İçindekiler

  • Giriş
  • Kişisel Veri Güvenliğinin Önemi
  • Saklanan Bilginin Dönüşüm Evreleri ve Etkili Bilgi Güvenliği İçin Gerekli Unsurlar
  • Bilgi Güvenliği
  • Bilgi Güvenliği Kapsamında Neyi Korumalıyız?
  • Kişisel Verilerin Korunması Neden Önemlidir ve Bu Konudaki Temel Sorunlar
  • Kişisel Verilerin Korunması İçin Neler Yapılmalıdır?
  • Sonuç
  • Kaynakça

Giriş

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir(Türkiye Büyük Millet Meclisi, S. Sayısı: 117).

Kişisel Veri Güvenliğinin Önemi

  • Bilginin nasıl elde edildiği, kim tarafından ve hangi amaçla işlendiği, bu verilerin sahibinin ve güvenlik sorumlusunun kim olduğu, verilerin nerede ve nasıl saklandığı, süresi dolan verilerin kim tarafından ve nasıl imha edildiği gibi birçok sorunun cevabının açık olarak verilebiliyor olması, günümüzde bilgi güvenliğinin etkinliği açısından önem taşımaktadır. Bu süreçte yer alan tüm unsurların hukuksal sorumluluklarını ve belirlenen bilgi güvenliği politikası kapsamındaki yükümlülüklerini yerine getirmeleri halinde güvenlik zincirinin tüm halkaları aynı direnci gösterebilmektedir. Ancak kişisel veriler gibi önceden sınıflandırılmış ve daha üst seviyede korunacak bilgi varlıkları için, belirlenecek bilgi güvenliği politikalarında, uygulama yöntemlerine (kriptolama, sanallaştırma, anonimleştirme gibi) ve kişi haklarına ilişkin bilgilere de yer verilmesi önemlidir. Farklı güvenlik önlemlerini almakla yükümlü kişilerin sorumlulukları paylaşmaları ve aynı zamanda bir sistem yaklaşımı içerisinde birbirleri ile koordineli olarak bu sorumlulukları yerine getirmeleri sağlanmalıdır (Henkoğlu, 2017, S48).

Saklanan Bilginin Dönüşüm Evreleri ve Etkili Bilgi Güvenliği İçin Gerekli Unsurlar

  • Bilgi güvenliğinde etkinliğin arttırılabilmesi için, bilgi yönetim süreçlerinin gözden geçirilmesi ve bu konudaki eksikliklerin giderilmesi önem taşımaktadır. Bu kapsamda bilgi güvenliğine yönelik olarak izlenmesi gereken aşamalar şunlardır (ISF, 2016):
    • Öncelikle korunması istenen kritik bilgi varlıklarının tanımlanması gerekmektedir.
    • Bu varlıklara karşı olabilecek tehditler değerlendirilmeli ve bu tehditler liste haline getirilmelidir.
    • Bilgi varlıklarının korunması için en uygun metot belirlenmelidir.
    • Kapsamlı ve “tutarlı” koruma sağlayacak yaklaşımlar belirlenerek uygulanmalıdır.

Bilgi Güvenliği

  • Kurum içinde işlenen kişisel verilerin korunması kontrolünün sağlanması için veri sorumlusu1 ile birlikte bilgi güvenliği yetkilisinin de belirgin olması önem taşımaktadır. Ancak KVKK’da sadece veri sorumlusu tanımlanmış olup, bilgi güvenliği yetkilisinin ikincil mevzuatta düzenlenmesi öngörülmüştür. Bu nedenle bilgi güvenliği yetkilisi bazı örnekler de olduğu gibi (Sağlık Bakanlığı, 2016) ilgili yönetmeliklerle ya da bilgi güvenliği politikaları içinde tanımlanarak sorumluluk paylaşımı daha belirgin hale getirilmelidir. Böylece hiyerarşik yapı içinde sorumluluk alması gereken idari yöneticilerin de sorumluluğunun açıklanması sağlanabilecektir.

Bilgi Güvenliği Kapsamında Neyi Korumalıyız?

  • Bilgi güvenliğinin sağlanması konusunda korunacak bilgi varlıklarının seçilmesi, sınıflandırılması ve uygun güvenlik önlemlerinin belirlenmesi işlemleri en önemli hususlardan biri olmasına karşın, bu konunun çoğu zaman dikkate alınmadığı görülmektedir (Henkoğlu, 2015, S134-148).
  • Bilgi yönetiminin de temel iş süreçleri arasında yer alan bu faaliyetlerdeki eksiklikler, güvenlik zincirinin zayıf halkasını oluşturmaktadır. Çünkü bir bilginin gizliliğinin korunması ile kişisel hakların korunması farklı kavramlar olduğu gibi, farklı güvenlik önlemlerinin doğru ve zamanında uygulanması da ayrıca önem taşımaktadır.
  • Çoğunlukla bilgi işlem merkezinin sorumluluğunda bulunan merkezi veri depolama ortamlarının korunmasına yönelik stratejiler, teknik önlemlerin ön planda olduğu, bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin dikkate alındığı önlemleri içermektedir. Oysa merkezi veri depolama ortamlarında bulunmakla birlikte sorumluluk paylaşımının yapılmadığı kişisel verilerin korunmasına ilişkin önlemler, hukuksal ve idari süreçleri de içine alan ve bilgi erişim hakları ile daha karmaşık hale gelmiş veri koruma önlemlerinin birleşimi ile oluşmaktadır. Çoğunlukla farklı bir kavram gibi algılanan kişi hak ve özgürlüğünün korunması, kişisel verilerin bilgi güvenliği önlemleri kapsamında korunması ile birlikte başlamaktadır (Henkoğlu ve Uçak, 2016, S31).

Kişisel Verilerin Korunması Neden Önemlidir ve Bu Konudaki Temel Sorunlar Nelerdir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır (Avrupa Konseyi, 1995; KVKK, 2016). Hukuksal düzenlemelerde kişisel verilerin neler olabileceği konusunda bir liste sunulması yerine açık uçlu bir tanımın yapılması, kişisel hakların korunması konusunda herhangi bir eksikliğin oluşmaması açısından önemlidir.

Veri korumaya ilişkin hukuksal düzenlemeler ve uluslararası sözleşmeler incelendiğinde şu ortak unsurların ilke olarak benimsendiği görülmektedir (Avrupa Komisyonu, 1981; Avrupa Konseyi, 1995; KVKK, 2016; OECD, 2013):işisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır (Avrupa Konseyi, 1995; KVKK, 2016). Hukuksal düzenlemelerde kişisel verilerin neler olabileceği konusunda bir liste sunulması yerine açık uçlu bir tanımın yapılması, kişisel hakların korunması konusunda herhangi bir eksikliğin oluşmaması açısından önemlidir.

Bilginin hukuka uygun olarak elde edilmesi,

    • Bilginin amacına uygun olarak kullanılması,
    • Gereğinden fazla bilgi toplanmaması,
    • Bilginin veri sahibi tarafından erişilebilir olması,
    • Bilginin doğru ve güncel olması,
    • Bilginin güvenli olarak tutulması,
    • Kullanım süresi sona eren bilgilerin uygun yöntemlerle imha edilmesi.

Kişisel Verilerin Korunması İçin Neler Yapılmalıdır?

  • Bilgi yönetim süreçlerinin de başlangıç noktası olarak değerlendirilen bilginin sınıflandırılması aşamasında, bilgi güvenliği odaklı yaklaşımlara öncelik verilmelidir. Kritik bilgi ve anlık bilgilerin işlenmesi esnasında diğer bilgilerden ayrılması, güvenlik önlemlerinin sağlanmasına yönelik maliyetlerin düşmesine ve etkin bilgi güvenliği sağlanırken de genel sistem performansında hissedilir değişikliğin olmamasına katkı sağlayacaktır. Kişisel ve hassas verilerin bütünlüğünün korunması aynı zamanda hukuksal sorumluluklar arasında olmasına karşın, diğer düşük öncelikli iş kayıtlarının sadece varlığının korunması yeterli olabilmektedir. (Henkoğlu, 2017, S53).
  • Bilgi profesyonellerinin sıklıkla uyguladıkları anonimleştirme işlemleri de kişisel verilerin korunmasına yönelik bilgi güvenliği önlemlerini zenginleştirmektedir. Ancak anonimleştirme işlemi ile kodlama ya da takma isim kullanma kavramlarının karıştırılmamasına özen gösterilmeli ve bilgi politikalarında kişisel verileri anonim hale getirme işlemi2 açık olarak tanımlanmalıdır. Anonim hale getirme, KVKK’nın yürürlüğe girdiği tarih öncesinde kaydedilen ve KVKK hükümlerine aykırı olan kişisel veriler için de uygulanabilecek yöntemlerden biridir (KVKK, 2016).

SONUÇ

Kişisel veri kavramı üzerindeki farklı algılara bağlı olarak bilginin işlenmesi,
bir sistem yaklaşımı içerisinde değerlendirilmesi gereken bilgi güvenliği, bilgi erişimi
ve hukuksal koşulların sağlanmasına yönelik riskleri oluşturmaktadır. Bu kapsamda uygulamada hukuksal koşulların da değerlendirilerek minimum veri kaydı ve depolama yapılması, erişim yetkilendirmesinin yapılarak sadece bilmesi gerekenlerin bilgiye erişiminin sağlanması ve sorumlulukların belirlenmesine dikkat edilmelidir.

Kaynakça

• ISF. (2016). Protecting the Crown Jewels: How to Secure Mission-Critical Assets.
• Henkoğlu, T. (2015). Bilgi güvenliği ve kişisel verilerin korunması. Ankara: Yetkin Hukuk Yayınları
• Henkoğlu, T. ve Uçak, N. Ö. (2016). Information Security and the Protection of Personal Data in Universities. International Journal of Business and Management Invention, 5(11), 30-43.
• Avrupa Konseyi. (1995). Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
• Sağlık Bakanlığı. (2016). Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik
• KVKK. (2016). Kişisel Verilerin Korunması Kanunu.
• Henkoğlu T. (2017). Arşiv Dünya Dergisi. Türk Arşivciler Derneği
• Photo by Lukas Blazek on Unsplash

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.