Verilerinizi koruyabiliyor musunuz?
28 Ocak 2020Türkiye'nin de aralarında bulunduğu 46 ülke, 28 Ocak 1981 tarihinde Avrupa Konseyi "108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi"ni imzaladı ve bu tarih Veri Koruma Günü ilan edildi. Gittikçe dijitalleşen dünyada veri koruma yollarını, veri ihlali durumunda yapılabilecekleri ve hukuki boyutunu beş soruda derledik.
Türkiye'de kişilerin verilerini korumaya yönelik kurum/kuruluş ya da yasa var mı?
Konu aslında anayasal güvence altında. Bilişim teknolojileri hukukçusu avukat ve öğretim görevlisi Serhat Koç, 2010 yılında 5982 sayılı Kanun'la yapılan Anayasa değişikliği ile Anayasa'nın 20. maddesine bir fıkra eklenerek kişisel verilerin "özel hayatın gizliliği ve korunması hakkı" kapsamında anayasal güvenceye kavuştuğuna dikkat çekiyor. 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) yürürlüğe girdiğini hatırlatan Koç, bu kanunun kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşıdığını belirtiyor.
Devlet kişilerin verilerini korumak için neler yapıyor?
Veri Okuryazarlığı Derneği kurucu üyesi Pınar Dağ, Kişisel Verileri Koruma Kurumu'nun illerde eğitim düzenlediğini ancak bu eğitimlerin etkilerinin henüz ölçülemediğini dile getiriyor. Uygulama/eğitim çalıştaylarının daha sık düzenlenebileceğinin, denetime yönelik sistematik bir çalışma yürütülebileceğinin altını çizen Dağ, "hibrit bir dijital devlet"in olduğunu söylüyor ve bunun veri güvenliğinde ülkeyi zayıf kıldığını ekliyor.
Avukat Koç, Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK) tarafından 27 Kasım 2013 tarihinde hazırlanan rapor ile kişisel verilerin Türkiye'de güvende olmadığının ortaya konulduğunu belirtiyor. Koç, DDK raporundan yaklaşık üç buçuk yıl önce konu ile ilgili makale yayınladıklarını ve bunu bir bildiri ile Uluslararası Bilişim Hukuku Kurultayı'nda sunduklarını anlatıyor. Koç, bireylerin mahremiyeti hakkında bilgiler içeren bu bildirinin üzerinden yıllar geçmesine rağmen konu hakkında herhangi bir iyileşme olmadığının altını çiziyor.
2013'te hazırlanan DDK raporunda bilgi güvenliği ve kişisel verilerin korunması konusunda kurumlarda büyük bir farkındalık eksikliği bulunduğuna dikkat çekilmişti. Yeterli bilinç düzeyinin gelişmemiş olduğunu vurgulayan raporda, bu durumun eksik ve yanlış uygulamalara yol açtığı ortaya konmuş ve bu konuda acil önlemler alınması gerektiği kaydedilmişti.
Koç, 24 Mart 2016 tarihinde TBMM'de kabul edilen KVKK'nin uygulanması bağlamında eksikliklerin olduğuna ve kanun çerçevesinde kurulan kurum ve süreçlerin işletilmesindeki çalışmaların ağır yürüdüğüne dikkat çekiyor.
Veri ihlali durumlarında bireyler nasıl bir korunma mekanizması geliştirebilir?
Veri Okuryazarlığı Derneği kurucu üyesi Dağ, veri ihlali durumlarında bireylerin bilgi talep etme hakkından yararlanması gerektiğinin altını çizerek, söz konusu ihlali yasal bir aşamaya taşımanın gerekliliğinden bahsediyor. "Dağıtımı kısıtlama, itiraz, düzeltme hakkı"ndan yararlanılabileceğini ifade eden Dağ, veri ihlali yaşandığında alınabilecek önlemleri çok az kişinin bildiğini de sözlerine ekliyor.
Avukat Koç, vatandaşların KVKK kapsamında ilgili kuruma şikayet yoluna başvurulabilmesi için ilk olarak veri sorumlusuna yani verilerini işleyen kişi/şirket ya da kurumlara yaptıkları başvurunun reddedilmiş, verilen cevabın yetersiz bulunmuş ya da 30 gün içinde başvuruya cevap verilmemiş olması gerektiğini söylüyor. Koç, kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen kişilerin tazminat haklarının kanunda saklı tutulduğunu belirtiyor.
Şirketler veri ihlali durumunda neler yapabilir?
Bireyler gibi şirketler de veri ihlali ile karşı karşıya kalıyor. Avukat Koç, kanunun veri güvenliğine ilişkin 12'inci maddesine göre veri sorumlusunun gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu dile getiriyor. Şirketlerin veri güvenliğine ilişkin alacağı önlemlerin veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerektiğini ifade eden Koç, bu sebeplerle veri güvenliğine tek bir model öngörülemediğini söylüyor.
Kişisel verilerin korunması kapsamında hukuki uyumluluk projeleri ve Veri Sorumluları Sicil Bilgi Sistem (VERBİS) kayıt süreçleri yürüttüklerini, yükümlülükler ve yapılması gerekenler hakkında eğitimler düzenlediklerini söyleyen Koç, bu eğitimler ile farkındalığı artırmayı amaçladıklarının altını çiziyor.
Bireyler kişisel verilerini korumak için neler yapmalıdır?
Pınar Dağ, bireylerin verilerini korumak için önce haklarını bilmelerinin ve mevzuatı anlamaları gerektiğinin altını çiziyor ve vatandaşlara KVKK kılavuzunu indirip okumalarını tavsiye ediyor.
Gazeteci Mehmet Şafak Sarı ise verileri korumanın çok boyutlu ve uzun bir süreç olduğunu belirtiyor. Sarı, vatandaşlar için beş ipucu sıralıyor:
-Bir bağlantıya tıklamadan önce en az iki kez düşünmekte fayda var. Cihazınızın ve internet profillerinizin ele geçirilmesinin en kolay yollarından biri kötü amaçlı bağlantılara tıklamak. Saldırganlar size ‘olta atmayı’ çok severler. Ama biz yemlenmeyi sevmemeliyiz. Şüpheli gördüğünüz bağlantılara dikkat etmemiz gerekiyor.
-Yazılımları sürekli güncellememiz gerekiyor. Çünkü kötü amaçlı gruplar yazılımlardaki açıkları keşfederek saldırılarını gerçekleştiriyor.
-Bazı şirketler çok pervasız ve onlara güvenmemek gerekiyor. Kullandığınız yazılımların ne yaptığını mutlaka bilin, hukuki haklarınızı da bilin. Dünyadaki hem satış süreçlerinde hem de yazılımlar hakkında kural koyucuların açıklamalarını ve görüşlerini mutlaka dinleyin.
-Evinizdeki modemi mutlaka güvenceye alın. Kablosuz ağ parolanız güvenli mi? Modeminize dışardan erişilebiliniyor mu? Parolalarınızı düzenli periyodlarla değiştiriyor musunuz? Modeminizin WPS'i açık mı? Bunlar çok önemli. Buradaki soruların cevaplarına yönelik güvenlik adımları gerçekleştirmezseniz sizin modeminiz üzerinden işlenen suçların sorumlusu olup hapse bile düşebilirsiniz.
-Herkese açık kablosuz ağlara bağlandığınızda ("public Wi-Fi") kesinlikle güvenli olduğu belirtilen VPN kullanmalısınız. Siber saldırganlar genellikle normal bir Wi-Fi gibi görünen sahte ağlarla tarayıcınıza ve bilgisayarınıza erişebiliyor. Bu yüzden ağınızı muhakkak şifreleyen VPN teknolojisini kullanmalısınız. Yoksa girdiğiniz ağdaki tüm tarayıcı ve bilgisayar faaliyetiniz görülebilir ve manipüle edilebilir.
Eda Narin
© Deutsche Welle Türkçe