve Selahiyet Yasası'nın ek 7. maddesinde ise, gerek bu maddede belirtilen telekomünikasyon yoluyla yapılan iletişime ilişkin işlemlerin, gerek Ceza Muhakemesi Yasası kapsamında yapılacak "dinlemeler"in Telekomünikasyon Kurumu bünyesinde "Telekomünikasyon İletişim Başkanlığı" adıyla kurulan tek bir Merkezden yapılması esası benimsenmiş; aynı maddenin son fıkrasında, bu maddenin uygulanmasına ilişkin esas ve usullerin ise Adalet, İçişleri ve Ulaştırma Bakanlıkları'nın görüşü alınarak Başbakanlık tarafından çıkarılacak yönetmelikle düzenleneceği belirtilmiş; bu doğrultuda, 10.11.2005 günlü, 25989 sayılı Resmi Gazete'de yayımlanan "Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkında Yönetmelik"in 12 ila 15. maddelerinde, dava konusu Yönetmelikte olduğu gibi, Ceza Muhakemesi Yasası gereğince iletişimin tespiti, denetlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınması hakkında kurallara yer verilmiştir”.
Bu hükümler incelendiğinde Adalet Bakanlığı’nın ya İçişleri Bakanlığı ile birlikte bazı hallerde Yönetmelik çıkartabileceği veya bazı durumlarda ise Başbakanlık tarafından çıkartılacak Yönetmeliklerde görüşü alınacak kurumlar arasında yer almaktadır. Bu bağlamda, dava konusu Yönetmelik kurallarının hukuka uygunluğunun denetimi için, öncelikle Adalet Bakanlığı’nın düzenleme yetkisinin sınırlarının yukarıda yapılan açıklamalar ve değinilen düzenlemeler çerçevesinde ortaya konulması ve yürütmenin durdurulması istemi hakkında buna göre karar verilmesi gerektiği vurgulanmaktadır.
Danıştay İdar Dava Daireleri tarafından verilen karar metni aşağıdadır:


T.C.
D A N I Ş T A Y
İDARİ DAVA DAİRELERİ
KURULU
YD. İtiraz No:2008/159



Yargılama Hukuku ile ilgili konularda idarenin düzenleme yetkisinin yasa metninin lafzıyla sınırlı olduğu, Ceza Muhakemesinin maddi içeriğine ait kuralların uygulanması ile ilgili konularda düzenleme yetkisinin sınırlarını ise, yargıcın yargılama faaliyeti ve İdare Hukuku'nda "yetki" kavramının anlam ve kapsamının oluşturduğu dikkate alınarak, "Ceza Muhakemesi Kanununda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin Uygulanmasına İlişkin Yönetmelik"in hukuka uygunluğunun denetimi için, öncelikle Adalet Bakanlığı'nın bu alanda düzenleme yetkisinin sınırlarının ortaya konulması gerektiği hk.

İtiraz Eden (Davacı) : İstanbul Barosu Başkanlığı

Vekilleri :
İtiraz Eden (Davalı) : Adalet Bakanlığı - ANKARA
İstemin Özeti : Danıştay Onuncu Dairesi'nce verilen ve yürütmenin durdurulması isteminin kısmen reddine, kısmen kabulüne ilişkin bulunan 16.10.2007 günlü, E:2007/2795 sayılı karara, davacı ve davalı idare itiraz etmektedirler.
Danıştay Tetkik Hakimi ... Düşüncesi: Ceza Muhakemesi Yasası'nda ve 2559 sayılı Polis Vazife ve Selahiyet Yasası'nın ek 7. maddesinde iletişimin denetlenmesi, gizli soruşturmacı ve teknik araçlarla izleme önlemlerinin uygulanmasına ilişkin olarak davalı idareye tek başına düzenleme yetkisi veren bir kural olmadığından, davalı idarenin itirazının reddi, davacının itirazının kabulü gerektiği düşünülmektedir.
Danıştay Savcısı ... Düşüncesi : İtiraz dilekçelerinde ileri sürülen nedenler, Danıştay Onuncu Dairesi'nce verilen yürütmenin durdurulması isteminin kısmen kabulüne ve kısmen reddine ilişkin kararın kaldırılmasını gerektirecek nitelikte görülmediğinden, itirazın reddi gerekeceği düşünülmektedir.

TÜRK MİLLETİ ADINA
Hüküm veren Danıştay İdari Dava Daireleri Kurulu'nca gereği görüşüldü:
Dava, 14.1.2007 günlü, 26434 sayılı Resmi Gazete'de yayımlanan "Ceza Muhakemesi Kanununda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin Uygulanmasına İlişkin Yönetmelik"in;
- "İletişimin tespiti, dinlenmesi, kayda alınması ve sinyal bilgilerinin değerlendirilmesi talebi ve kararı" başlıklı 5. maddesinin 1. fıkrasının,
- "Tedbirin kapsamı" başlıklı 7. maddesinin 4. fıkrasının, "Ceza Muhakemesi Kanunu'nun 135. maddesinde belirtilen yasal şartlar varsa, suç işleme şüphesi altındaki tanıklıktan çekinme hakkı olan şahıslar hakkında da hakim veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının kararıyla bu tedbire başvurulabilir." biçimindeki son cümlesinin,
- 7. maddesinin, "Şüpheli veya sanığa yüklenen suç dolayısıyla suç şüphelisi olmayan müdafiin bürosu, konutu ve yerleşim yerindeki telekomünikasyon araçları hakkında, Ceza Muhakemesi Kanununun 135. madde hükmü uygulanamaz." biçimindeki 5. fıkrasında yer alan "... suç şüphelisi olmayan ..." ibaresinin,
- "İşlemlerin niteliği" başlıklı 10. maddesinin, açık rızasının olması koşuluyla şikayetçinin iletişiminin tespitine olanak sağlayan 4. fıkrasının,
- "Süre" başlıklı 12. maddesinin, dinleme veya mobil telefonun yerinin tespiti kararlarında sürenin, kararın Telekomünikasyon İletişim Başkanlığı'nda sisteme tanıtılmasıyla başlayacağı yolundaki 4. fıkrasının,
- "Teknik araçlarla izleme sırasında tesadüfen elde edilen deliller" başlıklı 28. maddesi ile 30. maddesinin gizli soruşturmacının tesadüfen elde ettiği deliller hakkındaki 2. fıkrasının ve 30. maddesinin başlığında yer alan "Tesadüfen elde edilen deliller ve ..." ibaresinin,
- "Gizli soruşturmacının çalışma ilkeleri" başlıklı 28. maddesinin,
iptali ve yürütülmesinin durdurulması istemiyle açılmıştır.
Danıştay Onuncu Dairesi'nin 16.10.2007 günlü, E:2007/2795 sayılı kararıyla; dava dilekçesinde öne sürülen hususların, Yönetmeliğin dava konusu edilen 5. maddesinin 1. fıkrasının, 10. maddesinin 4. fıkrasının, 22. maddesinin, 28. maddesinin 6. fıkrasının ve 30. maddesinin 2. fıkrasının yürütülmesinin durdurulmasını gerektirecek nitelikte olmadığı ve 2577 sayılı İdari Yargılama Usulü Yasası'nın 27. maddesinde öngörülen koşulların gerçekleşmediği sonucuna ulaşılarak, sözü edilen maddelerin yürütülmesinin durdurulması istemi reddedilmiş; buna karşılık, 5271 sayılı Yasa'nın 135. maddesinin 2. fıkrası ile 136. maddesinin 1. fıkrasına aykırı olarak, iletişimin denetlenmesi tedbirinin uygulama alanının genişletildiği gerekçesiyle Yönetmeliğin 7. maddesinin 4. fıkrasının son cümlesinin ve aynı maddenin 5. fıkrasında geçen "... suç şüphelisi olmayan..." ibaresinin; Anayasa ile güvence altına alınan haberleşme özgürlüğünün kısıtlanması biçiminde, olağanüstü bir yöntem olan iletişimin denetlenmesinin, 5271 sayılı Yasa'nın 135. maddesi gereğince belli bir süreyle uygulanabilmesine karşın, bu uygulamanın sınırsız olarak ertelenmesine olanak tanınmasının hukuka aykırı olduğu gerekçesiyle Yönetmeliğin 12. maddesinin 4. fıkrasının; 5271 sayılı Yasa'nın 139. maddesine aykırı biçimde, gizli soruşturmacının görevlendirilmesinde yetki karmaşasına neden olunduğu gerekçesiyle Yönetmeliğin 28. maddesinin 2. fıkrasının birinci cümlesinin; 5271 sayılı Yasa'nın 138. maddesinin 3. fıkrasına aykırı olduğu gerekçesiyle de Yönetmeliğin 28. maddesinin 3. fıkrasının yürütülmesi durdurulmuştur.
Davacı ve davalı idare, hukuka aykırı olduğu savıyla anılan karara itiraz etmektedirler.
"Muhakeme" kavramı, yalnızca yargılama usulünü değil, yargı yerinin uyuşmazlığın çözümü için yürüttüğü faaliyetten kaynaklanan hukuki ilişkilerin sujelerinin işlemlerini de içermektedir. "Ceza Muhakemesi"nin temel amacı, yargılanan kişinin hukuksal güvenliğinin gereği olarak yargılamanın nasıl yapılacağının gösterilmesinden başka, adil yargılama ilkesinin gereklerinin gözetilerek "maddi gerçeğin" ortaya çıkartılmasıdır. Bu bağlamda yargıcın yargılama faaliyetini yürütmesine ait şekil/yöntem kurallarının yanı sıra, ceza yargılamasının diğer sujelerinin eylemleri, işlemleri, hakları ve yükümlülükleri ile maddi gerçeğin araştırılması ve bulunması için öngörülen araçlar ile bu araçları kullanacaklar da ceza muhakemesine ilişkin düzenlemelerin kapsamındadır. Nitekim, 5271 sayılı Ceza Muhakemesi Yasası'nın 1. maddesinde de, bu Yasa'nın, ceza muhakemesinin nasıl yapılacağı hususundaki kurallar ile bu sürece katılan kişilerin hak, yetki ve yükümlülüklerini de düzenlediği belirtilmiştir. Dolayısıyla ceza muhakemesini düzenleyen kurallar yalnızca usul kurallarına değil, aynı zamanda maddi içeriğe de sahiptir.
"İdare Hukuku"nda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. Bu yönüyle idari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir. İdare Hukukunda "yetkisizlik kural, yetkili olma istisna"dır. Bu istisna ise, yetkinin, yalnızca yasayla gösterilen hallerde ve yine yasayla gösterilen idari merciler tarafından kullanılmasıdır. Bu nedenle "yetki" yasanın açık izni olmadan devredilemez. Anayasa'nın 123. maddesi uyarınca, kuruluş ve görevleri yasayla düzenlenmek durumunda olan idarenin kendi düzenleme yetkisi de yasalarla sınırlı olduğundan, yetki kuralları genişletici yoruma tabi tutulamaz.
Uyuşmazlığın çözümü için öncelikle Ceza Muhakemesi Yasaı kapsamında idarenin düzenleme yetkisinin sınırlarının belirlenmesi gerekmektedir. İtiraza konu kararda da vurgulandığı gibi, yargılama usulü ile ilgili konular yargı yerini ilgilendirdiği için, yargılama usulü yasalarının uygulanmasına ait alt düzeydeki normların konusu ve kapsamı ilgili yasa metninin lafzıyla sınırlıdır.
Buna karşılık idarenin, ceza muhakemesinin maddi içeriğine ait kuralların uygulanmasına ilişkin olarak düzenleme yetkisinin sınırlarını ise, öncelikle ve tartışılmaz biçimde yargılama yetkisi ve daha sonra da İdare Hukuku'nda "yetki"nin anlamı ve kapsamı oluşturmaktadır.
Bu durum, "Ceza Muhakemesi Kanununda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin Uygulanmasına İlişkin Yönetmelik" yönünden somutlaştırılabilir.
Örneğin, Yönetmeliğin 5. maddesinin dava konusu edilen 1. fıkrasında, bir suç dolayısıyla yapılan soruşturma ve kovuşturmada, suç işlendiğine ilişkin kuvvetli şüphe sebeplerinin varlığı ve başka bir yolla delil elde edilmesi olanağının bulunmaması durumunda şüpheli veya sanığın telekomünikasyon yoluyla iletişiminin denetlenebileceği belirtilmiştir. Getirilen bu kural ilk bakışta 5271 sayılı Ceza Muhakemesi Yasası'nın 135. maddesinin, hakimin, gecikmesinde sakınca bulunan durumlarda ise Cumhuriyet savcısının iletişimin denetlenmesi kararı verebilmesi için aradığı koşulların tekrarı niteliğindedir. Buna göre ceza hakimi, gecikmesinde sakınca bulunan durumlarda ise Cumhuriyet savcısı, suçun niteliğine ve eldeki delillere göre "suç işlendiğine ilişkin kuvvetli şüphe sebepleri"nin ve "başka suretle delil elde edilmesi olanağının bulunmadığı"nı değerlendirerek iletişimin denetlenmesi kararı verebilecektir. Yasa'nın bu kararın alınabilmesi için getirdiği koşulların anlamının ve kapsamının ise yargılama işlevinin gereği olarak hakim, gecikmesinde sakınca bulunan durumlarda da Cumhuriyet savcısı -ancak Cumhuriyet savcısının bu kararı onayına sunulacağından sonuçta yine hakim- tarafından belirleneceği açıktır. Ancak Yönetmeliğin, dava konusu edilmemekle birlikte, sözü edilen 5. maddesinin 1. fıkrasının uygulanmasında dikkata alınacak olan 4. maddesinin (c) fıkrasında, anlam ve kapsamının hakim tarafından belirleneceği yukarıda açıklanan "başka suretle delil elde edilmesi imkanının bulunmaması hali" davalı idare tarafından tanımlanmış; böylece davalı idarenin düzenleme yetkisinin sınırı aşılmıştır.
Öte yandan, 5271 sayılı Ceza Muhakemesi Yasası'nda yönetmelik ile belirlenecek ve gösterilecek hususlar açıkça belirtilmiştir. İletişimin denetlenmesi, gizli soruşturmacı ve teknik araçlarla izlemeye ilişkin bulunan 135-140. maddelerinde ise davalı idareye yönetmelik ile düzenleme yetkisi veren herhangi bir kural bulunmamaktadır. Bununla birlikte, 5271 sayılı Ceza Muhakemesi Yasası'nın 167. maddesinde, adli kolluk görevlilerinin "... nitelikleri ve bunların ... uzmanlık dallarına göre hangi bölümlerde çalıştırılacakları ve diğer hususlar"ın Adalet ve İçişleri Bakanlıkları tarafından çıkarılacak yönetmelikte belirlenmesi öngörülmüştür. 2559 sayılı Polis Vazife ve Selahiyet Yasası'nın ek 7. maddesinde ise, gerek bu maddede belirtilen telekomünikasyon yoluyla yapılan iletişime ilişkin işlemlerin, gerek Ceza Muhakemesi Yasası kapsamında yapılacak "dinlemeler"in Telekomünikasyon Kurumu bünyesinde "Telekomünikasyon İletişim Başkanlığı" adıyla kurulan tek bir Merkezden yapılması esası benimsenmiş; aynı maddenin son fıkrasında, bu maddenin uygulanmasına ilişkin esas ve usullerin ise Adalet, İçişleri ve Ulaştırma Bakanlıkları'nın görüşü alınarak Başbakanlık tarafından çıkarılacak yönetmelikle düzenleneceği belirtilmiş; bu doğrultuda, 10.11.2005 günlü, 25989 sayılı Resmi Gazete'de yayımlanan "Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkında Yönetmelik"in 12 ila 15. maddelerinde, dava konusu Yönetmelikte olduğu gibi, Ceza Muhakemesi Yasası gereğince iletişimin tespiti, denetlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınması hakkında kurallara yer verilmiştir.
Bu bağlamda, dava konusu Yönetmelik kurallarının hukuka uygunluğunun denetimi için, öncelikle davalı idarenin düzenleme yetkisinin sınırlarının yukarıda yapılan açıklamalar ve değinilen düzenlemeler çerçevesinde ortaya konulması ve yürütmenin durdurulması istemi hakkında buna göre karar verilmesi gerektiği açıktır.
Açıklanan nedenlerle, davacının ve davalı idarenin itirazlarının kabulüne, Danıştay Onuncu Dairesi'nce verilen ve yürütmenin durdurulması isteminin kısmen kabulüne, kısmen reddine ilişkin kararın kaldırılmasına, 15.5.2008 gününde oybirliği ile karar verildi.


BilgiEdinmeHakki.Org 2008 Raporu

Bilgi Edinme Hakkı Vatandaş Kullanım İstatistikleri (2004-2007): Bir BilgiEdinmeHakki.Org Değerlendirmesi

Basın Bülteni

BilgiEdinmeHakki.Org hem 2007 yılının değerlendirmesini hem de 2004-2007 yıllarının değerlendirmesini içeren bu raporu Ağustos 2008 içinde Türk kamuoyu ile paylaşmak için hazırladı. Bu raporun amacı BEDK tarafından hazırlanan ve TBMM tarafından yayınlanan yıllık raporun geçmiş yıllara göre değerlendirilmesi ve yorumlanması, raporlarda verilmeyen bazı bilgilerin kamuoyu ile paylaşılması ve uygulamada ortaya çıkan sorunları günışığına çıkarmaktır.


2004 yılında Bilgi Edinme Hakkı Kanunu’nu yürürlüğe sokan Devlet açıklık ve saydamlığın öneminin farkında olsa da, bu raporda da görüleceği gibi bu önemli hakkın kullanılmasında giderilmesi gereken çok büyük sorunlar vardır. Açıklık ve saydamlığın güvence altına alınması için ve Bilgi Edinme Hakkı Kanunu’nun uygulaması ile ilgili sorunların giderilmesi için Başbakanlığı, Hükümeti ve TBMM’yi göreve davet ediyoruz.

Bu 14 sayfalık BilgiEdinmeHakki.Org raporunu PDF dosyası olarak indirebilirsiniz:
http://www.bilgiedinmehakki.org/doc/BilgiEdinmeHakki_Org_Rapor_2008.pdf

İletişim: Doç. Dr. Yaman Akdeniz - akdeniz@bilgiedinmehakki.org

BilgiEdinmeHakki.Org (http://www.bilgiedinmehakki.org) Türkiye’de Bilgi Edinme Hakkı Kanunu'nun ilk uygulamalarından başlayarak “hakkın gereğince kullanımı” konusunda gözlem ve araştırmalar yapmak, bulguları kamuoyuyla paylaşmak, hakkın süjesi olanları da bu konuda bilgilendirmek amacıyla Ekim 2003 tarihinde kurulmuştur.

İNTERNET FİRMALARI ÇİN’DE “DAVRANIŞ KURALLARI” KONUSUNDA GÖRÜŞ BİRLİĞİ YAPTI!

8 Ağustos 2008 tarihinde Çin’de başlayan Olimpiyat Oyunları bakımından; İnternet liderleri olan Google, Yahoo ve Microsoft, Çin’de ve interneti sansürleyen diğer ülkelerde iş yapabilmek için “davranış kuralları ve bu kuralların zorunlu bileşenleri” hakkında anlaşma yapmaya yakın olduklarını açıkladılar.

Bu bileşenler ifade özgürlüğü ve mahremiyetin teşvik edilmesi, kılavuz ilkelerin hayata geçirilmesi ve hesap verilebilir (şeffaf) bir çerçevenin oluşturulması ilkelerini kapsamaktadır. Davranış Kurallarının özellikleri kapsamdaki kuruluşlar tarafından incelenmektedir. Google tarafından yapılan açıklamada “şirketler, kısıtlayıcı hükümetlerin ifade özgürlüğü ve kişisel mahremiyetin korunmasına ilişkin bu iyi uygulamaları göz ardı edemeyecekleri veya reddedemeyecekleri şekilde açık ve kesin ilkeler dizisi belirlemektedirler” denilmektedir.

Yine konuya ilişkin basın açıklamasında “Bu davranış kuralının ifade özgürlüğünün teşvik edilmesi ve inter kullanıcılarının tüm dünyada mahremiyetinin korunması şeklindeki ortak amaçlar doğrultusunda atılmış önemli bri adım olduğu” vurgulanmaktadır.

Şirketler davranış kuralları üzerinde insan hakları grupları, mahremiyet hukukçuları ve Vodafone ve France Telekom gibi Avrupa şirketleri ile bağlantılı olarak Ocak 2007 tarihinden beri çalışmaktadır.

Olimpiyat oyunları ise Çin’deki sansürü hakkındaki soruları artırmıştır. Özellikle Çin Hükümetinin gazetecilerin, kendi vatandaşlarından farklı olarak, internette araştırma yaparken tam özgürlüğe sahip olacaklarını garanti etmesine rağmen, Çin’deki memurların gazetecileri belirli sitelere erişimleri bakımından bloke etmeleri bu sorular iyice artmıştır.

SİGORTA VERİLERİNE “VERİ KORUMASIZ VERİ MERKEZİ”!

Başbakanlık Hazine Müsteşarlığı 9 Ağustos 2008 tarihli ve 26962 Sayılı Resmi Gazete’de “Sigorta Bilgi Merkezi Yönetmeliği” yayımladı.

Sözkonusu Yönetmeliğin amacı ve kapsamı; 3/6/2007 tarihli ve 5684 sayılı Sigortacılık Kanununun 24 üncü maddesinin 10. fıkrasına göre Türkiye Sigorta ve Reasürans Şirketleri Birliği bünyesinde tüzel kişiliği haiz olarak kurulan Sigorta Bilgi Merkezinin işleyişine ve sigorta şirketlerinin bu konudaki yükümlülüklerine ilişkin usul ve esasları düzenlemektir. Ancak aşağıdaki hükümler incelenddiğinde görülecektir ki; Sigorta Bilgi Merkezi’nin işleyiş usul ve esasları arasında veri koruması, mahremiyet ve bilgi güvenliği gibi kritik konular yer almamaktadır. Yönetmelikte yer alan hükümler hazırlanırken her ne kadar yasalaşmamış olsa da Meclis Altkomisyonunda bulunan Kişisel Verilerin Korunması Kanunu Tasarısı dikkate alınmadığı gibi, Anayasa’nın özel hayatın gizliliği hakkına ilişkin hükmü, Medeni Kanunun kişiliğin korunmasına ilişkin hükümleri ve kişisel verilerin hukuka aykırı olarak işlenmesini suç kabul eden ve yaptırımlarını düzenleyen Türk Ceza Kanunu md. 135 vd. hükümleri de göz ardı edilmiştir.


Kişisel Verilerin Korunması Kanunu Tasarısı’na yönelik olarak getirilen eleştirilerden biri de “veri havuzları oluşturulacağı” iddiasıydı. Oysa birçok yazımda ve konuşmamda Yasa Tasarısı’nın öncelikle adının ve amacının bu tür veri tabanları oluşturulmasının engellenmesi veya oluşturulacaksa buna ilişkin veri koruması hukuku ilkelerinin belirlenmesi olduğunu vurgulamıştım. Tasarı’ya yönelik eleştirilerin bu Yönetmelik bakımından daha güçlü bir şekilde yapılması gerektiği aşikardır. Bu tür Yönetmelikler Türkiye’de veri korumasına ilişkin ayrı ve özel bir yasa olmamasının olumsuz sonuçlarından sadece birisidir. Ancak; pozitif hukuk kurallarımızla bu tür yapılanmalara engel olmamız gerektiği de kaçınılmazdır. Yoksa “fişleme” olarak ifade ettiğimiz ve temel hak ve özgürlüklerimize yakıştıramadığımız eylem daha birçok kurumun birçok farklı uygulaması dolayısıyla karşımıza çıkacaktır.

Sigorta Bilgi Merkezi Yönetmeliği’nde yer alan hükümlere göz atacak olursak:

Yönetmelikte belirtilen görevleri yerine getirmek amacıyla merkezi İstanbul’da olacak Sigorta Bilgi Merkezi kurulmuştur. Kapsam dahilinde olan Hayat, Hastalık/Sağlık, Trafik Sigortaları, Zorunlu Sigortalar ve Birlik görüşü alınmak üzere Müsteşarlıkça belirlenen sigortalara ilişkin veriler ilgili alt bilgi merkezleri nezdinde tutulacaktır. İlgili branşta ruhsat sahibi sigorta şirketleri alt bilgi merkezlerinin doğal üyesidir. Alt Bilgi Merkezleri ise; Sigorta Bilgi Merkezi nezdinde ilgili sigortalar için kurulan bilgi merkezleridir. Merkez nezdinde kurulan alt bilgi merkezlerinin koordinasyonu Koordinasyon Komitesi tarafından yerine getirilir. Koordinasyon Komitesi; Merkez tarafından üretilen bilgi ve belgelerin yetkili kullanıcılar dışındaki diğer isteklilere bedeli mukabilinde veya bedelsiz olarak verilip verilmemesine karar vermek, Merkez tarafından sağlanan veya sigorta sektöründen elde edilen verileri toplulaştırarak uygun görülenleri Müsteşarlığın onayıyla yayımlamak

Burada sahadan toplanan her branştaki sigorta verilerinin, sahadan toplanmasına, işlenmesine ilişkin veri koruması ve mahremiyet ilkeleri belirlenmediği gibi, bu verilerin üçüncü kişi veya kurumlarla paylaşımına ilişkin ilkeler de mevcut değildir. Bu yukarıda sözünü ettiğimiz Anayasa ve ilgili diğer yasal hükümlerin ihlali anlamına gelmektedir.

Sigorta Bilgi Merkezi ve Alt Bilgi Merkezlerinde, Koordinasyon Komitesinde görev yapacak personel bakımından da; veri koruması, mahremiyet ve bilgi güvenliği konularında mutlaka bilgi ve deneyim sahibi olma şartı getirilmelidir.

Alt Bilgi Merkezleri arasında şu kurumlar yer almaktadır:

Trafik Sigortaları Bilgi Merkezi (TRAMER): Görevi ise; üye sigorta şirketlerinin zorunlu trafik, zorunlu taşımacılık ve zorunlu ferdi kaza sigortası sözleşmelerine ilişkin kayıtlarının tutulduğu bir veri tabanı oluşturmak, bu verilerin en çok bir günlük gecikmeyle üye sigorta şirketleri tarafından güncellenmesini sağlamak, Üye sigorta şirketlerinden bahsi geçen sigortalara ilişkin muallâk ve ödenmiş hasar verilerini güncellenmiş ve günlük olarak en çok bir günlük gecikmeyle almak ve bu kayıtları Merkez nezdindeki sigorta kayıtları ile ilişkilendirmek,

Hayat Sigortaları Bilgi Merkezinin amacı, hayat ve kaza branşları altında sunulan sigorta ürünlerine ilişkin güvenilir istatistiklerin üretilmesi, kamu gözetim ve denetiminin daha etkin bir şekilde yerine getirilmesidir. Üye sigorta şirketlerinin hayat ve kaza branşlarında düzenledikleri sigorta sözleşmelerine ilişkin kayıtların en çok bir gün gecikmeyle tutulduğu bir veri tabanını oluşturmak, sigorta sözleşmelerine taraf olan kurum ve kuruluşların, taraf oldukları sigorta sözleşmeleri ile sınırlı olmak kaydıyla, bilgi taleplerinin karşılanmasına yönelik olarak söz konusu kurum ve kuruluşlarla işbirliği yapmak, Yetkili kullanıcıların bilgi taleplerini karşılamak,

Sağlık Sigortası Bilgi Merkezinin amacı sağlık ve hastalık branşları altında sunulan sigorta ürünlerine ilişkin güvenilir istatistiklerin üretilmesi, kamu gözetim ve denetiminin daha etkin bir şekilde yerine getirilmesidir. Görevleri ise; Üye sigorta şirketlerinin sağlık ve hastalık branşlarında düzenledikleri sigorta sözleşmelerine ilişkin kayıtların en çok bir gün gecikmeyle tutulduğu bir veri tabanı oluşturmak, sigorta sözleşmelerine ilişkin muallâk ve ödenmiş hasar verilerini üye sigorta şirketlerinden en çok bir günlük gecikmeyle alarak Merkez nezdindeki sigorta kayıtları ile ilişkilendirmek, Üye sigorta şirketleri tarafından yapılacak risk değerlendirme sürecinin sağlıklı bir şekilde yapılabilmesini teminen, sigortalıya ait kayıtları üye sigorta şirketlerine bedelsiz olarak vermek, Yetkili kullanıcıların bilgi taleplerini karşılamak,

Üyelerin bilgi verme yükümlülüğüne ilişkin olarak öngörülen hükümde ise; “Üye sigorta şirketleri, Merkez tarafından kendilerinden istenen tüm bilgileri, doğru ve eksiksiz olarak, belirlenen şekilde ve sürelerde Merkeze iletmekle yükümlüdür. Üye sigorta şirketleri, zorunlu sigortalar, zorunlu trafik sigortası, zorunlu taşımacılık sigortası ve zorunlu ferdi kaza sigortası sözleşmelerine ait poliçe bilgileri ile güncellenmiş ve günlük muallâk ve ödenmiş hasarlara ve kaza tutanaklarına ilişkin bilgileri Merkez tarafından hazırlanarak Müsteşarlık tarafından onaylanan veri yapısında ve en çok bir günlük gecikmeyle Merkeze iletmek zorundadır. Üye sigorta şirketleri, Yönetim Komitesi kararı üzerine ihtiyari trafik sigortası, kasko sigortası ve Birlik görüşü alınmak üzere Müsteşarlıkça belirlenen sigorta sözleşmelerine ait içeriği ve veri yapısı Birlik tarafından belirlenen poliçe bilgileri ile güncellenmiş ve günlük muallâk ve ödenmiş hasar verilerini en çok bir günlük gecikmeyle Merkeze iletmek zorundadır. Üye sigorta şirketleri, Merkez tarafından, hatalı olarak gönderildiği tespit edilen bilgileri gecikmeksizin düzeltmek ve düzeltme kayıtlarını en çok bir günlük gecikmeyle Merkeze iletmek zorundadır”.

Sigortalılara taraf oldukları sigorta sözleşmeleri ile ilgili özet sigorta ve hasar bilgilerine internet ortamında erişim imkânı sağlanacağı öngörülmektedir. Burada da bu erişime ilişkin güvenlik kriteleri belirlenmiştir. Özellikle kimlik tespiti, kimlik doğrulaması, yetkilendirme gibi konulara ilişkin hüküm yoktur.

Bilgilere erişim hakkı bakımından teknik ve hukuki ilkelerin belirlenmesi gereken diğer hükümler ise şunlardır:
“Münhasıran çalışma konuları ile ilgili olmak üzere Merkez nezdinde tutulan bilgilere dışarıdan erişim tanınacak yetkili kullanıcılar ve erişebilecekleri kayıtların içeriği ile erişim şekli Müsteşarlıkça belirlenir.

Kurallara uymayan yetkili kullanıcıların sisteme erişimleri ve bilgi kayıtlarından yararlanmaları, Müsteşarlığın onayına tabi olmak üzere ilgili Yönetim Komitesi kararıyla sınırlandırılır. Bu durumun süreklilik göstermesi halinde, bu kişilerin sisteme erişim ve bilgi kayıtlarından yararlanma yetkileri Müsteşarlığın onayına tabi olmak üzere ilgili Yönetim Komitesi kararıyla kaldırılır.

Merkez nezdinde tutulan bilgileri talep eden yetkili kullanıcılar dışındaki diğer isteklilerin talepleri ilgili Yönetim Komitesi tarafından karara bağlanır. Bu fıkra kapsamında verilecek bilgilerin içeriği Müsteşarlık tarafından belirlenir.

İlgili Yönetim Komitesi, yetkili kullanıcılar dışındaki diğer isteklilerin sahip oldukları bilgileri belirlenen amaç doğrultusunda kullanmalarını teminen gerekli tedbirleri alır.

İkinci ve dördüncü fıkralar kapsamında tanınacak erişimin ve/veya verilecek bilgilerin ücretinin belirlenmesine veya ücretsiz olarak sağlanmasına ilgili Yönetim Komitesinin görüşü üzerine Koordinasyon Komitesince karar verilir. Münhasıran çalışma konuları ile ilgili olmak üzere kamu kurum ve kuruluşlarına bu madde kapsamında sağlanan hizmet ücrete tabi değildir”
.

Avrupa İnsan Hakları Mahkemesi Finlandiya’yı Kişisel Sağlık Verilerinin İhlali Yüzünden Para Cezasına Çarptırdı

Avrupa İnsan Hakları Mahkemesi Finlandiya Hükümetini, bir hastanın gizli tıbbi kayıtlarını yeteri ölçüde koruyamadığı ve güvenliğini sağlayamadığı için, vatandaşının kişisel verilerini korumakta ihmali olduğu gerekçesiyle 34.000 € ödemeye mahkum etmiştir.

Veri güvenliği ve insan haklarına ilişkin Avrupa İnsan Hakları Sözleşmesinin (AİHS) 8. Maddesine istinad eden bu dava, önemli bir emsal karar oluşturacaktır.

Mahkeme kararın gerekçesini “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir” şeklinde içeriğe sahip olan AİHS md. 8’e dayandırmıştır. Karar, tıbbi verilerin güvenliğinin özel hayatın önemli bir bileşeni olduğunun tartışmasız olduğunu vurgulamaktadır.

Kararda Finlandiya’nın hasta bilgilerini korumada ihmal gösterdiği ve bu nedenle bir hemşireye 14.000 € tazminat ve 20.000 € masraf ödemesi gerektiğine hükmedilmiştir.

Karara konu teşkil eden olayda, kamu hastanesinde 1989 ve 1994 yılları arasında bir dizi belirli süreli sözleşme ile çalışan bir hemşire, bu dönem zarfında kendisine HIV teşhisi konulduğu için, aynı hastanenin bulaşıcı hastalıklar kliniğine düzenli olarak ziyaretlerde bulunmuştur.

1992 yılında hastanenin oftalmoloji (göz) departmanında görevli bir arkadaşı tarafından, kendi hasta kayıtlarına erişildiği ortaya çıkmıştır. Üç yıl sonra da hastane ile olan sözleşmesi yenilenmemiştir.

Hemşire, hastalığı ile ilgili haberlerin diğer çalışanlar tarafından da duyulduğundan şüphelenmeye başlamış ve tıbbi verilerine kimin, ne zaman eriştiği konusunda detayları istemiştir. Sağlık kurumu sadece kayıtlara erişen son beş kişiye ilişkin not tutmuştur.

Mahkeme kamu kurumlarının ve devletin, mahrem olarak saklanması gereken verileri, mahrem olarak saklamakta başarısız oldukları takdirde Konvansiyonu ihlal edeceklerine hükmetmiştir.

Olaydaki hemşire verilerin kasden yayınlandığını kanıtlamakla yükümlü değildir. Bu verilerin güvenli bir şekilde saklanmalarındaki başarısızlık, Konvansiyonun ihlali için yeterli olmaktadır.

Strasbourg Mahkemesi oybirliği ile sağlık kuruluşunun, hemşirenin tedavisi ile ilgili olmayan diğer personel tarafından hemşirenin gizli sağlık bilgilerine erişilmesine engel olacak bir sistem kurmaktaki ihmali yüzünden, AİHS md. 8’i ihlal ettiğine karar vermiştir.

İlk derece mahkemesi hemşirenin kayıtlarına hukuka aykırı olarak girildiğine ilişkin güçlü deliller olmaması yüzünden hemşirenin davasını reddettiği için, hemşire ilk derece mahkemesinde görülen davayı kaybetmişti. İstinaf müracaatını da kaybetmiş ve davasını Finlandiya Yargıtay’ına götürmesine de izin verilmemişti.

AİH Mahkemesi buna rağmen, Finlandiya’da herhangi bir olay meydana geldiğinde, tıbbi verilerin uygun bir şekilde korunmasını gerektiren mahremiyet yasalarının yürürlükte olduğunun altını çizmiştir. Eğer bu kurallar sıkı bir şekilde takip edilseydi, hemşirenin tıbbi kayıtları yeteri ölçüde korunmuş olacaktı.

Mahkeme Finandiya yasaları bakımından, kayıtlarına uygun olmayan bir şekilde erişildiğinin ispatı yükünü hemşireye atfetmenin haksız olduğunu vurgulamıştır.
Ek olarak mahkeme, bilgiler ifşa edildiğinde dava açma hakkının varlığının, ilk planda mahremiyetin korunması ile aynı olmadığını ifade etmiştir: “Bu bağlamda ilk planda herhangi bir yetkisiz erişim olasılığını bertaraf etmek için pratik ve efektif bir koruma sağlamak gerekirdi. Ancak somut olayda bu tür bir koruma mevcut değildir”.

Mahkeme kurumların, elektronik hasta kayıtlarına erişim ve güvenlik mekanizmalarının, yetkisiz veri erişimleri olasılığına karşı sağlam olup olmadığını tekrar kontrol etmeleri gerektiğini asgari olarak talep etmiştir.

Bu dava kişisel verilerin korunması ve insan hakları hukuku çerçevesinde bir kişinin mahremiyet hakkı arasında hayati bir bağ oluşturmuştur. Mahkemenin verdiği karar, insan hakları çerçevesinde kişisel verilerin güvenliğine atıf yaptığı için önem taşımaktadır. Kurumların güvenlik ve mahremiyet uygulamaları ve prosedürleri bakımından proaktif olmaları gerekmektedir.

Avrupa Veri Koruması Mevzuatı Amaçlara Uygun Değil!

Birleşik Krallık Uluslararası Tartışma için Çağrı Yaptı

Veri Koruması Görevlileri Ofisi (ICO) Avrupa’daki veri koruması yasalarına ilişkin olarak uluslararası tartışma çağrısında bulundu.

ICO, bağımsız beyin takımı RAND Europe’u, Avrupa Veri Koruması mevzuatının SWOT analizini yapmak ve bu sayede reform için gerekli olan konuları belirlemekle görevlendirdi. ICO’ya göre; mevcut AB Veri Koruması Direktifi “artık amaçlara uygun değildir” ve Avrupa Veri Koruması mevzuatının “21. Yüzyılın teknik ve sosyal değişimlerini ve gereksinimlerini karşılayacak şekilde modernize edilmeye ihtiyacı vardır”. AB veri koruması mevzuatı artık gittikçe demode, bürokratik ve aşırı ölçüde katı olarak değerlendirilmektedir.


Direktifin ve veri korumasına ilişkin ilgili diğer mevzuatın hazırlandıkları tarihler dikkate alındığında, bu hükümlerin artık mahremiyete ilişkin yeni sorunları cevaplamakta başarısız olduğu görülecektir. Örneğin; kişisel verilerin sınır ötesi transferleri ve online kişisel bilgilerin hacmindeki büyük artış gibi.

RAND Europe tarafından yapılacak araştırma “hızlı değişen bilgi toplumunda” tüketici haklarının nasıl geliştirileceğine de yoğunlaşacaktır. Araştırma AB organlarına, ulusal hükümetlere ve veri koruması topluluklarına, mahremiyet ve kişisel verilerin korunmasına ilişkin düzenleyici yaklaşımların geliştirilmesine hizmet edecek teklifler sunacaktır. Direktifte bu doğrultuda yapılacak değişikliklerden biri örneğin; kurumları veri ihlallerini ifşa etmeye zorlamak olacaktır.

RAND Europe’un hedeflediği bu değişiklik Amerika’da halihazırda eyalet bazında mevcuttur. 1 Temmuz 2003 yılında yürürlüğe giren California Güvenlik İhlali Uyarı Yasasına göre; California’da yerleşik kişilere ilişkin verileri bilgisayarlarda muhafaza eden herhangi bir işletmenin, bu kişilere ait şifrelenmemiş veriler yetkisiz olarak bir başkası tarafından elde edildiğinde, bu kişileri uyarması zorunlu olmaktadır. Amerikan Hukukunda bu kuralın federal bazda da geçerli olması için Amerika’da Sağlık Alt Komitesi tarafından 25 Haziran 2008 tarihinde onaylanan H.R. 6357, “Kayıtların Korunması, Tedavinin Optimizasyonu ve Sağlık Teknolojisi Yasası 2008 aracılığıyla Paylaşımın Kolaylaştırılması” veya PRO(TECH)T Yasası şu sıralar oylanmak üzere Üst Komite önündedir. Bu Yasada Section 302’de yer alan İhlal durumunda uyarı kenar başlıklı hüküm şifrelenmemiş Korunan Sağlık Bilgilerinin ihlali halinde, kapsamdaki kuruluşun, bilgileri ihlal edilen veya ihlal edildiğine inanan kişilere uyarıda bulunma yükümlülüğü getirmektedir.

RAND Europe tarafından yürütülen çalışma, 2009 baharında tartışmaya hazır hale gelecektir.

Kişisel verilerin korunmasına yönelik olarak yasal sürecin devam ettiği ülkemizde de, halihazırda Meclis Altkomisyonunda bulunan Kişisel Verileirn Korunması Kanunu Tasarısı bakımından, Tasarının özünü oluşturan AB 95/46 Sayılı Veri Koruması Direktifi ve ilgili diğer AB mevzuatı bakımından gerek Avrupa Birliğinde gerek Amerika’da özellikle son günlerde yoğun bir şekilde tartışılan konuların ve yürürlüğe girmesi planlanan yasal metinlerin sıkı bir şekilde takip edilmesi gerekmektedir.

TELEKOMÜNİKASYON KURUMU’ndan ELEKTRONİK HABERLEŞME YÖNETMELİĞİ

20 Temmuz 2008 tarihli ve 26942 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği, Telekulak iddialarını tartıştığımız dönemde gündeme gelen GSM operatörlerine bu konuda düşen yükümlülükler, bu operatörlerin haberleşmenin güvenliğine yönelik yüksek teknoloji tehditleri veya suçları karşısında, teknolojik altyapı olarak siber tehdit veya suçlarla mücadele etmeye ne kadar hazır oldukları gibi sorulara cevap vermektedir.
Yönetmelikte yer alan hükümler ve teknolojik olarak çizilen koruma çerçevesi aşağıdaki gibidir:


Telekomünikasyon Kurumundan:
ELEKTRONİK HABERLEŞME GÜVENLİĞİ YÖNETMELİĞİ

BİRİNCİ BÖLÜM
Genel Hükümler
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı, elektronik haberleşme güvenliğine ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.
(2) Kişisel bilgilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 4/2/1924 tarihli ve 406 sayılı Telgraf ve Telefon Kanununun 2 ve 4 üncü maddesi ile 5/4/1983 tarihli ve 2813 sayılı Telsiz Kanununun 7 nci maddesine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Donanım-yazılım: Elektronik haberleşme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan taşınabilir ve sabit diskler ile bunlarda kullanılan yazılım bileşenlerini,
b) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,
c) Elektronik haberleşme altyapısı: Elektronik haberleşmenin, üzerinden veya aracılığıyla gerçekleştirildiği anahtarlama ekipmanları, donanım ve yazılımlar, terminaller ve hatlar da dahil olmak üzere her türlü şebeke birimlerini,
ç) Elektronik haberleşme hizmeti: Elektronik haberleşme tanımına giren faaliyetlerin bir kısmının veya tamamının hizmet olarak sunulmasını,
d) Elektronik haberleşme şebekesi: Bir veya daha fazla nokta arasında elektronik haberleşmeyi sağlamak için bu noktalar arası bağlantıyı teşkil eden anahtarlama ekipmanları ve hatlar da dahil olmak üzere her türlü iletim sistemleri ağını,
e) Güvenlik hassasiyetli alan: Elektronik haberleşme altyapısının işletmeci kontrolündeki bölümlerini,
f) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,
g) Kurul: Telekomünikasyon Kurulunu,
ğ) Kurum: Telekomünikasyon Kurumunu,
h) Şifreleme: Veri muhteviyatının, yalnızca yetkili kişi ya da kurumlarca veya haberleşmeyi gerçekleştiren taraflarca bilinmesini sağlamak ve üçüncü şahıslarca elde edilmesini önlemek üzere, söz konusu verinin formunun özel bir şablona göre değiştirilmesini,
ı) Veri: Abone ya da kullanıcının elektronik haberleşme şebekesi üzerindeki konum, zaman, trafik bilgileri ile elektronik haberleşmenin içeriğini,
i) Veri güvenliği: Verinin gizliliği, bütünlüğü ve devamlılığının sağlanmasını
ifade eder.
İlkeler
MADDE 5 – (1) Bu Yönetmeliğin uygulanmasında aşağıda belirtilen temel ilkeler gözetilir:
a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, ayrım gözetmeme, düzenlilik, şeffaflık ve kaynakların etkin kullanılması,
b) Tüketici haklarının korunması,
c) Hizmet kalitesinin yükseltilmesi,
ç) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması.

İKİNCİ BÖLÜM
Elektronik Haberleşme Güvenliği Usul ve Esasları

Tehdit ve zafiyetler
MADDE 6 – (1) Elektronik haberleşmeye ilişkin başlıca tehditler;
a) Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi,
b) Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması,
c) Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,
ç) Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali,
d) Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi,
e) Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi,
f) Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi,
g) Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir.
(2) Elektronik haberleşmeye ilişkin başlıca zafiyetler;
a) Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi,
b) Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,
c) Bir sistem veya protokolün kurulumu sırasında oluşan problemler,
ç) Geliştiricilerin hataları,
d) Uygulayıcıların hataları,
e) Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir.
Fiziksel alan güvenliği
MADDE 7 – (1) Bina içi güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Giriş ve erişim yetkisi ile bu yetkinin kapsamı işletmeci tarafından önceden tanımlanarak, giriş ve erişim sadece yetkili kişilerle sınırlandırılır.
b) Ziyaretçi giriş ve çıkışlarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girişi ve çıkışı sağlanır.
c) Tüm personel ve personel harici kişiler, kimlik bilgilerini, yetki ve erişim seviyelerini açık bir şekilde görünür kılacak giriş veya kimlik kartı taşır.
ç) Güvenlik hassasiyetli alanlara giriş ve erişim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir.
(2) Bina dışı güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Sahada yer alan, elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulur ve yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilir.
b) Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.
(3) Güvenlik hassasiyetli alanlarda ilave olarak aşağıdaki tedbirler alınır:
a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamış çalışmalardan kaçınılır.
b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girişini engellemek amacıyla gerekli önlemler alınır.
c) Güvenlik hassasiyetli alanların, tehditlere karşı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.
Personel güvenilirliği
MADDE 8 – (1) Elektronik haberleşme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da eğitim almış olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.
(2) Elektronik haberleşme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.
(3) Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.
Veri güvenliği
MADDE 9 – (1) Veri güvenliği aşağıdaki hükümler uyarınca sağlanır:
a) Veri erişim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.
b) Yetki sınırları dahilinde erişim sağlanması için kullanılacak teknolojilerin seçimi, işletmecinin tasarrufundadır.
Donanım-yazılım güvenliği ve güvenilirliği
MADDE 10 – (1) Elektronik haberleşme altyapılarında kullanılan donanım-yazılım güvenliği ve güvenilirliği aşağıdaki hükümler uyarınca sağlanır:
a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.
b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bileşenleri arasındaki iç haberleşmeyi sağlayan kablolu ve/veya kablosuz ağ yönetimi sadece yetkili kişiler tarafından erişilecek şekilde şifrelenir.
c) Donanım-yazılım bileşenleri, herhangi bir güvenlik tehdidinin gerçekleşmesini önlemek üzere kontrol ve izleme altında tutulur.
ç) Donanım-yazılım bileşenlerinin, yasal olmayan elektronik haberleşme dinleme ve/veya izleme tehdidi oluşturacak unsurları içerip içermediğini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bileşenlerinde bu tür bir unsurun varlığının saptanması durumunda ilgili bileşenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve oluşan tehdidi bertaraf edecek önlemler ivedilikle alınır.
d) İşletmeci, elektronik haberleşmenin gizliliği, bütünlüğü ve devamlılığının sağlanması için kritik donanım-yazılım bileşenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bileşenlerinin yedekli çalışması esastır.

ÜÇÜNCÜ BÖLÜM
İşletmecilerin Yükümlülükleri
Elektronik haberleşme güvenliğini sağlama yükümlülüğü
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
(2) İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alır.
Kuruma bilgi verme yükümlülüğü
MADDE 12 – (1) Elektronik haberleşme güvenliğine ilişkin rapor her yıl yenilenir ve Şubat ayı sonuna kadar Kuruma gönderilir. Söz konusu rapor;
a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri,
b) Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem planlarını,
c) Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları
içerir.
Alt yüklenici firmadan sorumlu olma yükümlülüğü
MADDE 13 – (1) Alt yüklenici firma ile çalışılması halinde, alt yüklenici firma tarafından bu Yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin işletmeci tarafından yapıldığı kabul edilir.

DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Müeyyideler
MADDE 14 – (1) Bu Yönetmelik hükümlerinin ihlali durumunda; 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelikte söz konusu ihlale karşılık gelen idari para ceza oranları uygulanır. İdari para cezalarının uygulanması, tahsili, ihlalin tekerrürü gibi durumlarda, söz konusu Yönetmelik hükümleri uygulanır.
(2) Birinci fıkrada belirtilen Yönetmelikte yer almayan; haberleşmenin güvenliğine yönelik tehdit ve zafiyetlere ilişkin gerekli önlemlerin alınmaması ile bina içi ve dışı güvenlik hassasiyetli alanlarda yeterli önlemlerin alınmaması durumunda işletmecinin bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar idari para cezası uygulanır. Kurul tarafından gerekli görülen durumlarda idari para cezası verilmeden önce, ilgili işletmeciye söz konusu durumun düzeltilmesi için yeterli süre verilebilir.
Standarda uygunluğu sağlama
GEÇİCİ MADDE 1 – (1) Bu Yönetmeliğin yayımlanmasından önce yetkilendirilen işletmeciler, Yönetmeliğin yayımı tarihinden itibaren bir yıl içerisinde 11 inci maddede belirtilen standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Yürürlük
MADDE 15 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Yönetmelik hükümlerini Telekomünikasyon Kurulu Başkanı yürütür.