Paper Title (use style: paper title)

advertisement
Bilişim Uygulamalarında Kişisel Verilerin Korunması
Burak MEMİŞ
İbrahim YAKUT
Dumlupınar Üniversitesi
Bilgisayar Mühendisliği Bölümü
Kütahya, Türkiye
burak.memis@dpu.edu.tr
Anadolu Üniversitesi
Bilgisayar Mühendisliği Bölümü
Eskişehir, Türkiye
iyakut@anadolu.edu.tr
Özet — Bilgi teknolojilerinin yaygınlaşması ile kişisel verilerin
korunması ciddi bir problem teşkil etmektedir. Her geçen gün
hayatımızda biraz daha fazla yer teşkil eden bilişim
uygulamalarıyla birlikte kişisel verilerin korunmasına yönelik
gereksinimler ortaya çıkmış ve bu bağlamdaki ihtiyaçlar
beraberinde çözüm yaklaşımlarını da getirmiştir. Bu çalışmada
kişisel verilerin korunması ile ilgili tanım ve tarihsel gelişimi
verdikten sonra uluslararası alanda ve ülkemizdeki hukuki
düzenlemeleri inceleyeceğiz. İlgili düzenlemeler ışığında mevcut
bilişim uygulamalarında kişisel veri paylaşımının nasıl
gerçekleştiğini ele alıp çeşitli yaklaşımlar ile kişisel verilerin
korunmasına yönelik çözümler ifade edilecektir.
Anahtar Kelimeler— kişisel veriler;
uygulamaları; uluslararası düzenlemeler;
gizlilik;
bilişim
Abstract — Along with the proliferation of the information
technologies, the preservation of personal data becomes a severe
problem. As information systems take much more place in our
life day by day, the requirements to protect the personal data
becomes crucial issue and requirements in this context come up
with the solution approaches for them. In this study, after giving
the definition and the historical development about the
preservation of the personal data, we will examine the legal
regulations in the international scope and in our country. In the
light of the concerning regulations, the subject of how the
personal data distribution occurs in information systems will be
handled and personal data preserving solutions will be
elucidated.
Keywords— personal data; privacy; information systems;
international regulations;
I. GİRİŞ
Teknolojinin gelişmesi ile birlikte iletişim ve haberleşme
araçları ve özellikle bilgisayarlar yaşamamızın her alanında
yer almaya başlamıştır. Bu teknolojiler, hayatımızı
kolaylaştırmanın yanı sıra pek çok sorunu da beraberinde
getirmiştir. Kullanıcıların bu teknolojiler aracılığıyla kolay bir
şekilde verilerini paylaşabilmeleri ve veri gizliliği konusunda
bilinç eksiklikleri onları bu ortamlarda savunmasız
bırakmıştır. 20. Yüzyılla birlikte temel hak ve özgürlükler
alanında dünya genelinde ciddi anlamda hukuki düzenlemeler
yapılmıştır[1, 2]. Buna paralel olarak iletişim teknolojileri
konusunda
özellikle
bilgisayar
kullanımında
bazı
düzenlemeler kaçınılmaz hale gelmiştir. Özellikle Avrupa’da
1950’li yıllardan sonra kişisel verilerin korunması ile ilgili
önemli düzenlemeler birbiri ardına hayata geçirilmiştir.
Ülkemizde bu konu ile ilgili olarak özel bir yasa
bulunmamakla birlikte, çeşitli hukuki düzenlemelerde kişisel
verilerin korunması güvence altına alınmıştır[3]. Ayrıca,
7/5/2010 tarihli ve 5982 sayılı Türkiye Cumhuriyeti
Anayasasının Bazı Maddelerinde Değişiklik Yapılması
Hakkında Kanun’un 2’nci maddesiyle, Türkiye Cumhuriyeti
Anayasasının 20.maddesine hüküm eklenerek kişisel verilerin
korunması güvence altına alınmıştır [3]. Kişisel verilerin
korunması hakkı, verilerin kendisi ile beraber bireylerin
özgürlüklerini de korumaktadır. Fakat sadece verinin
kendisinin korunması, kişisel verilerin korunmasını değil veri
güvenliğini ilgilendiren bir husustur. Bu bakımdan kişisel
verilerin korunması, temel hak ve özgürlükler kapsamında
kişisel verilerin korunmasına yönelik hizmet etmektedir[4].
Gelişen teknolojiler neticesinde, yasal düzenlemeler
olmaksızın kamu organlarının veri işlem faaliyetleri karşısında
bireylerin özgür biçimde kişiliklerini geliştiremeyecekleri ve
demokratik yaşama katılamayacakları düşüncesi ortaya
çıkmıştır[4]. Kişisel verilerin korunması hukukunun ortaya
çıkışında temelde üç etkenin bulunduğu söylenebilir:
 Çeşitli örgütlerce kişisel verilere duyulan gereksinim;
 Teknolojideki gelişmeler;
 Gözetim teknolojilerindeki gelişmeler nedeniyle
duyulan kaygı[5].
Günümüzde yayınlanmakta olan “Person of Interest” dizisi
kişisel verilerin korunması hukukunun çıkmasının aslında ne
kadar yerinde olduğunu gözler önüne sermektedir. Bu dizide
tasarlanmış bir makine ile kişilerin cep telefonu konuşmaları,
e-postaları, günlük davranışları kayıt altına alınmaktadır. Bu
şekilde kendisi ile ilgili her türlü veri kayıt altına alınan
kişinin kendisini güvende hissetmesi gerekmektedir. Bu
güveni ise kişisel verilerin korunması hukuku verecektir.
Kişisel verilerin korunması hukuku, gerçek kişilere hangi
kişisel verilerinin, kim tarafından ve kimin için toplanıldığını
ve işlendiğinin öğrenme hakkı vermektedir[6].
II. TANIMLAR VE TARİHSEL GELİŞİM
A. Tanımlar
Bilişim uygulamalarında, gizlilik olarak Türkçeye
aktarılan “confidentiality” kelimesi ile mahremiyet olarak
aktarılan “privacy” kelimesi karşımıza sıklıkla çıkmaktadır.
Mahremiyet, herkes tarafından bilinmeyen ve bilinmesi o
kişinin kişisel haklarına zarar verecek bir kavram olarak
tanımlanmaktadır. Warren and Brandeis’e göre mahremiyet
ise yaygın sivil ayrıcalıkları güvence altına alan bir hak olarak
tanımlanmıştır[7]. Bilgi güvenliğinin en temel amaçlarından
biri olan gizlilik ise bilginin içeriğinin yetkili kişiler harici
herkesten korunması demektir.
Hukuk literatüründe hak ve borçlara ehil olan varlıklara
kişi denilmektedir. Medeni hukukumuzda kişiler gerçek ve
tüzel olmak üzere 2’ye ayrılmaktadır. Gerçek kişiler
insanlardır. Tüzel kişiler belli bir amacı gerçekleştirmek üzere
kurulmuş olan mal ve insan toplulukları olup bunlar kişi ve
mal topluluklarıdır.
Kişisel veri, belirli ya da belirlenebilir nitelikteki kişiye
ilişkin her türlü bilgiyi ifade olan bir kavram olarak
tanımlanmaktadır[3]. Anayasa mahkemesinin bir kararında ise
kişisel verinin “belirli veya kimliği belirlenebilir olmak
şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği”
belirtilmiştir[8]. Bu tanımlardan da anlaşıldığı üzere kişisel
veri kavramında temel unsur, bu verilerin kimliği belirli
olmasa bile en azından kimliği belirlenebilir bir kişiye ait
olması gerektiğidir. Tanımlardan ortaya çıkan diğer unsurlar
ise veri ve bilgi kavramlarıdır. Veri işlenmemiş bilgi olarak
tanımlanabilir. Bilgi ise, araştırılarak ve duyular kullanılarak
elde edilen anlamlı veriler olarak tanımlanmaktadır.
Bilişim uygulamaları verileri elle veya otomatik yollarla
toplayarak bunları faydalı bilgi haline getirmektedir. Artan
veri miktarı bunları kullanmada kolaylık sağlayacak bazı
teknolojilerin gelişmesine imkan sağlamıştır. Bu sayede veri
tabanı sistemleri, veri ambarları ve veri madenciliği gibi
unsurlar ortaya çıkmıştır. Veri
tabanı bilgisayar
terminolojisinde güncellenebilen, silinebilen, taşınabilen
düzenli ilişkisel bilgiler olarak tanımlanmaktadır. Veri ambarı
ilişkili bilgilerin bir arada bulunduğu, sorgulanabildiği ve
üzerinde gerekli işlemlerin yapıldığı bir depodur. Veri
madenciliği ise veri tabanlarındaki ve veri ambarlarındaki
verilerden faydalı bilgilerin elde edilmesidir.
Kişisel verilerin korunması sürecinde gizlilik, bu verilerin
ilgili-yetkili kişiler tarafından kullanılmasını veya gerekli
işlemlerin yapılması anlamına gelmektedir. Bunun yanı sıra
bazı istisnai durumlarda verilerin başka kişiler ya da
kurumlarla da paylaşılması mümkündür. Örneğin 11 Eylül
olayının sonucu olarak Amerika’ya yolculuk yapan kişilerin
bilgileri
havayolu
şirketleri
tarafından
ABD
ile
paylaşılmaktadır[5].
B. Tarihsel Gelişim
Teknolojik gelişmeler hayatımızı her ne kadar her alanda
kolaylaştırmış olsa da beraberinde bir takım sorunları
getirmektedir. Bu sorunlardan biri ise önceki bölümlerde
anlatıldığı gibi kişilerin verilerini paylaşması sonucu ortaya
çıkan bu verilerin korunmasına dair sorundur. Bu problemin
ortaya çıkmasıyla beraber 1900’lü yılların 2. yarısı itibariyle
gelişmiş ülkelerde verilerin korunmasına dair hukuksal
düzenlemeler ortaya çıkmaya başlamıştır. Verilerin
korunması, temelde “veri”lerin değil, bu verilerin ilişkili
olduğu kişilerin korunmasını hedef alır[5]. Bu yüzden, kişisel
verilerin korunması hukukunun ortaya çıkış noktasının bireyin
korunması olduğu anlaşılmaktadır[9]. Kişisel verilerin
korunmasına yönelik ilk yasal düzenlemeler özellikle Avrupa
ülkelerinde ve ABD’de görülmektedir. Daha sonra ulusal ve
uluslararası düzenlemeler ortaya çıkmaya başlamıştır.
Kişisel
verilerin
korunması
kavramının
ortaya
atılmasından günümüze kadar olan hukuki düzenlemeler Şekil
1’de kronolojik olarak gösterilmiştir. Kişisel verilerin
korunmasına yönelik günümüzde kullanılan kavramlardan
bazıları yaklaşık 100 yıl kadar önce akademik çalışmaların
konusu olmaya başlamıştır.
Bu konudaki en önemli
çalışmalardan biri olarak kabul edilen 1890 yılındaki Gizlilik
Hakkı çalışması ile mahremiyet ve gizlilik kavramları gün
yüzüne çıkmaya başlamıştır[7]. Kişisel verilerin korunması
hızla yayılan bir kavram olduğu için, 1900’lü yıllarda
Birleşmiş Milletler İnsan Hakları Evrensel Bildirgesi’nde ve
Avrupa İnsan Hakları Sözleşmesinde bu konuda hükümler
bulunmaktadır. Bilgisayar kullanımının hayatımıza girdiği
1950’li yıllarla beraber kişisel verilerin korunması hukuksal
düzenlemelerde yer almaya başlamıştır. Verilerin korunmasına
yönelik olarak ilk yasal düzenleme 1970 yılında Almanya’nın
Şekil 1. Kişisel verilerin korunmasının tarihsel gelişimi
Hessen eyaletinde görülmektedir. Bu düzenlemeyi 1973
yılında İsviçre’de verilerin korunmasına yönelik olarak
yapılan ilk ulusal düzenleme takip etmektedir. Daha sonra
1974 yılında ABD’de, 1976 yılında Portekiz’de, 1977 yılında
Almanya’da ve 1978 yılında İspanya’da kişisel verilerin
korunmasına yönelik olarak yasal düzenlemeler yapılmıştır.
1980 yılına gelindiğinde ise Ekonomik İşbirliği ve Kalkınma
Örgütü (OECD) bu konuda rehber ilkeler yayınlamıştır. 1981
yılında ise Avrupa Konseyi tarafından Avrupa’da kişisel
verilerin korunmasına yönelik olarak ilk gelişme yaşanmıştır.
1990 yılına gelindiğinde ise Birleşmiş Milletler Bilgisayara
Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler’i
yayınlamıştır. 1995 yılında Avrupa Birliği tarafından üye
devletler nezdinde zorlayıcılığı bulunan 95/46/EC sayılı,
“Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı
Bakımından Bireylerin Korunmasına İlişkin Avrupa
Parlamentosu ve Avrupa Konseyi Direktifi” yayınlanmıştır.
Ülkemizde ise ilgili yasal düzenlemeler bulunmakla
beraber 2010 yılında yapılan referandumla Türkiye
Cumhuriyeti Anayasası’nın 20. maddesine kişisel verilerin
korunması ile ilgili hüküm eklenmiştir[15].
III. ULUSLARARASI DÜZENLEMELER VE TÜRKİYE’DEKİ DURUM
A. Uluslararası Düzenlemeler
1) Ekonomik İşbirliği ve Kalkınma Örgütü (OECD)
Uluslararası alanda kişisel verilerin korunması konusunu
gündeme taşıyan ilk örgüt OECD’dir[10]. OECD kişisel
verilerin korunmasına yönelik rehber ilkeler yayınlamıştır[11].
Yayınlanan OECD Rehber İlkeleri ile kişisel veriler
uluslararası alanda güvence altında alınmıştır. OECD rehber
ilkeleri tavsiye niteliğinde olup bu ilkelerin üye ülkeler
tarafından bağlayıcılığı bulunmamaktadır.
2) Birleşmiş Milletler
Birleşmiş Milletler’in kişisel verilerin korunmasına
yönelik en önemli girişimlerinden birisi 1990 yılında kabul
ettiği “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin
Rehber İlkeler”dir. BM Rehber İlkeleri uyarınca, ulusal hukuk
sistemlerinde tanınması gereken güvenceler şu konulara
ilişkindir:
 Yasal ve dürüst yollarla toplama ve işleme ilkesi;
 Verilerin doğruluğu ilkesi;
 Amacın belirliliği ilkesi;
 İlgili kişinin erişimi ilkesi;
 Ayrımcılık yapmama ilkesi;
 Veri güvenliği ilkesi;
 Denetim ve yaptırım;
 Verilerin sınır ötesi akışı [5].
3) Avrupa Konseyi
4 Kasım 1950’de Konsey tarafından kabul edilen Avrupa
İnsan Hakları Sözleşmesi, kişisel verilerin korunması ile ilgili
doğrudan düzenlemeler içermemesine rağmen “Özel ve aile
hayatına saygı hakkı” başlıklı 8. maddesinde bu konu ile ilgili
olarak hükümler yer almaktadır[3]. Avrupa’da kişisel verilerin
korunması ile ilgili olarak karşımıza çıkan ilk gelişme 28 Ocak
1981 tarihli 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi
Tutulması
Sırasında
İnsanın
Korunmasına
İlişkin
Sözleşme”dir. Bu sözleşme sadece otomatik olarak işlenen
veriler için güvence vermiştir. Sözleşmede öngörülen temek
ilkeler şunlardır:
 Verilerin meşru ve yasal yoldan elde edilmesi, belirli
amaçla kullanılması;
 Uygun ve güncel olması gibi belirli niteliğinin
bulunması;
 Hassas kişisel verilerin daha özel koruma altına
alınması;
 Verilerin güvenliğinin sağlanması;
 İlgili kişinin verilere ulaşma, verilerin düzeltilmesi
veya silinmesini isteme hakkı[12].
4) Avrupa Birliği
Avrupa Birliği veri koruma modelinin en önemli farklılığı
“zorlayıcılığı”dır. Birlik üyesi devletlerin hepsinde kişisel
verilerin korunmasını teminat altına alan kuralların
uygulanmasını gözeten ve sağlayan birimler bulunmaktadır[5].
24 Ekim 1995 tarih ve 95/46/EC sayılı, “Kişisel Verilerin
İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin
Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi
Direktifi” kişisel verilerin korunması konusunda çıkarılan en
etkili düzenlemedir[13]. Bu direktifin en önemli
özelliklerinden birisi sadece otomatik olarak işlenen verilerin
değil elle işlenen verilerin de güvence altına alınmış olmasıdır.
5) Asya Pasifik Ekonomik İşbirliği
Örgütün kabul ettiği “APEC Özel Yaşamın Gizliliği
Çerçeve Belgesi” ise, APEC ülkesi ülkelerinin kişisel verilerin
korunmasına yönelik kendi yaklaşımlarını göstermektedir[5].
B. Türkiye’deki Durum
Bilgi iletişim teknolojilerindeki son gelişmeler, ülkemizde
de yakından takip edilmektedir. Türkiye İstatistik Kurumunun
araştırmasına göre; nüfusun 16-74 arasındaki kesiminin
bilgisayar kullanım oranı 2013 yılında %49,9 iken bu oran
2014 yılında %53,5’ e çıkmıştır[14]. Aynı araştırmaya göre ise
internet kullanım oranı 2013 yılında %48,9 ilken 2014 yılında
%53,8 seviyesine çıkmıştır. Bu sonuçlara göre ülkemizdeki
her iki insandan birisi bilgisayar kullanmakta aynı zamanda
internet erişim oranı da bilgisayar kullanım oranı ile doğru
orantılı artış göstermektedir. Ama bu teknolojilerin
kullanımının artması bunların kullanımı ile ortaya yeni
sorunlar çıkartmıştır. Bu sorunların en başında kullanıcıların
kendileri ile ilgili bilgileri paylaşması ve bu paylaşım sonucu
ortaya çıkan bu verileri koruma ihtiyacıdır. Uluslararası
alandaki bu konu ile ilgili düzenlemeler bir önceki bölümde
anlatılmıştır.
Türkiye, teknolojik gelişmeleri çok yakından takip
etmesine rağmen, kişisel veri olarak adlandırılan unsurların
korunması alanındaki düzenlemeler konusunda maalesef diğer
ülkelerin özellikle Avrupa Birliği ülkelerinin gerisinde
kalmıştır. Henüz bu konuyla ilgili herhangi bir özel yasal
düzenleme bulunmamaktadır. Kişisel verilerin korunmasına
yönelik özel bir yasal düzenleme bulunmadığı için 28 Ocak
1981 tarihinde Türkiye tarafından imzalanan Avrupa
Komisyonu Veri Koruma sözleşmesinin onaylama işlemi hala
tamamlanamamıştır. Kişisel verilerin korunmasına yönelik
özel bir yasal düzenleme olmamasına rağmen Türkiye
Cumhuriyeti Anayasanın 20. maddesine 2010 referandumu ile
bu konuda bir hüküm eklenmiştir[15].
26.09.2004 tarihli 5237 sayılı Türk Ceza Kanunu’nda da
bununla ilgili düzenlemeler bulunmaktadır. İlgili kanunun
135. maddesinin 1. fıkrası ile kişisel verileri, hukuka aykırı
olarak kaydeden kimseye altı aydan üç yıla kadar hapis cezası
verilecektir. Yine Türk Ceza Kanunu’nun 136. maddesinin 1.
fıkrasında ise “Kişisel verileri, hukuka aykırı olarak bir
başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört
yıla kadar hapis cezası ile cezalandırılır” şeklinde hüküm
bulunmaktadır. Aynı kanunun 137.maddesi ise tutulan verileri
belli süre içerisinde yok etmeyen kişileri cezalandırmaktadır.
Maddelerden de anlaşılacağı üzere kişisel verilerin hukuk
kuralları çerçevesinde toplanması, kullanılması ve yok
edilmesi gerekmektedir. Ayrıca Elektronik Haberleşme
Kanunu ile de kişisel veriler güvence altına alınmaya
çalışılmıştır. Bunun yanı sıra özel hukuk, idare hukuku gibi
alanlarda da bu konuda çeşitli düzenlemeler bulunmaktadır.
IV. BİLİŞİM UYGULAMALARINDA VERİ PAYLAŞIMI
Günümüzde bilişim uygulamaları hızlı bir gelişme süreci
göstererek hayatımızın vazgeçilmez unsurlarından biri haline
gelmiştir. Kimi zaman alışveriş sitesi gibi uygulamalar
ihtiyaçlarımızı karşılarken kimi zaman da Facebook, Twitter
gibi sosyal ağlar eğlenceli zaman geçirmemizi sağlamaktadır.
Sundukları bu hizmetlerin yanında, bilişim uygulamaları
kişisel
verilerin
gizliliği
ile
ilgili
sakıncalar
oluşturabilmektedirler. Kullanıcılara ait verilerin toplanması,
işlenmesi ve iletilmesi Şekil 2’de gösterildiği gibi 2 aşamada
ele alınabilir. İlk aşama kullanıcı ile bilişim hizmetlerini
sağlayan kurum arasında olup, bu aşamada kullanıcının
kendisine ait veriler kurum tarafından toplanmakta, işlenmekte
ve iletilmektedir[16]. Bilişim hizmeti sağlayan kurum bir
alışveriş sitesi olacağı gibi kullanıcıları film ve kitaplar
hakkında yorumlarını paylaştığı sanat ve edebiyat içerikli bir
site de olabilir. Arkadaşlar arasında kişisel ve sosyal
paylaşımlara ve sosyal ağlar oluşturmaya imkan sağlayan
sosyal ağ siteleri de bilişim hizmeti sağlayan kurumlara örnek
olarak düşünülebilir. Bunun yanı sıra günümüzde devletler de
çeşitli hizmetlerini vatandaşlarına internet üzerinden sunmakta
ve bu noktada onları da bilişim hizmeti sunan kurum olarak
düşünebiliriz. 2’de kullanıcı-kurum veri paylaşımı dikey
oklarla gösterilmektedir ve genelde kullanıcılar kişisel profil
bilgilerini, çevrimiçi işlemlerin gerek duyduğu bilgileri girip
kurumun veri tabanına gönderirler. Diğer aşamada ise bilişim
hizmeti veren kurumlar kendi aralarında kullanıcıların
verilerini paylaşma durumunda kalmaktadırlar[17]. Şekil 2’de
yatay okla gösterilen bu paylaşım modeline kurumlar veri
işleme süreçlerinde ihtiyaç duyabilirler. Bu bölümde bu veri
paylaşım aşamaları farklı alt başlıklar altında ele alınacaktır.
Şekil 2. Kişisel verilerin paylaşım aşamaları
A. Kullanıcı – Kurum Veri Paylaşımı
Çoğu bilişim uygulamasının kullanımında karşımıza ilk
olarak, üyelik işlemi olarak adlandırılan kullanıcıdan zorunlu
olarak demografik bilgiler, adres bilgileri gibi bazı hassas
verilerin alındığı adım çıkmaktadır. Bu hassas verilerin en
başında ise kimlik numarası olarak adlandırılan ve bu numara
kullanılarak kişi ile ilgili olarak her türlü bilginin rahatlıkla
elde edilebildiği veri gelmektedir. Bu gibi hassas verilerin
alındığı bu adımda, karşımıza bu verileri elde etmeye yönelik
saldırılar çıkmaktadır. Bu saldırıların en başında sosyal
mühendislik olarak adlandırılan ve insanlardan istediklerini
öğrenme sanatı ve bilimi olarak tanımlanan saldırı yöntemi
gelmektedir. Burada amaç sisteme izinsiz girerek kullanıcı ile
ilgili hassas bilgileri elde etmektir.
Kullanıcı üyelik işlemini tamamladıktan sonra uygulamayı
kullanmaya başlamaktadır. Bu aşamada kullanıcı; tavsiyede,
yorumda, beğenide bulunarak sistem tarafından kendisine ait
verilerin toplanmasına isteyerek ya da istemeyerek izin
vermektedir. Bunun yanı sıra kullanıcının hangi sayfalarda ne
kadar süre harcadığı, hangi zaman dilimlerinde sisteme giriş
yaptığı gibi bilgiler de sistem tarafından tutulmakta ve
saklanmaktadır. Bu gibi veriler kullanılarak kullanıcının
profili rahatlıkla oluşturulmakta ve kullanıcıya yönelik veriler
işlenmektedir.
Kimi bilişim uygulamalarının üyelik
sözleşmelerinde,
kullanıcılardan
bu
gibi
verilerin
toplanacağına ve kullanılacağına dair bilgiler bulunmasına
rağmen, çoğu bilişim uygulamalarının üyelik sözleşmesinde
kullanıcılardan bu gibi verilerin toplanacağına ve
kullanılacağına dair herhangi bir bilgi bulunmamaktadır. Bu
durum da ortaya hukuka aykırı bir şekilde kullanıcılara ait
verilerin toplanması ve kullanılması problemine sebep
olmaktadır.
Bilgisayar bilimleri alanında kullanıcıların veri
hassasiyetlerine yönelik olarak kriptografik [18], rassal bozma
[16] ve anonimleştirme[19] teknikleri kullanılarak çeşitli
çalışmalar yapılmıştır. Yakut ve Polat [16] çalışmalarında
rassal bozma tekniğini kullanan sabit zamanlı ortak filtreleme
algoritması ile kullanıcı gizliliğini koruyarak tahmin ve
tavsiye gibi temel ortak filtreleme servislerini yerine getirecek
bir yöntem önermişlerdir. Pinkas [18] veri madenciliğindeki
güvenli dağıtık hesaplama ve bunların uygulamalarını
kriptografik tekniklere dayalı olarak gerçekleştirmiştir.
Sweeney [19] ise çalışmasında k-anonimlik kavramını ortaya
atmış ve veride bir etiketin en az k tane varlığa karşılık
gelecek şekilde anonimleştirecek şekilde kullanıcı verilerinin
gizliliğini sağlayacak yöntemi önermiştir. Akademik
çalışmaların yanısıra günlük internet kullanımında kişisel
verileri korumaya yönelik ağ teknolojilerinin kullanımı
yaygınlaşmıştır. Bu teknolojilere örnek olarak The Onion
Router (TOR), Virtual Private Network (VPN), proxy
sunucuları verilebilir. Kişisel verilerin korunması TOR
teknolojisinde iletişim seri sanal bir çok tünel üzerinden
gerçekleştirilerek, VPN’de ise internet üzerinden sanal özel ağ
denilen ağlara şifreli bir bağlantı kurularak sağlanmaktadır.
Anonimliği sağlama amacıyla kullanılan Proxy sunucular
sayesinde ise kullanıcı bir ağa doğrudan bağlanmak yerine ara
sunucular üzerinden bağlanarak kimliğini gizleyebilmektedir.
İnternet üzerinden yapılan iletişimde kişisel veriye yönelik
risklerden biri de sosyal medya aracılığı ile kişiler arasında
yapılan haberleşmede ortaya çıkmaktadır. Aslında, teknik
olarak kullanıcı-kurum ile veri paylaşmaktadır ancak bu
sitelerin yapısı kullanıcı-kullanıcı paylaşımları da beraberinde
getirmektedir. Bu şekilde yapılan haberleşmede kullanıcılar
kendileri ile ilgili kişisel verileri rahatça paylaşmaktadırlar.
Özellikle bu ortamlarda paylaşılan hassas kişisel veriler
önemli bir takım sorunların ortaya çıkmasına neden
olmaktadırlar. Bu sorunların başında sahtekarlık, dolandırıcılık
gibi tehlikelere maruz kalma gelmektedir. Bu gibi sorunların
ortaya çıkmasını önleyebilmek ve daha aza indirmek için
kullanıcıların verilerini, özellikle hassas kişisel verilerini
sosyal medya aracılığı ile paylaşıp paylaşmama ve ne kadarını
nasıl
paylaşacakları
konusunda
bilinçlendirilmesi
gerekmektedir.
Ayrıca, kişi ile kurum arasında haberleşme esnasında
üçüncü partilerce kişisel verileri açığa çıkarmaya yönelik
saldırılar da olasıdır. Bunların başında sanal alışveriş
uygulamalarında kredi kartı bilgisinin paylaşılması sırasındaki
olası güvenlik açıklarıdır. Özellikle kullanıcıların çevrimiçi
alışveriş yaparken alışveriş sitesinin geçerli SSL
sertifikasyonu olmasına dikkat etmeleri gerekmektedir. SSL
sertifikasyonu sayesinde kredi kartı bilgileri gibi hassas veriler
gönderilmeden önce otomatik olarak şifrelenir ve sadece
doğru alıcı tarafından şifre çözümlenebilir. SSL sertifikasında
40 bit ve 128 bit gibi şifreleme yöntemi bulunmaktadır.
Genellikle sanal alışveriş uygulamalarında anahtar uzunluğu
128 bit şifreleme yöntemi kullanılmakta ve kullanılan bu
yöntem ile şifrelenen verilerin üçüncü şahıslarca elde edilmesi
büyük bir maliyet ve zaman gerektirmektedir. Kredi kartı
bilgilerini elde etmeye yönelik diğer bir saldırı çeşidiyse
oltalama (phishing) saldırısıdır. Oltalama saldırıları internet
üzerinde en çok kullanılan saldırılardan bir tanesi olup bu
saldırı yöntemi ile bankalardan gelmiş gibi gösterilen epostalar ile kişilere ait kredi kartı, banka hesap bilgileri elde
edilmektedir. Bunun yanı sıra tuş kaydedici (keylogger)
yazılımlar kullanılarak da kişilere ait bilgiler elde
edilmektedir. Bu yöntemde klavye tuş girdilerini kayıt eden
casus yazılımlar kullanılarak kullanıcının klavye ile girmiş
olduğu hassas veriler kayıt altına alınmaktadır. Bu gibi
saldırılara önlem olarak ise sanal klavye ve 3D güvenlik
yöntemleri kullanılmaktadır.
B. Kurum – Kurum Veri Paylaşımı
Bilişim uygulamalarını geliştiren firmalar, kullanıcılara
sunulan hizmet kalitesini ve müşteri memnuniyetini
artırabilmek, veriler üzerinden maddi ve manevi kazançlar
elde edebilmek için müşteri bilgilerini başka firmalarla
paylaşma yoluna gidebilmektedirler. FACEBOOK kullanıcı
sözleşmesinde kullanıcılarının verilerinin başka kurumlarla
paylaşılabileceği açık bir şekilde görülmektedir[20]. Kimi
zaman bu durum üyelik sözleşmelerinde kullanıcılar
bilgilendirilmek suretiyle yapılsa da kimi zaman kullanıcıların
bilgisi dışında gerçekleştirilmesi olasıdır. Yukarıda da
belirtildiği üzere kişisel verilerin diğer kurumlar ile
paylaşılması ancak kişinin rızasının olması ile mümkündür.
Bunun yanı sıra bu verilerin paylaşılması kimi zaman hukukun
zorunlu kıldığı hallerde de mümkün olabilir. Bunun
haricindeki kişisel verilerin paylaşılması işlemleri hukuka
aykırı bir şekilde gerçekleştirilmiş olacaktır.
Kurumlar arası paylaşılmış veri üzerinden veri madenciliği
yöntemleri akademik olarak çok sayıda makalede ele alınmış
ve çok sayıda teknik önerilmiştir[17, 21]. Örneğin, öneri
sistemleri ile ilgili Memiş ve Yakut’un gerçekleştirdiği
çalışmada [17], kullanıcıya yapılacak olan önerinin kalitesini
arttırabilmek amacıyla kullanıcı verilerinin aynı sektörde
faaliyet gösteren iki şirket arasında paylaşılması yoluna
gidilmektedir. Bu çalışmanın çıkış noktası ise bilişim hizmeti
olarak öneri servisi sağlayan şirketlerin elinde gerçek
kullanıcılara ait yeterli verinin bulunmamasıdır. Yazarlar bu
çalışmada[17] bu yetersiz veri problemine yönelik olarak
gizlilik korumalı öneri üretme yöntemi geliştirmişlerdir.
Vaidya ve Clifton ise çalışmalarında [21] k-means kümeleme
algoritmasının veri sahibi organizasyonların verilerini
paylaşımlı bir şekilde girdi olarak kullanarak ve bu esnada
gizlilik koruyarak nasıl gerçekleştirileceğini tartışmışlardır ve
bu problemi çözümüne yönelik kriptografik tekniklerin yoğun
olarak kullanıldığı organizasyonlar protokol
Kurumlar arasında veri paylaşımı konusunda İspanya’da
önemli bir olay yaşanmıştır. Bu olayda; İspanya’da bir
Peugeot satıcısı firmanın, müşteri bilgilerini yine İspanya’da
bulunan başka bir Peugeot satıcısı firmaya aktarması İspanya
Veri Koruma Otoritesi tarafından değerlendirilmiştir.
Müşterilerinin verilerinin yine aynı gruptaki başka bir satıcı
firmaya aktarılabileceğine ilişkin genel ifadelerle bilgilendiren
firmanın bu eylemini Veri Koruma Otoritesi yetersiz
bulmuştur[5]. Yukarıdaki örnek olay 2 açıdan önemlidir.
Birincisi,
kişilere
verilerin
paylaşılacağına
dair
bilgilendirmenin genel ifadelerle değil açık bir şekilde
yapılması istenmektedir. Diğer bir durum ise açık
bilgilendirmenin sadece farklı firmalar arasındaki veri
paylaşımında değil, aynı grup içerisindeki firmalarda da bu
şekilde bir bilgilendirmenin gerekliliğidir.
V. SONUÇ VE ÖNERİLER
Özellikle, 20.yüzyılda kişisel veri kavramının ve bu
verilerin korunması ihtiyacının ortaya çıkması beraberinde
birtakım hukuki ve teknik yaklaşımları getirmiştir. Bu
yaklaşımların yanı sıra bireylerin de kişisel verilerin
korunması konusunda bilinçlendirilmesi de ayrı bir önem
taşımaktadır. Tablo I’de bu yaklaşımlar, kullandıkları
yöntemler ve getirileri özetlenmiştir. Kişisel verilerin
korunmasına yönelik olarak artan ihtiyaçlar uluslararası
camiada ve ülkemizde çeşitli hukuki düzenlemelere zemin
hazırlamaktadır. Bir taraftan yasal düzenlemeler ile güvence
altına alınan veriler, bilgisayar bilimleri alanındaki farklı
gizlilik korumalı çözümlemeler ile de koruma altına alınmıştır.
Ayrıca, uygulama alanında çok yaygın olmasa da gizlilik
korumalı veri toplama, işleme ve paylaşma teknikleri veri
korumaya yönelik farklı çözümler sunmaktadır. Artan ve
değişen veri koruma ihtiyaçları ile birlikte bu çözümler
mühendislik ve bilgi işleme alanındaki yerini alacaktır.
olarak kısa mesaj göndererek vatandaşları bilgilendirmektedir.
Teknik ve bilinçlendirme yaklaşımları ile güvence altına
alınan kişisel verilerin korunmasının bir başka faydası da
mahkemelerin iş yükünü azaltacak olmasıdır. Yine kişisel
verilerin korunmasına yönelik olan bu yaklaşımlar bireyler
nezdinde yaşanan ve yaşanacak olan mağduriyetleri
azaltacaktır.
KAYNAKLAR
[1]
[2]
[3]
[4]
[5]
[6]
TABLO I. KIŞISEL VERILERIN KORUNMASINA YÖNELIK YAKLAŞIMLAR
[7]
Kapsam
Yöntemler
Getiriler
[8]
Hukuki
Yaklaşımlar
 Uluslararası
Düzenlemeler
 Anayasal
Düzenlemeler
 İlgili yasal
düzenlemeler
Kişisel verilerin korunmasına
yönelik uluslararası düzenlemeler,
anayasalar ve ilgili yasa,
yönetmelik gibi hukuki
düzenlemeler ile kişisel veriler
yasal yollarla korunma altına
alınmaktadır.
Teknik
Yaklaşımlar
Bilinçlendirme
Yaklaşımları
 Şifreleme
algoritmaları
 Rassal Bozma
Teknikleri
 Anonimleştirme
Teknikleri
 Ağ Teknolojileri
 Eğitim ve
Seminerler
 Kitle İletişim
Araçları
 Sosyal Medya
Gelişen bilgisayar bilimleri
yaklaşımları kişisel veriyi
koruyarak veri toplama, işleme ve
iletim imkanı sağlamaktadır.
[9]
[10]
[11]
[12]
[13]
Kişisel verilerin korunmasına
yönelik hukuki ve teknik
yaklaşımlar konularında bireyleri
bilinçlendirme gereklidir. Bu
sayede verilerin paylaşılmadan
önce ve sonra; ve herhangi bir
hukuk dışı durum halinde hangi
hukuki yöntemler ve tekniklerin
kullanılacağı konusunda
farkındalık oluşturulabilir.
Bilişim uygulamalarında kişisel verilerin korunmasına
yönelik olarak bir diğer yaklaşım ise bireylerin bu konuda
bilinçlendirilmesidir. Gerek resmi makamlar, gerekse de
bilişim hizmeti sunan kuruluşlar bu konuda yapmış oldukları
yüz yüze eğitim ve seminer çalışmaları, kitle iletişim araçları
üzerinden yayınladıkları tanıtım videoları, kamu spotları ve
aynı zamanda dağıttıkları afiş, broşür gibi araçlar ile toplumsal
bilinci arttırmaya yönelik çalışmalar yapmaktadırlar. Ayrıca
bu kuruluşlar sosyal medyayı da etkin bir şekilde kullanarak
kullanıcıları sosyal medya üzerinden de bilinçlendirme
çalışmaları yürütmektedirler. Örneğin, ülkemiz Emniyet Genel
Müdürlüğü sosyal mühendislik ve oltalama tehditlerine önlem
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
Birleşmiş Milletler, “İnsan Hakları Evrensel Bildirisi”, 10 Aralık 1948.
Avrupa Konseyi, “Avrupa İnsan Hakları Sözleşmesi”, 4 Kasım 1950.
A. Akgül, “Kişisel Verilerin Korunması”, Beta Yayınevi., İstanbul
2014.
O. Şimşek, “Anayasa Hukukunda Kişisel Verilerin Korunması”, Beta
Yayınevi, Ankara 2008.
E. Küzeci, “Kişisel Verilerin Korunması”, Turhan Kitabevi, Ankara
2010.
N. Başalp, “Kişisel Verilerin Korunması ve Saklanması”, İstanbul Bilgi
Üniversitesi Yayınları, İstanbul 2004.
S. D. Warren, L. D. Brandeis, “The Right to Privacy”, Harvard Law
Review, 4(5), pp. 193, 1890.
Anayasa Mahkemesi 19.01.2012, E:2010/40, K:2012/8, 6.3.2013 T. ve
28579 sayılı R.G.
E. Claes, A. Duff, S. Gutwirth, “Privacy and Criminal Law”, Intersentia,
Antwerpen-Oxford 2006.
S. Room, “Data Protection and Compliance in Context”, The British
Computer Society Publishing and Information Product, Swimdon,
United Kingdom 2007.
OECD, “Guidelines on the Protection of Privacy and Transborder Flows
of
Personal
Data”,
http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofpriva
cyandtransborderflowsofpersonaldata.htm#part2, 23 Eylül 1980.
Avrupa Konseyi, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması
Sırasında
İnsanın
Korunmasına
İlişkin
Sözleşme”,
http://dispolitika.org.tr/akk/antlasma/aas_108.htm, 28 Ocak 1981.
Avrupa Birliği, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı
Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve
Avrupa
Konseyi
Direktifi”,http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:
HTML, 24 Ekim 1995.
TÜİK, En Son Kullanım Zamanına Göre Bireylerin Bilgisayar ve
İnternet
Kullanım
Oranları,
http://www.tuik.gov.tr/PreTablo.do?alt_id=1028.
Türkiye
Cumhuriyet
Anayasası,
http://www.tbmm.gov.tr/anayasa/anayasa_2011.pdf.
İ. Yakut, H. Polat, “Privacy-preserving Eigentaste-based collaborative
filtering,” International Workshop on Security (IWSEC 2007), LNCS
Vol. 4572, Nara, Japan, pp. 169-184, 2007.
B.Memiş, İ.Yakut, "Privacy-Preserving Two-Party Collaborative
Filtering on Overlapped Ratings", KSII Transactions on Internet and
Information Systems, 8(8), pp. 2948-2966, 2014.
B. Pinkas, “Cryptographic techniques for privacy-preserving data
mining”, ACM SIGKDD Explorations Newsletter, 4(2), pp. 12-19,
2002.
L. Sweeney, “k-anonymity: a model for protecting privacy”,
International Journal on Uncertainty, Fuzziness and Knowledge-based
Systems, 10 (5), pp. 557-570, 2002.
https://www.facebook.com/legal/terms, (Erişim tarihi: 24.02.2015)
J. Vaidya, C. Clifton, “Privacy-Preserving k-means clustering over
vertically partitioned data”, Proceedings of the ninth ACM SIGKDD
international conference on Knowledge discovery and data mining,
Ağustos 2003.
Download