Gülara Tırpançeker Bilişim Etiği Mahremiyet – Veri Koruma
Konular Mahremiyet Gözetleme Veri Koruma Sorunlar Veri Toplama Kullanım Şekli Veri Güvenliği Veri Aktarma Veri Birleştirme Veri Madenciliği Önlemler Dünya Türkiye
Mahremiyet erişim mahremiyeti karar verme mahremiyeti bilgi mahremiyeti
Mahremiyet mahremiyet evrensel bir değer mi? mahremiyet özünde iyi bir değer mi? güvenlik, özerklik mahremiyet olmadan mümkün değildir
Gözetleme kişilerin izlenmesini sağlayan teknolojiler arttı Örnekler kredi kartları cep telefonları video kameralar yüz tanıma, plaka tanıma RFID CCTV internet
Veri Koruma devlet ve özel kurumlar kişiler hakkında büyük miktarda veri topluyor bankalar, alışveriş marketleri, internet siteleri, reklam ya da hizmet kalitesini artırma amaçlı bireyler kurumlar karşısında güçsüzleşiyor kurum birey hakkında cok şey biliyor birey kurum hakkında neredeyse hiçbir şey bilmiyor
Sorunlar toplanan verinin miktarı verinin aktarılmasındaki hız verinin kalıcılığı verinin türü
Temel İlkeler Kişisel verilerin korunması hukukunun temel ilkeleri Kişisel verilerin niteliğine ilişkin ilkeler: Hukuka ve Dürüstlük Kurallarına uygun işleme Belirli, açık ve meşru amaçlar için toplama Toplanma ve daha sonrasında işlenme amaçlarına uygun, ilgili bulunma ve aşırı olmama Doğru ve eğer gerekli ise güncel tutulmalı Amacın gerektirdiğinden daha uzun bir süre tutulmamalı
Temel İlkeler Kişisel verilerin korunması hukukunun temel ilkeleri İlgili kişinin katılımı ve denetimine yönelik ilkeler: İlgilinin bilgilendirilmesi İlgilinin bilgilerine erişim hakkı İlgilinin verilerini düzeltme hakkı İlgilinin diğer hakları İLGİLİNİN RIZASI
Sorunlar verilerin izinsiz ya da yasalara aykırı şekilde toplanması verilerin toplama amacına uygun olmayan şekilde kullanılması verilerin güvenliğinin sağlanmaması verilerin kişinin denetimi dışında başkalarına aktarılması verilerin kişinin denetimi dışında başka verilerle birleştirilmesi kişilerin kendileriyle ilgili ne veri tutulduğunu bilememesi, yanlışları düzeltememesi
Hangi Veriler Degerli? isim, doğum tarihi, adres, telefon,... sağlık bilgileri gelir bilgileri politik ve dini görüşler cinsel tercihler yapılan her alışveriş telefon görüşmeleri, mesajlaşmalar, e-postalar,... ziyaret edilen web siteleri arama motorlarında yapılan aramalar
Hangi Veriler Degerli? Bilgiler duyarlılık düzeylerine ayrılabilir: gizli, yakın çevre, güven, toplumsal, açık kişiden kişiye değişir bir bilgi kendi başına duyarlı olmayabilir, ama başka bilgilerle birleştirildiğinde kritik hale gelebilir Bütün kişisel veriler önemlidir.
Hangi Veriler Hassas? Özel Kategorideki (Hassas) Kişisel veriler İlgili kişinin, Irksal veya etnik kökenini Siyasal görüşünü Dinsel yada felsefi inancını Sendika üyeliğini Sağlık yada cinsel yaşamını belirli eden verilerdir.
Veri Toplama hangi kurumlar hangi verileri toplayabilsin? amaca uygunluk veriler hangi koşullarda toplanabilsin? yasalara uygunluk ilgili kişinin bilgilendirilmesi, izninin alınması Örnekler Facebook, resimlerdeki yüzleri tanıyarak otomatik etiketlemesi (2011) Cep telefonlarındaki Carrier IQ yazılımı (2011)
Verilerin Kullanımı verilerin kullanımının toplanma amacına uygunluğu ilgili kisinin aleyhine kullanılması: kimlik hırsızlığı, şantaj kimlerin hangi koşullarda erişeceğine ilişkin kurallar ve denetim teknik personelin erişimi Örnekler Türkiye Merkezi Nüfus İşletim Sistemi (MERNİS) Avustralya yurttaşlık kayıtlarının kimlik hırsızlığında kullanılması Sosyal ag bilgileriyle hırsızlık
Verilerin Güvenliği güvenlik açıkları, hatalar ya da düşüncesizlik nedeniyle veriler açığa çıkabiliyor veri toplayanlar bu verilerin güvenliğini sağlamalı Örnekler Türkiye BTK bilgisayarlarındaki kayıtlar (2012) York Üniversitesi öğrencilerinin kişisel verileri (2011) İtalya vergi dairesindeki kayıtlar (2008)
Verilerin Aktarılması veriler hangi koşullar altında başkalarına aktarılabilsin? reklam verenler, iş ortakları, devlet güvenlik kurumları ilgili kişilerden izin alınması Örnekler Robert Bork (1988)- Video Privacy Protection Act facebook/40408/ Rebecca Schaeer cinayeti(1989) - Driver's Privacy Protection Act Toysmart müşteri bilgileri (2001) MySpace kullanıcı verileri (2010) ABD başkan adaylığı anketleri (2012) gop-candidate-buzz/
Veri Birleştirme, Veri madenciliği Veri birleştirme Örnek DoubleClick – Abacus (2000) Google – DoubleClick (2008) Veri madenciliği Örnek Total Information Awareness
Önlemler kişisel mesleki kurumsal yasal ı
Önlemler kişisel verilerini vermemek teknolojiden yararlanmak şifreleme yazılımları: PGP, TrueCrypt,... mahremiyet artrıcı yazılımlar: Tor, Privoxy, Ghostery, TrackMeNot,... hizmet veren kurumlar müşterilerinin mahremiyetine özen gösterebilir
Yasal Düzenlemeler ABD'de soruna özel düzenlemeler: kredi, ehliyet, video, saglık,... Avrupa'da sorunun kaynağına yönelik düzenlemeler Türkiye'de yeni
ABD Code of Fair Information Practices (1974) Varlığı gizli bir veri kaydı tutma sistemi olamaz Kişiler kendileriyle ilgili hangi bilgilerin tutulduğunu ve bu bilgilerin nasıl kullanıldığını öğrenebilmelidir Kişiler bir amaçla verdikleri bilgilerin izinleri alınmadan başka amaçlarla kullanımını önleyebilmelidir Kişiler kendileriyle ilgili bilgileri düzeltebilmelidir Kişisel veri toplayan kurumlar bu verilerin ilgili amaçlar için güvenilirliğini sağlamalı ve kötü kullanımını önlemelidir
Avrupa Avrupa Konseyi (1981) 108 sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme Verilerin belirli bir nitelikte olması (m.5) Hassas kişisel verilerin özel olarak korunması (m.6) Veri güvenliği (m.7) İlgili kişinin bilgi alma, verilere ulaşma ve gerektiğinde onları düzeltme hakkı (m.8)
Avrupa Data Protection Act (1998) adil ve hukuki işleme açıkça belirtilmiş ve yasal amaçlar yeterlilik, ilgililik, gerekenden fazla olmama doğruluk ve güncellik amaç yerine geldikten sonra silinme diğer kişilerin hakları yetkisiz erişim ve kayba karşı yeterli önlem yeterli koruma sağlamayan ülkelere aktarmama
Avrupa Avrupa Parlamentosu ve Konseyi 95/46/EC Sayılı Yönerge Kişisel verilerin işlenmesi ve bu verilerin serbestçe dolaşımı bağlamında bireylerin korunmasına yöneliktir. 3. Ülkelere veri aktarımı (m.25 ve 26) Bağışıklık sözleşmeleri (Safe Harbor) 97/66/EC Sayılı Yönerge Telekomünikasyonun gizliliğine yöneliktir. 2002/58/EC Sayılı Yönerge Özel yaşamın ve elektronik iletişimin korunmasına yöneliktir. 2006/24/EC Sayılı Yönerge İletişim trafik verilerinin saklanmasına yöneliktir.
Örnek Olay ABD - Avrupa Veri Aktarımı havayolu şirketleri A.B.D.'ye uçuşlarda yolcularla ilgili 34 parça bilgiyi yetkililere teslim etmek zorunda ABD istihbarat birimlerinin Avrupa banka kayıtlarına erişimi anlaşmasını Avrupa Parlamentosu bloke ediyor (2010)
Örnek Olay İngiltere DNA Veri Bankası (2008) AİHM: hüküm giymemiş kişilerin DNA bilgilerinin saklanması yasaya aykırı Almanya İSS Kayıtları (2006) Almanya Yüksek Temyiz Mahkemesi servis sağlayıcının isteyen kullanıcıların IP kayıtlarını silmek zorunda olduğuna karar veriyor
Avrupa AB Temel Haklar Şartı Kişisel Verilerin Korunması – 8. madde Herkes, kendisini ilgilendiren kişisel verilerin korunması hakkına sahiptir. Bu veriler, dürüst bir şekilde, belirli amaçlar için ve ilgili kişinin rızasına veya yasa ile öngörülmüş diğer meşru bir temele dayanarak işlenir. Herkes kendisi hakkında toplanmış verilere erişme ve bunları düzeltme hakkına sahiptir. Bu kurallara uyulması bağımsız bir makam tarafından denetlenir.
OECD Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler Veri toplamanın sınırlı olması (m.7) Verilerin belirli bir niteliği karşılaması (veri kalitesi) ilkesi (m.8) Amacın belirliliği ilkesi (m.9) Kullanımın sınırlı olması (m.10) Veri güvenliği (m.11) Açıklık (m.12) Bireyin katılımı (m.13) Hesap verilebilirlik (m.14)
Türkiye Anayasa Özel yaşamın gizliliği hakkı (m.20) Haberleşme özgürlüğü (m.22) Konut Dokunulmazlığı (m.21) İhlal edilenlerin yetkili makama başvurması (m.40) Milletlerarası anlaşma (m.90) Medeni Kanun Gizli ve Özel Yaşamın Korunması (m.24,25)
Türkiye Türk Ceza Kanunu (TCK) Kişisel verilerin kayıt edilmesi (m.135) Kişisel verileri yaymak, ele geçirmek, başkasına vermek (m.136) Kişisel verileri yok etmeme (m.138) Ticari sır, bankacılık, müşteri sırrı, bilgi ve belgelerin açıklanması (m. 239) Bilişim Suçları (m. 243, 244)
Türkiye KİŞİSEL VERİLERİN KORUNMASI YASA TASLAĞI Kişisel Verileri Koruma Yüksek Kurulu ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK. = … = …
Türkiye Bilgi Edinme Hakkı Yasası (2003) bilgi edinme hakkı (4) bilgi verme yükümlülüğü (5) itirazlar için Bilgi Edinme Değerlendirme Kurulu (13) sınırlamalar: devlet sırrı (16), ülkenin ekonomik çıkarları (17), istihbarat (18), idari ve adli soruşturmalar (19,20), özel hayatın gizliliği (21), haberleşmenin gizliliği (22), ticari sır (23) ihmal, kusur ya da kasıt durumunda ceza kovuşturması (29)
Kaynaklar Chapter 5 : Privacy and Cyberspace Tavani