Avrupa Veri Koruması Mevzuatı Amaçlara Uygun Değil!

Birleşik Krallık Uluslararası Tartışma için Çağrı Yaptı

Veri Koruması Görevlileri Ofisi (ICO) Avrupa’daki veri koruması yasalarına ilişkin olarak uluslararası tartışma çağrısında bulundu.

ICO, bağımsız beyin takımı RAND Europe’u, Avrupa Veri Koruması mevzuatının SWOT analizini yapmak ve bu sayede reform için gerekli olan konuları belirlemekle görevlendirdi. ICO’ya göre; mevcut AB Veri Koruması Direktifi “artık amaçlara uygun değildir” ve Avrupa Veri Koruması mevzuatının “21. Yüzyılın teknik ve sosyal değişimlerini ve gereksinimlerini karşılayacak şekilde modernize edilmeye ihtiyacı vardır”. AB veri koruması mevzuatı artık gittikçe demode, bürokratik ve aşırı ölçüde katı olarak değerlendirilmektedir.


Direktifin ve veri korumasına ilişkin ilgili diğer mevzuatın hazırlandıkları tarihler dikkate alındığında, bu hükümlerin artık mahremiyete ilişkin yeni sorunları cevaplamakta başarısız olduğu görülecektir. Örneğin; kişisel verilerin sınır ötesi transferleri ve online kişisel bilgilerin hacmindeki büyük artış gibi.

RAND Europe tarafından yapılacak araştırma “hızlı değişen bilgi toplumunda” tüketici haklarının nasıl geliştirileceğine de yoğunlaşacaktır. Araştırma AB organlarına, ulusal hükümetlere ve veri koruması topluluklarına, mahremiyet ve kişisel verilerin korunmasına ilişkin düzenleyici yaklaşımların geliştirilmesine hizmet edecek teklifler sunacaktır. Direktifte bu doğrultuda yapılacak değişikliklerden biri örneğin; kurumları veri ihlallerini ifşa etmeye zorlamak olacaktır.

RAND Europe’un hedeflediği bu değişiklik Amerika’da halihazırda eyalet bazında mevcuttur. 1 Temmuz 2003 yılında yürürlüğe giren California Güvenlik İhlali Uyarı Yasasına göre; California’da yerleşik kişilere ilişkin verileri bilgisayarlarda muhafaza eden herhangi bir işletmenin, bu kişilere ait şifrelenmemiş veriler yetkisiz olarak bir başkası tarafından elde edildiğinde, bu kişileri uyarması zorunlu olmaktadır. Amerikan Hukukunda bu kuralın federal bazda da geçerli olması için Amerika’da Sağlık Alt Komitesi tarafından 25 Haziran 2008 tarihinde onaylanan H.R. 6357, “Kayıtların Korunması, Tedavinin Optimizasyonu ve Sağlık Teknolojisi Yasası 2008 aracılığıyla Paylaşımın Kolaylaştırılması” veya PRO(TECH)T Yasası şu sıralar oylanmak üzere Üst Komite önündedir. Bu Yasada Section 302’de yer alan İhlal durumunda uyarı kenar başlıklı hüküm şifrelenmemiş Korunan Sağlık Bilgilerinin ihlali halinde, kapsamdaki kuruluşun, bilgileri ihlal edilen veya ihlal edildiğine inanan kişilere uyarıda bulunma yükümlülüğü getirmektedir.

RAND Europe tarafından yürütülen çalışma, 2009 baharında tartışmaya hazır hale gelecektir.

Kişisel verilerin korunmasına yönelik olarak yasal sürecin devam ettiği ülkemizde de, halihazırda Meclis Altkomisyonunda bulunan Kişisel Verileirn Korunması Kanunu Tasarısı bakımından, Tasarının özünü oluşturan AB 95/46 Sayılı Veri Koruması Direktifi ve ilgili diğer AB mevzuatı bakımından gerek Avrupa Birliğinde gerek Amerika’da özellikle son günlerde yoğun bir şekilde tartışılan konuların ve yürürlüğe girmesi planlanan yasal metinlerin sıkı bir şekilde takip edilmesi gerekmektedir.

TELEKOMÜNİKASYON KURUMU’ndan ELEKTRONİK HABERLEŞME YÖNETMELİĞİ

20 Temmuz 2008 tarihli ve 26942 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği, Telekulak iddialarını tartıştığımız dönemde gündeme gelen GSM operatörlerine bu konuda düşen yükümlülükler, bu operatörlerin haberleşmenin güvenliğine yönelik yüksek teknoloji tehditleri veya suçları karşısında, teknolojik altyapı olarak siber tehdit veya suçlarla mücadele etmeye ne kadar hazır oldukları gibi sorulara cevap vermektedir.
Yönetmelikte yer alan hükümler ve teknolojik olarak çizilen koruma çerçevesi aşağıdaki gibidir:


Telekomünikasyon Kurumundan:
ELEKTRONİK HABERLEŞME GÜVENLİĞİ YÖNETMELİĞİ

BİRİNCİ BÖLÜM
Genel Hükümler
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı, elektronik haberleşme güvenliğine ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.
(2) Kişisel bilgilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 4/2/1924 tarihli ve 406 sayılı Telgraf ve Telefon Kanununun 2 ve 4 üncü maddesi ile 5/4/1983 tarihli ve 2813 sayılı Telsiz Kanununun 7 nci maddesine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Donanım-yazılım: Elektronik haberleşme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan taşınabilir ve sabit diskler ile bunlarda kullanılan yazılım bileşenlerini,
b) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,
c) Elektronik haberleşme altyapısı: Elektronik haberleşmenin, üzerinden veya aracılığıyla gerçekleştirildiği anahtarlama ekipmanları, donanım ve yazılımlar, terminaller ve hatlar da dahil olmak üzere her türlü şebeke birimlerini,
ç) Elektronik haberleşme hizmeti: Elektronik haberleşme tanımına giren faaliyetlerin bir kısmının veya tamamının hizmet olarak sunulmasını,
d) Elektronik haberleşme şebekesi: Bir veya daha fazla nokta arasında elektronik haberleşmeyi sağlamak için bu noktalar arası bağlantıyı teşkil eden anahtarlama ekipmanları ve hatlar da dahil olmak üzere her türlü iletim sistemleri ağını,
e) Güvenlik hassasiyetli alan: Elektronik haberleşme altyapısının işletmeci kontrolündeki bölümlerini,
f) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,
g) Kurul: Telekomünikasyon Kurulunu,
ğ) Kurum: Telekomünikasyon Kurumunu,
h) Şifreleme: Veri muhteviyatının, yalnızca yetkili kişi ya da kurumlarca veya haberleşmeyi gerçekleştiren taraflarca bilinmesini sağlamak ve üçüncü şahıslarca elde edilmesini önlemek üzere, söz konusu verinin formunun özel bir şablona göre değiştirilmesini,
ı) Veri: Abone ya da kullanıcının elektronik haberleşme şebekesi üzerindeki konum, zaman, trafik bilgileri ile elektronik haberleşmenin içeriğini,
i) Veri güvenliği: Verinin gizliliği, bütünlüğü ve devamlılığının sağlanmasını
ifade eder.
İlkeler
MADDE 5 – (1) Bu Yönetmeliğin uygulanmasında aşağıda belirtilen temel ilkeler gözetilir:
a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, ayrım gözetmeme, düzenlilik, şeffaflık ve kaynakların etkin kullanılması,
b) Tüketici haklarının korunması,
c) Hizmet kalitesinin yükseltilmesi,
ç) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması.

İKİNCİ BÖLÜM
Elektronik Haberleşme Güvenliği Usul ve Esasları

Tehdit ve zafiyetler
MADDE 6 – (1) Elektronik haberleşmeye ilişkin başlıca tehditler;
a) Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi,
b) Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması,
c) Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,
ç) Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali,
d) Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi,
e) Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi,
f) Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi,
g) Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir.
(2) Elektronik haberleşmeye ilişkin başlıca zafiyetler;
a) Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi,
b) Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,
c) Bir sistem veya protokolün kurulumu sırasında oluşan problemler,
ç) Geliştiricilerin hataları,
d) Uygulayıcıların hataları,
e) Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir.
Fiziksel alan güvenliği
MADDE 7 – (1) Bina içi güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Giriş ve erişim yetkisi ile bu yetkinin kapsamı işletmeci tarafından önceden tanımlanarak, giriş ve erişim sadece yetkili kişilerle sınırlandırılır.
b) Ziyaretçi giriş ve çıkışlarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girişi ve çıkışı sağlanır.
c) Tüm personel ve personel harici kişiler, kimlik bilgilerini, yetki ve erişim seviyelerini açık bir şekilde görünür kılacak giriş veya kimlik kartı taşır.
ç) Güvenlik hassasiyetli alanlara giriş ve erişim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir.
(2) Bina dışı güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Sahada yer alan, elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulur ve yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilir.
b) Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.
(3) Güvenlik hassasiyetli alanlarda ilave olarak aşağıdaki tedbirler alınır:
a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamış çalışmalardan kaçınılır.
b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girişini engellemek amacıyla gerekli önlemler alınır.
c) Güvenlik hassasiyetli alanların, tehditlere karşı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.
Personel güvenilirliği
MADDE 8 – (1) Elektronik haberleşme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da eğitim almış olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.
(2) Elektronik haberleşme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.
(3) Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.
Veri güvenliği
MADDE 9 – (1) Veri güvenliği aşağıdaki hükümler uyarınca sağlanır:
a) Veri erişim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.
b) Yetki sınırları dahilinde erişim sağlanması için kullanılacak teknolojilerin seçimi, işletmecinin tasarrufundadır.
Donanım-yazılım güvenliği ve güvenilirliği
MADDE 10 – (1) Elektronik haberleşme altyapılarında kullanılan donanım-yazılım güvenliği ve güvenilirliği aşağıdaki hükümler uyarınca sağlanır:
a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.
b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bileşenleri arasındaki iç haberleşmeyi sağlayan kablolu ve/veya kablosuz ağ yönetimi sadece yetkili kişiler tarafından erişilecek şekilde şifrelenir.
c) Donanım-yazılım bileşenleri, herhangi bir güvenlik tehdidinin gerçekleşmesini önlemek üzere kontrol ve izleme altında tutulur.
ç) Donanım-yazılım bileşenlerinin, yasal olmayan elektronik haberleşme dinleme ve/veya izleme tehdidi oluşturacak unsurları içerip içermediğini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bileşenlerinde bu tür bir unsurun varlığının saptanması durumunda ilgili bileşenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve oluşan tehdidi bertaraf edecek önlemler ivedilikle alınır.
d) İşletmeci, elektronik haberleşmenin gizliliği, bütünlüğü ve devamlılığının sağlanması için kritik donanım-yazılım bileşenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bileşenlerinin yedekli çalışması esastır.

ÜÇÜNCÜ BÖLÜM
İşletmecilerin Yükümlülükleri
Elektronik haberleşme güvenliğini sağlama yükümlülüğü
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
(2) İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alır.
Kuruma bilgi verme yükümlülüğü
MADDE 12 – (1) Elektronik haberleşme güvenliğine ilişkin rapor her yıl yenilenir ve Şubat ayı sonuna kadar Kuruma gönderilir. Söz konusu rapor;
a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri,
b) Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem planlarını,
c) Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları
içerir.
Alt yüklenici firmadan sorumlu olma yükümlülüğü
MADDE 13 – (1) Alt yüklenici firma ile çalışılması halinde, alt yüklenici firma tarafından bu Yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin işletmeci tarafından yapıldığı kabul edilir.

DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Müeyyideler
MADDE 14 – (1) Bu Yönetmelik hükümlerinin ihlali durumunda; 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelikte söz konusu ihlale karşılık gelen idari para ceza oranları uygulanır. İdari para cezalarının uygulanması, tahsili, ihlalin tekerrürü gibi durumlarda, söz konusu Yönetmelik hükümleri uygulanır.
(2) Birinci fıkrada belirtilen Yönetmelikte yer almayan; haberleşmenin güvenliğine yönelik tehdit ve zafiyetlere ilişkin gerekli önlemlerin alınmaması ile bina içi ve dışı güvenlik hassasiyetli alanlarda yeterli önlemlerin alınmaması durumunda işletmecinin bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar idari para cezası uygulanır. Kurul tarafından gerekli görülen durumlarda idari para cezası verilmeden önce, ilgili işletmeciye söz konusu durumun düzeltilmesi için yeterli süre verilebilir.
Standarda uygunluğu sağlama
GEÇİCİ MADDE 1 – (1) Bu Yönetmeliğin yayımlanmasından önce yetkilendirilen işletmeciler, Yönetmeliğin yayımı tarihinden itibaren bir yıl içerisinde 11 inci maddede belirtilen standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Yürürlük
MADDE 15 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Yönetmelik hükümlerini Telekomünikasyon Kurulu Başkanı yürütür.

ELEKTRONİK KEŞFE İLİŞKİN AMERİKAN FEDERAL MEDENİ YARGILAMA KURALLARINDA YAPILAN 2008 DEĞİŞİKLİKLERİ

Amerikan Kongresi, Federal Medeni Yargılama Kurallarını (FRCP) 1 Aralık 2006 tarihinde, keşif kurallarını gittikçe artan elektronik iletişime adapta etmek amacıyla değiştirmiştir. Yeni FRCP tamamen yeni baştan yazılmış ve Aralık 2007 tarihinde yürürlüğe girmiştir. Değişikliğin amacı, kuralları basitleştirmek ve toplumdaki kayıtları elektronik olarak saklama şeklindeki genel eğilime uygun olarak, elektronik delillerle ilgili yeni kurallar öngörmektir. Dolayısıyla 2008 yılı itibariyle Amerikan medeni yargılama hukukunda bu ilkeler davalara şekil vermiştir.

FRCP “elektronik olarak saklanan bilgiler” bakımından oldukça geniş bir tanım ortaya koymaktadır (e-veri). FRCP değişikliği, talep üzerine ve belirli bir zaman dilimi içinde bu e-verilerin açıklanmasını gerektirmektedir. Ayrıca değişiklik, e-veri alıkoyma çizelgelemeleri için “iyiniyet” testi önermektedir. Bu nedenle Amerika Birleşik Devletlerinde, her şirketin IT departmanı bakımından -artık istendiği üzere- keşif ve dahili soruşturmalarda doğru ve zamanında cevap verebilmek için bu kurallar hakkında bilgi sahibi olmak önem taşımaktadır.

Federal Medeni Yargılama Kuralları Neleri Kapsamaktadır?

FRCP Amerikan federal hukuk mahkemelerindeki yasal prosedürleri düzenlemektedir. Amerikan Temyiz Mahkemesi, Amerikan Kongresi tarafından onaylandıktan sonra bu kuralları yürülüğe koymaktadır. Federal mahkemelerin, eyalet hukukunun dava konusu olduğu ihtilaflarda, kural olarak eyaletlerin maddi hukuklarını uygulamaları gerekmektedir. Federal mahkemeler, yargılama kuralları olarak her zaman FRCP’yi kullanmaktadırlar.

FRCP’deki Başlıca Değişiklikler Nelerdir?

FRCP şu an “elektronik olarak saklanan bilgileri”, kağıt dokümanlara eşit bir delil kategorisi olarak tanımaktadır. Önemli değişiklik maddeleri olarak şunlar sıralanabilir:
(1)Kural 16(b); elektronik olarak saklanan bilgilere ilişkin olarak keşif konularını tartışmak için yapılacak olan hazırlık toplantısının düzenlenmesine ilişkindir;
(2) Kural 26(a)(1); Tarafların ilgili veri bilgilerinin kimin elinde olduğunu belirlemeleri gerektiğini ve kullanılması planlanan verilerin bir suretinin veya betimlemesinin sağlanmasını ve bunu keşif talebi olmaksızın yapmalarını öngörmektedir;
(3) Kural 26(b)(2)(B); aşırı külfet veya masraf yüzünden kolayca erişilemeyecek olan e-veriler de dahil olmak üzere, bilgilerin keşfinden bahsetmektedir;
(4) Kural 26(f); hazırlık toplantısı için keşif konusu olabilecek e-veri bilgilerinin güvenli bir şekilde muhafaza edilmesine ilişkindir;
(5) Kural 33; e-veriyi bir işletmenin kayıt hazırlama sürecinin bir parçası olarak kapsama almak amacıyla değiştirilmiştir;
(6) Kural 34; “elektronik olarak saklanan kayıtları” resmen hazırlama konusu bir kategori olarak eklemektedir;
(7) Kural 34(b) bir tarafın hazırlanacak olan e-veriler için spesifik bir saklama şekli talebinde bulunmasına olanak vermektedir;
(8) Kural 37; Kayıtların elektronik bilgi sistemlerinin rutin ve iyi niyetli kullanımı doğrultusunda yok edilmelerine ilişkindir. Bu kural henüz “bilgilerin bir davaya ilişkin olarak yok edilmeleri bakımından bir koruma” öngörmemektedir ve
(9) Kural 45 aynen kağıt dokümanlarda olduğu gibi, e-verilere ilişkin olarak da celpnameye izin vermektedir.

Yeni FRCP e-Posta İsterleri Bakımından Neler Öngörmektedir?
İlk olarak; FRCP e-postaların kurumun sunucularında saklandıkları yerlerde raporlama amacıyla izlenmesi gerekliliğini öngörmektedir. Hazırlama talebi üzerine, kurumun kayıp e-postaları nasıl yeniden tekrar çıkarıp göstereceğini ve buna ilişkin masrafların ne kadar olacağını bilmesi gerekmektedir. Şirketlerin, şirket politikası uyarınca e-postaların ne zaman ve nasıl rutin olarak silindiğini açıklaması gereklidir.

e-Veri talebine cevap vermede yaşanabilecek gecikmeler kurum için pahalı olabilecektir. Örneğin; Serra Chevrolet v. General Motors davasında bir Amerikan Bölge Mahkemesi, e-delil hazırlamada gecikme yüzünden, e-veri keşfinde ilgili tarafın elbirliği ile hareket etmediğine hükmetmiştir. Mahkeme bu olayda geç verilen cevap için günlük 50.000 USD ödenmesine karar vermiştir.

FRCP Kural 26(a)(1)’de tarafların elektronik olarak saklanan tüm bilgiler bakımından, tarafın zilyetliğindeki, gözetimindeki veya kontrolündeki e-postalar da dahil olmak üzere, ayrıntılı bir araştırma yapmaları gerektiğini öngörmektedir. Bu bilgilerin sonradan, ayrıcalıklı bilgiler hariç olmak üzere, “keşif talebi beklenmeden” açıklanması gerekecektir.

Kural 16(b) bu araştırmanın davanın hemen başlangıcında başlaması ve 99 gün içinde yapılması gereken ilk hazırlık keşfine ilişkin toplantıdan daha geç başlamaması gerektiğini ifade etmektedir. Kural 26(a)(1) bu araştırmadan sonra, açıklayan tarafın kendi iddia veya savunmasını desteklemek amacıyla kullanacağı tüm e-verilerin “kategori ve lokasyonları ile birlikte bir suretini veya betimlemesini” teslim etmesi gerektiğini öngörmektedir. E-postalar bakımından bu görev yedekleme kasetleri, çalışanların PC’leri ve Blackberry telefonları da dahil olmak üzere ilgili e-postaların saklanmış olabileceği her araç araştırılarak yerie getirilecektir.

Kural 26(b)(2)(B) bir taraf “bilgiyi aşırı külfet veya masraf dolayısıyla uygun bir şekilde erişilemez” olarak nitelendirmişse; bilginin kurtarılması ne kadar zor veya pahalı olursa olsun, bu bilginin tanımlanması, kategorize edilmesi ve lokasyonunun açıklanması gereklidir. Hiçbir e-veri bu şekilde liste dışı bırakılamaz. Bu aktivite hukuken geciktirilemez.

Kural 26(f)(3) bu konu tartışılabilir olsa da, e-postaların orjinal şekliyle hazırlanması gerektiğini hükme bağlamaktadır. Williams v. Sprint, 2004 davasında bir Amerikan Bölge Mahkemesi e-veri dokümanların “yerel formatta” ve “yardımcı verileriyle birlikte” hazırlanmasını talep etmiştir. Yardımcı veri dosya sahibi, oluşturulma tarihi, dolaşma detayları, alıcı, gönderici ve konu satırı gibi bilgileri ihtiva etmektedir.

E-Posta Silme ve Safe Harbor Hükümleri Bakımından Durum Nedir?
Kural 37(f) şirketleri “rutin, iyi niyetli bir işletim”’in bir parçası olarak yapılan e-posta silmenin, yaptırımla karşılaşmasına karşı korumaktadır. Safe Harbor hükmü olarak adlandırılan bu hüküm, şirketleri, rutin iş aktivitelerinin bir parçası olarak e-posta silmenin söz konusu olabileck sıkıntılarına karşı korumaktadır.
Ancak “rutin, iyi niyetli işletim” kavramı tanımlanmamıştır. Fakat bir şirketin bilginin bir hukuk davasında gerekli olabileceğini öğrendikten sonra artık silmesinin caiz olmadığı açıktır. Ancak şirketler eğer “bilginin keşfedilebilir olduğunu öğrendikten sonra veya bunu bilmeleri gerektiği andan itibaren, bilgileri korumak için uygun tedbirler” almışlarsa, genel olarak yine korunacaklardır. Kural 37(f) bir e-postanın kötü niyetli olarak silinmesinin yaptırımlarını düzenlemektedir.
Yeni kurallardan açıkça ortaya çıkan sonuç şudur: Şirketlerin olağan iş akışları içinde oluşturulan verileri saklamaları gerekmektedir veya verileir saklamak için yeteri ölçüde çaba göstermezlerse, aşırı yüksek oranda para cezaları ödemek zorunda kalacaklardır.

2008’de Yaşanan Veri İhlali Sayısı, 2007’ye göre %69 Daha Fazla

Identity Theft Resource Center (ITRC) uzmanları, veri ihlali sayısının bütün zamanların en yüksek değerine ulaştığını belirttiler. ITRC tarafından, 1 Ocak ve 27 Haziran arası dönemde kaydedilen toplam veri ihlali sayısı 342’dir. Bu rakam, 2007 yılının aynı dönemine oranla %69 daha fazladır.

İhlal sayısı gerçekte bu rakamdan daha yüksektir. Eksik bildirimler dolayısıyla tam rakam elde edilememiştir ve ayrıca bildirilmiş olan bazı ihlaller, birden çok sayıda sektörü ilgilendirdirmekle birlikte, tek bir durum olarak değerlendirilmiştir. Bu olgu nedeniyle de rakam aslında gerçek değerinden düşüktür.


Identity Theft Resource Center (ITRC) uzmanları, veri ihlali sayısının bütün zamanların en yüksek değerine ulaştığını belirttiler. ITRC tarafından, 1 Ocak ve 27 Haziran arası dönemde kaydedilen toplam veri ihlali sayısı 342’dir. Bu rakam, 2007 yılının aynı dönemine oranla %69 daha fazladır.

İhlal sayısı gerçekte bu rakamdan daha yüksektir. Eksik bildirimler dolayısıyla tam rakam elde edilememiştir ve ayrıca bildirilmiş olan bazı ihlaller, birden çok sayıda sektörü ilgilendirdirmekle birlikte, tek bir durum olarak değerlendirilmiştir. Bu olgu nedeniyle de rakam aslında gerçek değerinden düşüktür.

1. The ITRC breach report sub-divides and tracks all breaches into five categories.ITRC ihlal raporu, tüm ihlalleri alt bölümlere ve dizilere ayırark 5 kategoride değerlendirmektedir. Aşağıda karşılaştırmalı bir şekilde 2006, 2007 yıllarına ait yıllık kimlik hırsızlığı istatistikleri, 2008 yılının ise 27 Haziran tarihine kadar ki dönemide gerçekleşen oistatistikler yer almaktadır:



2. 2008 yılında ITRC’nin mevcut raporu, ihlal olaylarının %58,8’nin kayıtların sayısı ile birlikte yayınlandığını ortaya koymaktadır. Ve bunlardan %39,4’ün de ise potansiyel olarak tehlikeye maruz kalmış olan kayıtların sayısı açıklanmamaktadır.

3. İhlal olaylarından %80,7’si elektronik veri ihlaline ilişkinken, kağıt ihlallerin oranı %19.3’tür.

4. ITRC verileri, 5 çeşit veri ihlal senaryosuna göre kategorize etmektedir. Bazı ihlaller nitelikleri gereği, birden çok kategoride birlikte değerlendirilebilirken; diğer bazırları ise bu kategorilerden hiçbirne tam olarak uymamaktadır. 2008’de yaşanan olaylarda, insan hatası ve kötü veri işleme politikaları ve prosedürleri önemli bir rol oynamıştır.

ID Analytics’de ITRC ile 2007 yılı ihlallerine ilişkin raporda beraber çalışmış ve 2007 yılında gerçekleşen veri ihlallerinin %39’unun kayıp veya çalıntı araçlara ilişkin olduğunu tespit etmiştir. Daha önemlisi, ID Analytics’in analizi “kasten” yapılan veri hırsızlığı kategorisinin (kurum içi veri hırsızlığı/kurum içi hacking veya izinsiz girme/kullanıcı hesabı seviyesinde kötüniyetli erişim/harici hırsızlık) toplam veri ihlali olaylarının %25’ini oluşturduğunu ortaya koymaktadır.



KRİMİNAL ALTYAPI PROJELERİ, E-DEVLET ve BİLGİ ve İLETİŞİM TEKNOLOJİLERİNİN GELİŞTİRİLMESİNE YÖNELİK YATIRIMLAR “ÖNCELİKLİ” LİSTESİNDE

16 Temmuz 2008 tarihli ve 26938 Sayılı Resmi Gazetede yayımlanan Devlet Planlama Teşkilatı (DPT) tarafından hazırlanan, “2009-2011 Dönemi Yatırım Programı Hazırlıkları” konulu, 2008/1 no’lu Genelge’de, 2007-2013 dönemimde uygulanacak politikaların çerçevesi ve temel öncelikler belirlenmiştir. Genelge’ye göre;

Dokuzuncu Kalkınma Planı ile uyumlu bir şekilde hazırlanarak yayımlanan 2009-2011 dönemi Orta Vadeli Programında yer alan amaç, politika ve öncelikler ile, yine aynı dönem için hazırlanan Orta Vadeli Mali Planda ortaya konulan mali çerçeve ve bütçe tahminleri; 2009 Yılı Programı, Bütçesi ve Yatırım Programı hazırlıklarına temel teşkil edecektir. Ayrıca, Orta Vadeli Programla uyumlu olmak kaydıyla, kamu idarelerinin stratejik planları da program ve bütçe çalışmalarında dikkate alınacaktır.

Bu çerçevede, 2009-2011 dönemi yatırım programı hazırlıklarında; eğitim, sağlık, teknolojik araştırma, ulaştırma, içme suyu ile bilgi ve iletişim teknolojileri yatırımlarına öncelik verilecektir. Bu çerçevede İstanbul Bilişim Vadisi Projesi özel önem taşımaktadır.

Yine Genelge’ye göre vatandaş memnuniyetini esas alan, hizmet sunumunda sürat ve kaliteyi artıracak otomasyon ile delilden sanığa ulaşılmasını temin edecek kriminal altyapı projeleri de öncelikli projeler veya yatırımlar arasında yer almaktadır.

Bundan çıkan sonuçta özellikle ceza davalarında elektronik ortamda veya elektronik aygıtlar aracılığıyla işlenen suçlarda, delilden sanığa ulaşılmasının yöntemlerini ve süreçlerini belirleyen Adli Bilişim konusunun önümüzdeki dönemde daha çok gündemimizde olacağıdır.

KAMU KURUM VE KURULUŞLARINDA LİSANLI YAZILIM KULLANMA ZORUNLULUĞU

16 Temmuz 2008 tarihli, 26938 sayılı Resmi Gazete’de yayınlanan 2008/17 no’lu “Lisanslı Yazılım Kullanılması” konulu Başbakanlık Genelgesi ile, tüm kamu kurum ve kuruluşlarında, 5846 sayılı Fikir ve Sanat Eserleri Kanununda belirtilen fikri hakların korunması ilkesine istinaden, bilgisayar programlarının edinilmesinden başlayan ve kulalnılması bakımından alınacak tedbirlere kadar uzana geniş bir çerçevede düzenleme getirilmektedir.

Söz konusu düzenlemenin en önemli yanı ise; lisanlı yazılım kullanılmasını öngören ve buna uyum için tedbirlere getiren bir içeriğe sahip olmasıdır. Genelge ile getirilen düzenleme şu şekildedir:

“Bilindiği üzere; kamu kurum ve kuruluşlarında bilgisayar teknolojisinin hızla gelişmesi sonucu, kamu hizmetlerinin görülmesinde, yaygın olarak kullanılan bilgisayar programları, 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında, ilim ve edebiyat eseri olarak koruma altındadır.
Birçok ülkenin telif hakları sistemine paralel şekilde, diğer eser türlerinde olduğu gibi bilgisayar programlarının da, lisanssız kopyalarının kullanılması, hak sahibinin izni olmaksızın çoğaltılması, değiştirilmesi ve dağıtılması fiillerine karşı 5846 sayılı Fikir ve Sanat Eserleri Kanunu’nda cezai ve hukuki yaptırımlar öngörülmüştür.
Bu sebeple, Fikir ve Sanat Eserleri Kanunu hükümleri çerçevesinde, fikri hakların korunması açısından, kamu kurum ve kuruluşlarında, bilgisayar programlarının edinilmesi, kullanılması, yönetimi ve alınacak tedbirlere yönelik esasların tespiti ile ilgili düzenlemelerin yapılması gerekli görülmüştür.
1. Kamu Kuruluşlarında Bilgisayar Programı Edinilmesi
Bütçeleme: Bilgisayar programlarının satın alınmasından önce yapılacak bütçelemede, bilgisayar programları, bilgisayar donanımından ayrı kalem olarak belirtilmelidir. Bütçeleme yapılırken edinilecek bilgisayar programlarının lisanslama esasları dikkate alınmalı, ihtiyaç bulunan lisans sayısı kadar program bütçede yer almalıdır.
Şartname: Bilgisayar programı satın alımının söz konusu olduğu şartnamelerde, satın alınacak bilgisayar programları ayrı kalem olarak yer almalı ve sağlanacak bilgisayar programlarının lisanslı olması gerektiği ve lisans miktarları mutlaka belirtilmelidir.
Teslimat: Satın alma işlemi sonucunda teslimatı yapılan bilgisayar programlarının teslim, geçici ve kati kabul işlemleri sırasında; lisanslı olup olmadığı kontrol edilmeli ve sadece lisanslı programların kabulleri yapılmalıdır.
2. Yazılım Yönetimi ve Denetimi
Yazılım yönetimi ve denetimi; kamu kurum ve kuruluşlarının bünyelerindeki yazılımların, 5846 sayılı Kanun ve lisans anlaşmalarına uygun olarak bulundurulması ve kullanılmasının sağlanması maksadıyla kuruluş içinde yapılması gerekli işlem ve denetim etkinliklerini kapsamaktadır.
Söz konusu etkinlikler kamu kurum ve kuruluşunda bilgi işlem ünitesi veya bu işten sorumlu birimin koordinasyonunda, hukuk müşavirliği ve teftiş veya denetiminden sorumlu kurul veya birimlerin ayrı ayrı veya ortak çalışması sonucu yerine getirilecektir.
Lisanssız yazılımlarının bulundurulması ve kullanımının önlenmesi maksadıyla kamu kurum ve kuruluşları;
- Lisans hakları kamu kurum ve kuruluşuna ait olmayan tüm programların, bilgisayar ve medyalardan silinmesi ve lisanslı olanların temin edilmesi,
- Lisans sicili oluşturularak kurumun sahip olduğu yazılım ve lisansların takip edilmesi,
- İhale neticesi yüklenici firma tarafından bilgisayar ve yazılımların tesliminde, yazılımların orijinal ve lisanslı olduğunun ve belgelerinin şartnameye uygunluğunun kontrol edilmesi,
- Kullanılan yazılımların yasal olarak kurum tarafından sağlanmış orijinaller olup olmadığının ve yazılım siciline uygunluğunun belirli aralıklarla denetlenmesi,
- Kamu kurum ve kuruluşunda; bilgi işlem ünitesi veya bu işten sorumlu birimde çalışanların bu genelgenin gereklerine göre işlem tesis etmelerinin sağlanması,
hususlarında gereken tedbirleri alacaklardır.
6/2/1998 tarihli ve 1998/10 sayılı Genelge yürürlükten kaldırılmıştır”.



e-DEVLET HAMLELERİ!

16 Temmuz 2008 tarihli Resmi Gazete bugün Blog’umda da işaret ettiğim üzere üç önemli konuda e-Devlet çalışmalarına ve e-Dönüşüm Türkiye Projesine ilişkin olarak düzenlemeler öngörmektedir. Bunlar: Elektronik Belge Standartları, Lisanlı Yazılım Kullanılması ve 2009-2011 Dönemi Yatırım Programı hazırlıklarıdır.

ELEKTRONİK BELGE ve ELEKTRONİK ARŞİVLEME STANDARDA BAĞLANDI!
16 Temmuz 2008 tarih ve 26938 sayı ile Resmi Gazete’de yayımlanan “Elektronik Belge Standartları” konulu 2008/16 no’lu Başbakanlık Genelgesi’nde şu ifadeler yer almaktadır.

“Kamu adına görev yapan kurum ve kuruluşların faaliyetleri sonucu oluşan belgelerin kayıt altına alınması ve bu belgelerin istenildiği anda erişilebilir şekilde yönetilmesi, kurumsal faaliyetlerin ayrılmaz bir parçası ve bir kamu görevidir. Herkesin, her zaman, her yerden kolaylıkla ulaşabileceği şeffaf, verimli ve sade bir kurum yapısı günümüzde modern ve demokratik kurumların temel hedefi haline gelmiştir. Elektronik ortamda sunulan hizmetlerin ve e-kurum yapısının temelini elektronik bilgi sistemleri oluşturmaktadır.
Kamu kurum ve kuruluşlarınca üretilen elektronik bilgi ve belgelerin idari, mali, hukuki ve tarihi gerekçelerle korunmasının sağlanması ve bunların gelecek nesillere aktarılması ancak standart belge yapılarının oluşturulması ile mümkündür. Elektronik belgeye ilişkin standartlar ile belgelerin korunmasına ve erişimine imkan sağlayacak tedbirlerin elektronik belge yönetim sistemlerinin tasarım aşamasında ele alınması gerekmektedir.
Elektronik belgelerin kayıt altına alınması, kullanılması ve arşivlenmesi konularında çalışma yapma görevi E-Dönüşüm İcra Kurulu’nun 9 Eylül 2004 tarih ve 7 numaralı Kararı ile Devlet Arşivleri Genel Müdürlüğü’ne verilerek TSE 13298 no’lu standardın yayınlanması sağlanmıştır. Hazırlanan bu standart kamu kurum ve kuruluşlarının kullanacakları elektronik belge yönetim sistemleri için temel bir kaynak teşkil etmektedir.
Kamu kurum ve kuruluşları oluşturacakları elektronik belge yönetim sistemlerinde TSE 13298 no’lu standarda göre işlem yapacak, ayrıca üretmiş oldukları elektronik belgenin kurumlar arası paylaşımını www.devletarsivleri.gov.tr internet adresinde belirlenen kurumlar arası elektronik belge paylaşım hizmeti kriterlerine göre gerçekleştirecektir. Genelgenin yayımı tarihinden önce kurulan sistemler ise ilgili kamu kurum ve kuruluşlarınca gözden geçirilerek iki yıl içinde standarda uyumlu hale getirilecektir”.

Genelge’de atıf yapılan TSE 13298 Standardı “Bilgi ve dokümantasyon-Elektronik Belge Yönetimi” adını taşıyor ve kamu kurumlarında üretilen ve/veya üretilmesi muhtemel elektronik dokümanların belge niteliğinin korunabilmesi için gerekli standardların belirlenmesi amacıyla şu konuları içermektedir:

a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri,
b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları,
c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler,
d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının elektronik ortamda yürütülebilmesi için gerekli gereksinimler,
e) Elektronik belgelerde bulunması gereken diplomatik özellikler,
f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması gereken önlemler,
g) Elektronik imza ve mühür sistemlerinin uygulanması için gerekli sistem alt yapısının tanımlanması.

ADLİ BİLİŞİM, CMK md. 134 ve DÜŞÜNDÜRDÜKLERİ...

Son zamanlarda gündemimizi bilgisayarlara el konulması, inceleme yapılması ve kopya alınması gibi konularda işgal eden Ceza Muhakemesi Kanunu (CMK) 134. Maddeye ilişkin olarak şu değerlendirmeleri yapmak mümkündür:

Özel inceleme ve analiz teknikleri kullanılarak bilgisayarlar başta olmak üzere, tüm elektronik medya üzerinde yer alan potansiyel delillerin toplanması amacıyla, elektronik aygıtların incelenmesi sürecine kısaca Adli Bilişim (Computer Forensic) diyoruz.

Adli Bilişim her aşaması itibariyle bir prosedür, bir şekiller bütünüdür. Genel olarak kabul edildiği üzere bu süreç: Toplama, İnceleme, Analiz ve Raporlama olmak üzere dört bazen 5 aşamadan oluşmaktadır. Bu aşamalardan en önemlisini aslında ilk aşama olan “Toplama” aşaması oluşturmaktadır.


Türk Hukukunda Adli Bilişime ilişkin olan hükümler:
- CMK md. 134
- Adli ve Önleme Aramaları Yönetmeliği md. 17 (Bu yönetmelik CMK md. 134’ten farklı olarak; elkoyma işleminin sadece bilgisayarlara münhasır kılmamış, aynı zamanda bilgisayar ağları, uzak bilgisayarlar ve çıkarılabilir donanımlar için de geçerli kılmaktadır)
- Suç Eşyası Yönetmeliği md. 9 (Bu Yönetmeliğin 2. Fıkrasında adli bilişimin “Toplama” aşamasına ilişkin önemli bir hüküm yer almaktadır: Bilgisayar, bilgisayar kütükleri ve bu sisteme ilişkin verilerin asıl ya da kopyaları, ses ve görüntü kayıtlarının bulunduğu depolama aygıtları gibi eşya, bozulmalarını engelleyecek, nem, ısı, manyetik alan ve darbelerden korunmalarını sağlayacak uygun ortamda muhafaza edilir.


CMK 134

Kişisel Verilerimiz üzerinde sahip olduğumuz hak, ulusal ve uluslararası normlarda bireyin temel hak ve özgürlükleri arasında yer almakta ve korunmaktadır. BU nedenle bilgisayarlar gibi elektronik aygıtların aranması veya bu aygıtlara el konulması söz konusu olduğunda bu müdahalenin ancak hakim kararı ile yapılması gerekmektedir.
Bugün hem hukuk hem de ceza davaları bakımından elektronik delillerin öneminin ne kadar büyük olduğunu hepimiz biliyoruz. Maddi veya şekli gerçeğin açığa çıkarılması açısından, bilgisayarlardaki kayıtların ceza ve hukuk davalarında delil, iz, eser ve emare oluşturacağı konusunda artık şüphe bulunmamaktadır. Bu nedenle hem bu olanağı sağlamak ve hem de bireysel yararları saklı tutmak amacıyla bilgisayar program ve kütüklerinde arama yapılması belirli koşullara tabi kılınmış bulunmaktadır.


Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma

MADDE 134.– (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.

Bu madde; temel hak ve özgürlüklere daha az zarar veren “arama” konusunu öncelikle düzenlemektedir. Herhangi bir kişinin bilgisayarında, bilgisayar programlarında ve kütüklerinde arama yapılabilmesi için:
- Öncelikle bir suç dolayısıyla yapılan bir soruşturmanın mevcut olması
- Başka surette delil elde etme imkanının olmaması
- Cumhuriyet savcısının talebi ve bunun üzerine verilmiş bir Hakim kararı gerekir.


(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.


İkinci fıkrada ise; eğer şifrenin çözülememesi veya gizli bilgilere ulaşılamaması gibi bir durum söz konusu ise, bilgisayara elkoyma işleminin nasıl yapılacağı anlatılmaktadır. Ancak; Adli bilişim bilgisayar incelemelerinde işletim sistemi, kullanıcı adı ve şifreye gerek olmadığından dolayı bu ifadenin gerçekte uygulamada bir anlamı yoktur. Aslında, el koyma şifrenin çözülememesinden dolayı değil, incelemenin uzun sürmesi durumunda gerekli olmaktadır. Bu nedenle madde hükmünün adli bilişim incelemesinin bu özellikleri doğrultusunda değiştirilmesi gerekecektir.


(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.

Bu fıkra hükmünün uygulanabilmesi, yani elkoyma işlemi sırasında tüm verilerin yedeklemesinin yapılabilmesi için, şüphelinin Polisleri evinde veya işyerinde en az 4,5-5 saat ve en çok 12-13 saat misafir etmesi gerekmektedir. Harddiskin özellikleri, aranacak bilginin, elde edilmesi istenen neler olduğuna bağlı olarak bu yelpazede bir süreye ihtiyaç olmaktadır. Ayrıca sadece birkaç dosyanın bile arandığı “arama” işleminin yine adli bilişim kuralları gereği yapılması gerektiği için, büyük çaplı ve birden çok kişinin bilgisayarlarında arama veya elkoyma işleminin yapılacağı durumlarda, olay yerine gelen her polis ekibinin adli bilişim yazılım ve donanımlarını yanlarında bulundurmaları beklenemeyecektir. Dolayısıyla uygulamada adli bilişim prosedürünün özellikleri nedeniyle, elkoyma anında yedeklemenin yapılması mümkün olmamakta ve bilgisayarlar adli bilişim incelemesinin yapılacağı yerlere veya laboratuarlara götürülmektedir.

(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.

Bu hükümde Polisin aldığı kopyanın bir örneğini şüpheli veya vekiline vermesi, bu kişilerin “talep etmeleri, istemeleri” şartına bağlı tutulmuştur. Yani Polisin talep edilmemesi halinde, re’sen bunu yapma zorunluluğu yoktur.

(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.

Bu fıkradaki, “kopyası alınan veriler kağıda yazdırılarak...” hükmünün de uygulama kabiliyeti yoktur. Çünkü; bilgisayardaki verilerin tamamının yazdırılması, kağıt çıktılarının alınması ve mahkemeye delil olarak bunların ibraz edilmesinin anlamı yoktur. Bugün Adalet Bakanlığı’nın Ulusal Yargı Ağı Projesi (UYAP) çerçevesinde tm mahkeme ve hakimlerin bilgisayar sahibi oldukları gerçeği karşısında, elektronik delillerin mahkemeye ibrazının da yine elektronik olarak yapılması gereklidir.


Resmi Bilirkişilik!

Bugün Türkiye’de adli bilişim incelemesi hala çoğunlukla Emniyet Müdürlükleri tarafından yürütülmektedir. Özel olarak bu işi yapan az sayıdaki kurum ve adli bilişim uzmanı olarak çalışan kişiler dışında, mahkemelere resmi bilirkişilik yapacak başka kurum var mıdır diye sorduğumuzda, cevap: EVET olacaktır.

2004 yılında Adli Tıp Kurumu bünyesinde Fizik İhtisas Dairesi Başkanlığı’nın görevi, adli bilişim incelemelerinde mahkemelere resmi bilirkişilik yapmaktır. Dolayısıyla bu Başkanlığın bir an önce adli bilişim teknikleri, uzmanları anlamında uygulamada daha aktif bir rol almasının sağlanması gerekmektedir.

MİLLİ EĞİTİM BAKANLIĞI HASSAS VERİLERİMİZLE BİRLİKTE FİŞLİYOR!

e-Okul Projesi

Milli Eğitim Bakanlığı tarafından bu yıl okullara gönderilen “e-okul için öğrenci bilgileri” başlıklı öğrenci velilerine gönderilen yazıda şunlar talep edilmektedir: 2007-2008 Eğitim ve Öğretim yılı sonunda tüm Türkiye’de öğrenci bilgileri, Milli Eğitim Bakanlığı tarafından kurulan ve geliştirilen e-okul sistemine aktarılmaktadır. Bu nedenle öğrencilerle ilgili genel nüfus, veli, baba ve anne bilgilerinin en güncel şekliyle e-okul sistemine girilmesi gerekmektedir. Bu bigilerin doldurulması için yazı ile birlikte bir de form gönderilmiştir.

Söz konusu formda öğrencinin ve anne-babasının kimlik bilgilerinin yanı sıra, öğrencinin ve anne-babasının sağlık bilgileri, öğrencinin dininin ne olduğuna ilişkin bilgiler, anne-babanın medeni durumuna ilişkin bilgiler de talep edilmektedir.

Milli Eğitim Bakanlığı’nın öğrenci ve velilerine yönelik bu talebi aşağıdaki şu soruları akla getirmektedir?


MERNİS Projesi Ne İşe Yarıyor?

Tüm Türkiye Cumhuriyeti vatandaşlarının kimlik numaraları ile kayıtlı oldukları ve nüfus bilgilerini barındıran MERNİS Projesi, kamu kurumları tarafından kimlik bilgilerine ihtiyaç duyulduğunda ortak bir veri tabanı olarak hizmet etmek üzere tasarlanmış ve hayata geçmiştir. Dolayısıyla öğrenci kimlik bilgileri zaten bir şekilde Milli Eğitim Bakanlığında mevcutken ve öğrencinin T.C. kimlik numarası üzerinden velilerin de kimlik bilgilerine erişmek mümkün iken, bu bilgilerin tekrar sahadan toplanmaya çalışılıp vakit kaybedilmesinin ve mükerrerliğin bir anlamı yoktur. Bir e-Devlet Projesi olarak bir kamu kurumunun ortak hizmete açtığı bir projeden diğer kamu kurumlarının azami ölçüde istifade etmesi gerekir.

Hassas veya Özel Niteliği Olan Veriler e-Okul Projesi Kapsamında Talep Ediliyor!

Söz konusu formda öğrenciye ilişkin olarak; öğrencinin geçirdiği ameliyat çeşitleri (apandist, fıtık, göz, kalp, diğer), kullandığı cihazlar (görsel, işitsel, ortopedik, diğer), geçirdiği hastalıklar (çocuk felci, sara, menenjit, havale, diğer), sürekli hastalıkları (alzheimer, astım, böbrek yetmezliği, felç, hepatit, kalp, kanser, parkinson, sara, siroz, şeker, tansiyon, verem, diğer), sürekli kullandığı ilaç (astım, kalp, sara, şeker, diğer) ve dinine ilişkin bilgiler (Budist, Hıristiyan, İslam, Musevi, diğer) talep edilmektedir.

Öğrenci veli bilgileri kapsamında da; anne ve babanın medeni durumuna ilişkin bilgilerin yanısıra (ölü, sağ, birlikte, ayrı), anne ve babanın sürekli hastalıkları (alzheimer, astım, böbrek yetmezliği, felç, hepatit, kalp, kanser, parkinson, sara, siroz, şeker, tansiyon, verem) hakkında bilgiler istenmektedir.

Hassas ve Özel Niteliği Olan Veriler ve Özellikleri

Hassas veya Özel Niteliği Olan Kişisel Veriler, kişilerin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkumiyetleri ile ilgili kişisel verilerdir ve bu veriler açıklandıkları takdirde birey bakımından ayrımcılık tehlikesini bünyesinde barındırdığı için hukuk düzenleri ve özel olarak veri koruma yasaları tarafından sıkı kurallarla korunmaktadırlar. Dolayısıyla hasas veriler bakımından kural: Kesin İşlem Yasağı’dır.

Nitekim Türk Ceza Kanununun (TCK) Kişisel Verilerin Kaydedilmesi kenar başlıklı 135. maddesinin 2. fıkrası hukuka aykırı olarak hassas verilerin işlenmesini bir suç saymıştır.

KİŞİSEL VERİLERİN KAYDEDİLMESİ

Madde 135 - (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

(2) Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.

Ancak 135. Maddede Kanunkoyucunun gözden kaçırdığı bir durum söz konusudur. Şöyle ki; 1. Fıkrada hukuka aykırı olarak kişisel verilerin işlenmesi suçu için öngörülen ceza ile, ondan daha sıkı korumayı ve daha ağır cezayı gerektirmesi gereken hassas verilerin işlenmesi suçu bakımından faile verilecek ceza aynıdır.

TCK md. 135’f.2’de yapılack bir kanun değişikliği ile bu oransızlığın giderilmesi ve hassas verilerin hukuka aykırı işlenmeleri halinde verilecek cezanın daha ağır olması gerekmektedir.

TCK dışında halihazırda Meclis Altkomisyonunda bulunan Kişisel Verilerin Korunması Kanunu (KVKK) Tasarısı da 7. maddesinde özel niteliği olan kişisel verilerin veya hassas verilerin işlenemeyeceğini hüküm altına almaktadır.

MADDE 7- (1) Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel veriler işlenemez.

KVKK aynı maddenin 2. Fıkrasında hassas verilerde geçerli kesin işlem yasağına şu istisnaları getirmektedir:

a) Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması,
b) Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda bulunan bir kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün idamesi için veri işlemenin zorunlu olması,
c) İlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü sahibinin (yani kişisel veya hassas verileri işleyen kurum,kuruluş veya şirketin), bu Kanunla veya diğer kanunlarla tanınan hak ve yetkileri kullanabilmesi veya yükümlülükleri yerine getirebilmesi için veri işlemenin zorunlu olması,
ç) Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi oldukları mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla, üye ve mensuplarına yönelik ve ilgili kişinin rızası olmadan üçüncü kişilere açıklanmamak kaydıyla veri işlenmesi,
d) İlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması,
e) Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin zorunlu olması,
f) Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin yürütülmesi amacıyla kişisel sağlık verilerinin;
1) Sağlık kurumları,
2) Sigorta şirketleri,
3) Sosyal güvenlik kurumları,
4) İşyeri sağlık birimi oluşturmakla yükümlü işverenler,
5) devlet, özel ve üniversite hastaneleri,sağlık kurumları
tarafından ilgili kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer seviyede sır saklama yükümlülüğü altındaki bir başka kişinin gözetimi altında işlenmesi.

(3) Özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, temel kamu yararlarının gerektirmesi hâlinde, ilgili mevzuatta yeterli koruma tedbiri bulunması kaydıyla, Kurul, özel niteliği olan kişisel verilerin işlenmesine karar verebilir.

(4) Suçun soruşturulmasına, koruma ve kontrol tedbirlerine ve ceza mahkûmiyetlerine ilişkin özel nitelikteki kişisel veriler, ilgili kanunlarda yeterli koruma tedbiri bulunması kaydıyla, yetkili mercilerin kontrolü altında işlenebilir. Ancak, ceza mahkûmiyetlerine ilişkin sicil sadece Adalet Bakanlığının kontrolü altında tutulabilir.

(5) İdarî nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin veriler de resmî mercilerin kontrolü altında işlenebilir.

(6) Vatandaşlık kimlik numarası veya benzeri karakteristik işaretlerin işlenme usul ve esaslarını belirlemek amacıyla yapılacak yönetmeliklerde Kurulun görüşü alınır.

Jandarma’da Talep Etmişti!

Belirtmek gerekir ki; KVKK’nun istisnalar kenar başlıklı 22. maddesinde; milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi veya bu amaçla yapılan istihbarî faaliyetlerin yürütülmesi, kamu düzeninin korunması, suçun önlenmesi için gerekli olması, suç veya meslek ahlak kurallarını ihlâl eden eylemlerin soruşturulması veya kovuşturulması, bütçe, vergi ve mâli konulara ilişkin olarak Devletin önemli ekonomik veya malî çıkarlarının gerektirmesi, bu fıkranın (b), (c) ve (ç) bentlerinde belirtilen konularda, resmî mercilerin izleme, denetleme veya düzenleme görevlerinin gerektirmesi halinde, KVKK’nun 6 ncı, 11 inci, 16 ncı, 17 nci ve 19 uncu maddeleribu haller bakımından uygulanmaz.
Dikkat edilecek olursa, KVKK’nun uygulanmayacak olan maddeleri arasında özel niteliği olan kişisel verilere ilişkin 7. maddesi yer almamaktadır. Dolayısıyla Hassas Verilerin kamu kurum ve kuruluşları bu arada Milli Eğitim Bakanlığı tarafından 22. Maddede yazılı olan hükümlere istinaden de talep edilmesi mümkün değildir.

Hepimizin hatırlayacağı üzere, kısa bir süre önce yazılı ve görsel medyada Jandarma’nın Mahrem Talepleri, Fişleyen Fişleyene gibi değişik başlıklarla gündeme oturan konu da işte tam bu noktaya ilişkindi. Jandarma, suçun önlenmesi, suçla proaktif mücadele gibi amaçlarla Meclis Alt Komisyonuna verdiği bir dilekçe ile özel niteliği olan kişisel verilere ilişkin 7. Maddenin de, 22. Maddedede sayılan hükümler arasına eklenmesini ve istisnaların kapsamının genişletilmesini talep etmişti ve herkesin tepkisini çekmişti. Bu noktada elbette amacı Kişisel Verilerin korunmasını sağlamak olan bir Yasa Tasarısı içerisinde bu ve benzeri taleplerin kabul edilemeyeceğini birçok defa yazılı ve görsel medyada dile getirdim.
Ancak aynı hassas verilerin bir bölümünü Milli Eğitim Bakanlığı’nın e-Okul Projesi çerçevesinde talep etmesi, konunun “hassasiyeti” hakkında bilgisi olmayan birçok velinin de hiçbir sakınca görmeden bu bilgileri öğrencinin okulu aracılığıyla Milli Eğitim Bakanlığı’na vermiş olmaları ve Bakanlığın bu yolla birçok kişinin hassas verilerini elde etmiş olması, kanaatimce Jandarma’nın usulü dairesinde Meclis Alt Komisyonuna verdiği ve kabul edilip edilmeyeceği hukuki platformlarda çokça tartışılan talep yazısından daha çok tepki gösterilmesi gereken bir durumdur. Çünkü e-Okul Projesinde şu an Bakanlık somut olarak kişilerin sağlık verileri ve dini görüş ve inanışlarına ilişkin bilgileri elde etmiş durumdadır. Asıl herkesin tepki göstermesi gereken durum budur. Yani içinde bulunduğumuz kaos ortamı ve somut olarak bu yaşadıklarımızdır. Ancak bu uygulamaya hiçbir kişi veya kurumdan tepki gösterilmemektedir! KVKK işte tam da bu noktaya kaos ortamına ve yaşanan bu hukuka aykırı uygulamalara bir düzen ve çerçeve getirmeyi hedeflemektedir.

SONUÇ

Yukarıda genel olarak çerçevesini belirlemeye çalıştığımız hassas veya özel niteliği olan verilerinizi açık ve yazılı rızanız ve KVKK md. 7’de yazılı hukuka uygunluk sebeplerinden biri olmadan hiç bir kişi, kurum, kuruluş veya şirket talep edemez! En azından bu verilerimizle mahrem kalmak ve KVKK’nın getireceği hukuki koruma şemsiyesi altında mahrem yaşamak için lütfen KVKK’nu okuyalım. Milli Eğitim Bakanlığı gibi bundan sonra başka kurum veya kuruluşların yapacağı bu tür talepler karşısında daha dikkatli olalım. Devlete karşı “anonim” olarak yaşamamızı sağlayacak bu veri katogorilerini paylaşmakta KVKK gibi oldukça cimri davranalım.

Burada özellikle Milli Eğitim Bakanlığı’nın talep ettiği sağlık verileri bakımından bir görev de Sağlık Bakanlığı’na düşmektedir. Sağlık Bakanlığı’nın bence e-Okul Projesi ve bu çerçevede Milli Eğitim Bakanlığı’nda yürütülen çalışmalara müdahil olması ve doğrudan Sağlık Bakanlığı’nın yetkisindeki bu konuya ilişkin olarak ilgili tüm tarafları bilgilendirmesi gerekmektedir.

Kişisel Verilerin Korunması hakkında toplumdaki bilgi eksikliği de bu tür uygulamaların sonuca ulaşmasını ne yazık ki kolaylaştırmaktadır. E-Vatandaş, Bilgi Toplumu gibi kavramlardam dem vurduğumuz bu yıllarda, bu yeni düzende bireylere haklarını, yeni uygulamaları ve bu hakları nasıl kullanacaklarını e-Devlet çalışmaları çerçevesinde anlatmamız kaçınılmazdır. Burada kamuoyunun bilgilendirilmesi noktasında sorumluluk hem söz konusu e-Devlet Projesini yürüten kamu kurumuna hem de e-Dönüşüm Türkiye Projeisni Koordine eden Devlet Planlama Teşlikatı’na aittir. Ülkede yaşayan herkesin hayatını bu derece yakın ve temelden etkileyecek birçok çalışma yapılırken, eş zamanlı olarak bunlardan vatandaşların da haberdar edilmesi gerekmektedir.

Yoksa bugün Milli Eğitim Bakanlığı’nın yaptığı işi, yarın başka bir kurumu da yapabilecek ve sağlık verilerimizi Sağlık Bakanlığı’nın bilgisi dışında başka kurumları veya Google’da tutabilecektir, internetteki bu konuda hizmet veren herhangi bir web sayfası da!

ADLİ BİLİŞİME STANDART GELİYOR!

Elektronik Delillerin Online Araştırılmasında Kullanılacak Siber Araçlar: Avrupa Birliğinde Elektronik Delillerin Doğrulanması Projesi


Avrupa Birliği’ne göre (AB); bilgisayarlardaki veriler bilişim suçları bakımından önemli deliller niteliğini taşıyabilmekte ve bu deliller aracılığıyla işlenen suç açığa kavuşturulabilmektedir. Bu amaçla, AB Komisyonu “Delillerin Online Araştırılmasında Kullanılacak Siber Araçlar (CTOSE-Cyber Tools On-line Search for Evidence) olarak adlandırdığı bir proje başlatmıştır. CTOSE bilişim suçları uyuşmazlıklarında veya davalarında, elektronik delillerin mevcut veya ileride açılacak bir davada kabule şayan deliller olarak kabul edilebilmesini sağlayan doğrulama yöntemlerinin belirlenmesi amacıyla tasarlanan hukuki bir projedir.


Proje bilişim suçlarına ilişkin elektronik delillerin tespiti, muhafaza altına alınması, bütünlüğünün sağlanması ve ibrazına yardımcı olmak ve aynı zamanda bu bilgilerin hukuken geçerli olmalarını sağlamayı amaçlamaktadır.

Günümüzde hileli işlemler, bilgisayar hacking ve virüsleri, yüksek teknoloji suçları, kimlik hırsızlığı ve online dolandırıcılıklar artık sıkça duyduğumuz olaylardan sadece birkaçıdır. CTOSE yöntemi, bilişim suçlarında artışı engellemek üzere geliştirilmiştir. Bilgisayar ağ logları, e-mail’ler, metin işleme dosyaları, görüntü dosyaları online suçlara ilişkin uyuşmazlık veya davalarda sık sık delil olarak toplanmaktadır. Ancak; AB üyesi ülkelerde bu tür bilgilerin nasıl elde edileceği ve yargılamada geçerli delil olarak nasıl ibraz edileceği konusunda uyum olmaması yüzünden sorunlar yaşanmaktaydı.

CTOSE Projesi Nasıl Geliştirildi?

CTOSE, AB Komisyonunun Bilgi Toplumu Teknologileri (IST) kurumu tarafından fonlanmıştır.

30 Eylül 2003 tarihinde tamamlanan CTOSE Projesi, Fransız Telekomünikasyon ve Güvenlik Şirketi olan Alcatel, İngiliz şirket OinetiQ ve üç araştırma enstitütüsünün uzmanlığını bir araya getirmiştir.

Avrupa ve Amerika’dan CERT (Computer Emergency Response Team), bilişim hukukçuları, adli bilişim araç tedarikçileri, yüksek teknoloji polis soruşturmacılar ve önemli finansal kurumların IT güvenlik görevlileri gibi oldukça geniş yelpazede uzmanlık deneyimine 50 uzman bu projeye katılmıştır.

CTOSE Projesi ile Geliştirilen Araçlar Nasıl Çalışmaktadır?

CTOSE ile geliştirilen araçlar, hacking’den ve web sayfası tahribatından organize dolandırıcıklara kadar uzanan alanda gerçkleşebilecek online saldırıdan sonrası için çözümler sunmaktadır.

CTOSE aşağıdaki şu araçları geliştirmiştir:
• Bilişim Suçu Danışma Aracı (the C*CAT) soruşturmacıları, soruşturmanın her aşamasında gerekli prosedürler ve kararlar konusunda bililendirmektedir.
• Hukuk Danışmanı bilgisayar incelemelerinin hukuki ve şekli yönleri hakkında tavsiyelerde bulunmaktadır. Bu araç, söz konusu hukuki isterlere soruşturmacının dikkatini çekmekte ve toplanan delillerin kabule şayan, uygun ve hukuka uygun şekilde elde edilmiş olmasını sağlamaktadır.
• Elektronik Deliller için XML Tabanlı bir Belirtim ise; soruşturmacının delili muhafaza altına alıp diğer soruşturmacıya tüm deliller için “muhafaza zinciri”’ni koruyacak şekilde güvenli bir biçimde teslim etmeisni sağlar
• Tanıtım yazılımı ise; hacking, web site tahribatı veya organize dolandırıcılık gibi siber saldırıların etkilerini simüle etmek amacıyla tasarlanan bir yazılımdır. Bu araç saldırı durumunda hem korunaksız web sayfalarında hem de Proje’nin adli bilişim konusunda kılavuzluğunu takip eden web sayfalarında neler olduğunu göstermektedir.

Proje Araçları Neyi Sağlıyor?

CTOSE Projesi tarafından geliştirilen bu araçlar, sistem yöneticilerine, bilgi güvenliği uzmanlarına, bilgisayar olayları soruşturmacılarına ve polis ve diğer kolluk kuvvetlerine, adli bilişim araçları kullanarak bilgisayar olaylarını soruştururken takip edebilecekleri uygun ve standartlara bağlı yöntemler sunmaktadır.

CTOSE araçları, tüm elektronik delillerin hukuki ve usulüne uygun olarak toplanması ve muhafaza edilmesini sağlamaya çalışmaktadır. CTOSE araçları, toplanan delillerin bir suçu kanıtlamak bakımından zorlayıcı olmasını da sağlamaktadır. Nihayet, bu araçlar söz konusu uygun protokoller kullanılarak toplanan delillerin idari mahkeme veya hukuk veya ceza mahkemelerine sunulduğunda kabule şayan olmalarını da sağlamaktadır.

Kaynak:
http://www.ibls.com/internet_law_news_portal_view.aspx?s=articles&id=0FA936B6-3A43-4D66-86F5-7281A6030C00

İnternette Güvenli ve Vergisiz e-Ticaret Dönemi Başlıyor!

Devlet elektronik ticareti teşvik etmek ve elektronik imza kullanımını yaygınlaştırmak amacıyla vatandaşlara ve sektöre bir dizi teşvik vermeye hazırlanıyor.

Telekomünikasyon Kurumu Başkan Yardımcısı Mustafa ALKAN tarafından 12 Haziran 2008 tarihinde e-dönüşüm Türkiye İcra Kurulu’na yapılan kanun değişiklikleri teklifinde oldukça önemli maddeler göze çarpıyor.

ALKAN ilk olarak; bilgi ve iletişim teknolojilerinin, 1.3 milyar internet kullanıcısı, günlük 147 milyar e-posta, 19.2 milyar internet sayfası, 1.6 milyar resim ve 50 milyonu aşkın ses-görüntü dosyası ile hayatımızın her alanını kapsadığının vurgulandığı teklifte, bu gelişmelere paralel olarak elektronik ortamda Virus, Trojans, Worms, Hacking gibi tehditlerle de karşı karşıya bulunduğumuza dikkat çekmiştir.


Elektronik İmza’yı Ne Kadar Kullanıyoruz?

Tüm bu tehditlere karşı elektronik imzanın; sağladığı gizlilik, bütünlük, inkar edilmezlik ve kimlik doğrulama gibi özelliklerle, söz konusu sorunların teknolojik olarak çözümlenmesi konusunda, bugün için tek çözüm olduğu vurgulanmıştır.
Elektronik imza, bireylerin ıslak imzaları (el yazısı ile attıkları imza) ile hukuken eş değerli olan imza çeşididir ve herhangi bir davada da hakim bakımından senet teşkil etmektedir.

İnternetten güvenli alışveriş yapmayı, elektronik ticaretin tarafları için güvenli olmasını sağlayan elektronik imzanın, bugün Türkiye’de gerek yasal düzenlemeler gerek uygulamalar açısından ayakları yere basmaktadır. Türkiye’de cep telefonu kullanıcı sayısının oldukça yüksek olması, elektronik imzanın cep telefonlarında kullanılmasını cazip hale getirmiştir. Dolayısıyla elektronik imza kullanımı daha çok yaygınlaştırmak ve kolaylaştırmak amacıyla mobil imza da devreye sokulmuştur. Türkiye’de mevcut elektronik imza sayısı 36.000 iken, mobil imza sayısı 22.530’dur.

Elektronik imzanın bu üstün gücüne rağmen, 2004 yılından bugüne kadar e-imza, dolayısıyla e-ticaret ve e-sözleşmeler Türkiye’de arzu edildiği kadar bir yaygınlaşma bulamamıştır. Oysa dünyada birçok ülke elektronik ticaret pastasından aldıkları payı her geçen yıl artırmakta ve elektronik ticareti teşvik edecek düzenlemeler yapmaktadır. Bilgi ekonomisi adı altında da, bu yeni ticaretin girdileri ile ekonomilerine yön vermektedirler. Bu konuda İstanbul Kapalıçarşı’nın bir günlük iş hacmi ile, internette hizmet veren bir elektronik ticaret sitesi olan Amazon.com’un günlük iş hacmi karşılaştırıldığında, elektronik ticaretin önemi kendiliğinden ortaya çıkacaktır.

Türkiye’nin e-ticaret ve e-imza’da geri kalışına sebep olarak; devletin bu konuda teşvik vermemesi, e-imza yatırım teknolojisinin pahalı oluşu ve yatırımların geri dönüşünün belirsiz oluşu, e-imza şirketlerinin teknolojiye odaklanıp, tanıtım vs. faaliyetleriyle fazla uğraşmaması, yasal düzenlemelerdeki engeller, e-devlet projelerinde e-imza kullanımı yerine daha başka teknolojilere atıf yapılıyor olması gibi nedenler gösterilmekteydi.

e-Ticaret ve e-İmza İçin Teşvikler Yolda!

Ancak şimdi devlet tarafından bu konuda önemli teşvikler verilmesi öngörülüyor. Öncelikle; elektronik imzanın finans ve bankacılık sektöründe yaygınlaşmasına engel olan hüküm kaldırılıyor. Elektronik İmza Kanunununda yer alan “teminat sözleşmelerinin güvenli elektronik imza ile yapılamayacağı ” şeklindeki hüküm kaldırılıyor. Ayrıca Kanuna yeni eklnecek bir hüküm ile de “güvenli elektronik imza kullanılarak yapılan her türlü resmi işlemlerden tahsil edilecek harçlar yüzde beş, diğer her türlü devlet alacakları binde beş tenzilâtlı olarak tahsil edileceği” hükme bağlanıyor. Dolayısıyla devlet internet ile hayatımıza yeni girmiş olan e-ticaret, e-imza gibi konulara ivme kazandırmak için teşvik vermeye başlamıştır.

Bu Öneriye aşağıdaki gerekçelerle katılmadığımı belirtmek isterim: “Bu hüküm burada belirtilen meblağlar bakımından bir tür vergi affı niteliğinde..hükmün kapsamı belirsiz ve çok geniş..Her türlü resmi işlem ve her türlü devlet alacaklarının kapsamının yeniden değerlendirilmesi gerekir. bu hüküm e-devlet uygulamalarını yaygınlaştırır her halükarda ama devlet tarafında bir belirsizlik oluşturmuş ve ileride devlet bütçesinde açık yaratabilir.Bu nedenle Kanaatimizce böyle bir hüküm yerine Damga Vergisi Kanunu 1. Maddeyi değiştirip, “güvenli elektronik imza ile yapılan elektronik işlemler damga vergisinden muaftır” şeklinde bir cümle getirilmesi daha uygun olacaktır. Çünkü resmi işlemlerden ve devlet alacaklarından halihazırda devletin eline geçen meblağlar bellidir. E-imzalı olarak yapılması halinde işlemlerin bu belli rakamda bir azalma söz konusu olacak ve bütçede açık yaratılacaktır. Oysa devlet elektronik imzalı işlem ve belgelerden şimdiye kadar zaten tek kuruş damga vergisi almış değil. Dolayısıyla elektronik imzalı işlemlerin damga vergisinden muaf tutulması halinde, devletin uğrayacağı herhangi bir kayıp söz konusu olmayacaktır. Ayrıca özellikle elektronik ticarette tüketici ve satıcı arasında elektronik imza kullanılarak yapılan elektronik sözleşmelerin Damga Vergisinden muaf olması, elektronik ticaretin taraflarını daha çok sözleşme yapmaya teşvik edecek ve mahkemelerde sözleşme yapılmadığı için ispat güçlüğü yaşanan davaların sayısını azaltacaktır”.

Telekomünikasyon Kurumu, elektronik imza sektörünü de rahatlatacak önerilerde de bulundu: Buna göre; elektronik imza hizmeti sunan kamu kurumlarının da Kurum’un denetimi altında olacağı ve bu sayede özel sektör ve kamu sektörü arasındaki eşitsizliğin giderilmesi, lisans rejimine tabi hizmetlerin ücretleri genel olarak düzenlemeye tabi iken, “bilgi toplumu hizmeti” olarak geçen güvenli elektronik imza hizmetlerine ilişkin ücret düzenlemesinin yapılmaması gerektiği, elektronik imza ücretlerine tüketici haklarının korunması veya rekabetin sağlanması noktasında sorun oluştuğunda müdahale edilmesi gerektiği vurgulanmıştır.




BASIN ÖZGÜRLÜĞÜ, ÖNEMLİ KAMUSAL YARAR İLKESİ VE HASSAS VERİLER

Başbakan’ın kan tahlili ve diğer sağlık verilerini gazete’de ifşa etmek, basın özgürlüğü açısından “önemli kamusal yarar” istisnasını gündeme getirir mi? Önemli kamusal yarar ilkesinin hassas veriler bakımından sınırı nerede başlar, nerede biter?

Yasalarımızda şimdiye kadar kişisel verilere ilişkin ayrımlar mevcut değildi. Bu nedenle eskiden özel hayata ilişkin bilgiler basının haber yapma özgürlüğü ve önemli kamu yararı ilkeleri çerçevesinde bir şekilde kamuoyuyla paylaşılmıştır. Fakat artık Türkiye’de Kişisel Verilerin Korunması Kanunu Tasarısı (Tasarı) adını taşıyan ayrı bir Kanun ve ayrıca Türk Ceza Yasası başta olmak üzere, 5070 sayılı Elektronik İmza Kanunu gibi birçok Kanunumuzda kişisel verilerin korunmasına ilişkin hükümler yer almaktadır. Yine 6.2.2004 tarihinde Telekomünikasyon Kurumu tarafından çıkartılan “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” de mevcuttur. Söz konusu düzenlemelerde yer alan hükümlerde artık kişisel veriler bir ayrıma tabi tutulmaktadır. Sağlık verilerinin de içinde yer aldığı hassas veya özel niteliği olan verilerin işlenmesi bakımından son derece sıkı ve özel istisnai kurallar getirilmektedir.


Hassas veya Özel Niteliği Olan Veriler hukumuzda Türk Ceza Kanunu md. 135/f.2’de ve Kişisel Verilerin Korunması Kanunu Tasarısı md. 7’de ifadesini bulmaktadır.

Kişisel Verilerin Korunması Kanunu Tasarısı’nda yer alan düzenlemeye göre; “kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel veriler” hassas veridir ve bu veriler işlenemez (md. 7/f. 1). Hassas verilerde söz konusu olan kesin işlem yasağına aşağıdaki istisnalar getirilmiştir (md. 7/f.2)

“Birinci fıkrada belirtilen kişisel verilerin, özel hayatın ve aile hayatının gizliliğinin korunmasını sağlayacak yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde işlenmesi mümkündür:

a) Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması,
b) Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda bulunan bir kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün idamesi için veri işlemenin zorunlu olması,
c) İlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü sahibinin, bu Kanunla veya diğer kanunlarla tanınan hak ve yetkileri kullanabilmesi veya yükümlülükleri yerine getirebilmesi için veri işlemenin zorunlu olması,
ç) Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi oldukları mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla, üye ve mensuplarına yönelik ve ilgili kişinin rızası olmadan üçüncü kişilere açıklanmamak kaydıyla veri işlenmesi,
d) İlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması,
e) Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin zorunlu olması,
f) Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin yürütülmesi amacıyla kişisel verilerin;
1) Sağlık kurumları,
2) Sigorta şirketleri,
3) Sosyal güvenlik kurumları,
4) İşyeri sağlık birimi oluşturmakla yükümlü işverenler,
5) Sağlıkla ilgili okul ve üniversiteler,
tarafından ilgili kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer seviyede sır saklama yükümlülüğü altındaki bir başka kişinin gözetimi altında işlenmesi.

(3) Özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, temel kamu yararlarının gerektirmesi hâlinde, ilgili mevzuatta yeterli koruma tedbiri bulunması kaydıyla, Kurul, özel niteliği olan kişisel verilerin işlenmesine karar verebilir.

(4) Suçun soruşturulmasına, koruma ve kontrol tedbirlerine ve ceza mahkûmiyetlerine ilişkin özel nitelikteki kişisel veriler, ilgili kanunlarda yeterli koruma tedbiri bulunması kaydıyla, yetkili mercilerin kontrolü altında işlenebilir. Ancak, ceza mahkûmiyetlerine ilişkin sicil sadece Adalet Bakanlığının kontrolü altında tutulabilir.

(5) İdarî nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin veriler de resmî mercilerin kontrolü altında işlenebilir.

(6) Vatandaşlık kimlik numarası veya benzeri karakteristik işaretlerin işlenme usul ve esaslarını belirlemek amacıyla yapılacak yönetmeliklerde Kurulun görüşü alınır.

Burada sayılan istisnalar arasında md. 7/f.3’de önemli kamusal yarar istisnası, temel kamu yararlarının gerektirmesi kavramı ile ifadesini bulmaktadır. Bu hükme göre; temel kamu yararlarının gerektirmesi halinde, özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, Kişisel Verileri Koruma Kurulu (Kurul), özel niteliği olan kişisel verilerin işlenmesine karar verebilir.

Dolayısıyla Kişisel Verilerin Korunması Kanunu Tasarısı yürürlüğe girdiği zaman, önemli kamusal yarar gerekçesiyle hassas verilerin işlenip işlenemeyeceğine Kurul karar verecektir.

Kişisel Verilerin Korunması Kanunu Tasarısında yer alan bu istisnai hüküm, bir farkla, 24 Ekim 1995 tarihinde Avrupa Parlamentosu ve Konsey tarafından yürürlüğe konulan “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması Yönergesi” (95/46/EC) md. 8/f.4’te de yer almaktadır. Bu hükme göre; Üye Devletler, yeterli garantilerin tanınmış olması şartıyla ya ulusal kontrol biriminin (bizim Tasarıdaki Kurul’u ifade ediyor) kararı ile ya da devletin yürürlüğe koyacağı ulusal bir düzenleme ile önemli kamusal yararların korunması amacıyla başka istisnalar getirebileceklerdir.

AB Direktifi md. 8/f.4’te yer alan bu hüküm, yani devletin ayrı ve özel bir kanun çıkartarak veya mevcut kanunlarda bu konuya ilişkin özel bir hükme yer vererek, önemli kamusal yarar ilkesini somutlaştırması çözümü bizim Tasarı’ya alınmamıştır. Türk Hukukunda dolayısıyla hassas verilerin bu ilke dolayısıyla işlenip işlenemeyeği Tasarı’nın mevcut yapısı dikkate alındığında sadece Kurul tarafından karar bağlanacaktır.

Devletin yeterli garantilerin tanınmış olması şartıyla, yapacağı bir yasa ile hassas verilerdeki kesin işlem yasağına istisnalar öngörebilmesi şeklindeki yetkinin, Tasarı’ya alınması gerekli ve önemlidir.