“Gizlilik, Bireysel Haklar,

Kişisel Verilerin Korunması”

Eren ERSOY

Telekomünikasyon Kurumu

Akademik Bilişim 20064. Bilgi Teknolojileri Kongresi

9-11 Şubat 2006 / Pamukkale Üniversitesi / Denizli

• e-Kurum, e-Devlet, e-İmza, e-posta v.b. kavramlar hızla toplumun günlük yaşantısına girmektedir

• Bilgisayar ortamına taşınan ve ağlar üzerinden erişilen kişisel bilgiler risk altındadır

• Gartner 2005 raporuna göre;

• 2009 yılına kadar güvenlik yazılımlarının pazar payı yıllık ortalama artış oranı % 16.2 olacaktır

• Pazar payının parasal değeri ise 11.4 milyar ABD $’a yükselecektir

• Bu demektir ki;

“Bilgisayar korsanları ile güvenlik yazılımı geliştiricileri arasında hiç bitmeyecek bir mücadele uzun yıllar sürecektir”

• Kişisel Bilgilerin Güvenliği

• Sonuçları açısından iki bölümde incelenebilir;

a) Ele geçirilen bilgiler kullanılarak başkasının adına sahte ve illegal işlemler yapılabilir (örneğin bankacılık, e-ticaret v.b.)

b) İllegal işlemler yapılmasa bile, kişinin açığa vurulmasını istemediği özel bilgilerinin açıklanmasıdır (örneğin maaş bilgileri v.b.)

“ Her iki durumda da kişileri koruyacak düzenlemeler ve yasaların çıkarılması gerekmektedir”

Bilgi Güvenliği Kavramı ve Bilginin Gizliliği

• Yetkisiz erişim önlenmelidir (Confidentiality – Gizlilik)

• Bilgi ancak sahibi tarafından değiştirilebilmelidir (Integrity – Bütünlük)

• Bilgi sürekli kullanılabilir durumda olmalıdır (Availability – Sürekli Kullanılabilirlik)

• Kullanıcı kimliğinin doğrulanması (Authentication)

“Sadece teknolojik önlemlerle bilgi güvenliği tam olarak sağlanamaz, prosedürel yaklaşımlar da geliştirilmelidir”

Kişisel Bilgilerin Güvenliği İçin Yapılan Çalışmalar

• Türkiye, AB’nin kabul ettiği 108 sayılı sözleşmeyi imzalayarak çalışmalara başlamıştır

• Kişisel bilgilerin korunmasına yönelik olarak 13.09.1995’te kurulmuş olan komisyon görevini tamamlayamamıştır

• Bu komisyonun yerine kurulan yeni komisyonun hazırladığı “Kişisel Verilerin Korunması Kanunu Tasarısı” Adalet Bakanlığı tarafından Haziran 2004’te Başbakanlığa sevk edilmiş ve 14.03.2005 tarih ve 1113 sayılı yazı ile üzerinde çalışılmaya başlanmıştır

• Bu tasarıda “Kişisel Verileri Koruma Kurumu” kurulması isteğine yer verilmektedir

• Mart 2004’te DPT Bilgi Tolumu D. Bşk.lığı koordinasyonunda yapılan “Türkiye’de Bilgi Ekonomisine ve Bilgi Toplumuna Geçiş için Strateji ve Politikalar” adlı çalışma raporunda kişisel bilgilerin korunmasının önemine ilişkin atıflarda bulunulmaktadır

Kişisel Verilerin Korunmasında Dikkat Edilmesi Gereken Hususlar

• AB direktiflerine uygunluk

• Uluslararası veri değişimine elverişlilik

• Ceza ve yaptırımların sağlanması

• Kişinin izni olmadan açığa vurulmamalı

• Bilgiler belirli süre boyunca ve kanuni amaçlarla saklanmalı

• Yasal yollarla toplanmalı

• Kişilerin özel verileri üzerinde güncelleme ve sildirme hakları olmalı

• Irk, siyasi düşünce, dini inançlar, mali bilgiler v.b. bilgiler hukuki açıdan güvence altına alınmalıdır

ISO/IEC 17799 (ISO 27001) Standardı ve Kişisel Bilgilerin Gizliliği

• Elektronik ticaret güvenliği (madde 8.7.3)

• e-Posta güvenliği (madde 8.7.4)

• Mesaj Kimliğinin Doğrulanması (madde 10.2.3)

• Şifreleme (madde 10.3.2)

• Sayısal İmzalar (madde 10.3.3)

• İnkar Edememe Servisleri (madde 10.3.4)

• Verinin Korunması ve Kişisel Bilgilerin Gizliliği (madde 12.1.4)

“Yukarıdaki maddeler e-Dönüşüm Türkiye Projesi kapsamında da ülkemizin gündemindedir”

Telekomünikasyon Kurumunun Konuyla İlgili Yasa ve Yönetmelikleri

15.01.2004 tarih ve 5070 sayılı Elektronik İmza Kanunu çerçevesinde ESHS’lerden (Elektronik Sertifika Hizmet Sağlayıcılar) istenen ve kişisel bilgilerin korunmasına yönelik sorumluluklar aşağıda sunulmaktadır:

• 06.02.2004 tarihli “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik”, Uygulama Esasları, Bölüm 2’de, özellikle 4. ve 8. Maddeler

• Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”, Madde 9, 11 ve 14

• Elektronik İmza Kanununun 12 ve 16. Maddeleri

• Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ’in 9/C maddesinde ve E-İmza Yönetmeliğinin 19 ve 34. Maddelerinde ESHS’lerden BS 7799-2 veya TS ISO/IEC 17799-2 sertifikaları istenmektedir

• AB tarafından çıkarılan 95/46/EC direktifine istinaden Adalet Bakanlığı

tarafından hazırlanan ve hala yasalaşmamış olan yasa taslağı üzerinde

çalışmalar devam etmektedir.

• Telekomünikasyon Kurumu tarafından hazırlanan 06.02.2004 tarihli

“Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin

Korunması” hakkındaki yönetmelik, AB mevzuat uyumu çalışmaları

çerçevesinde 2002/58/EC sayılı direktif ile uyum sağlamak üzere

yayımlanmıştır.

TEŞEKKÜR EDERİM ...