“Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması” Eren ERSOY Telekomünikasyon Kurumu Akademik Bilişim 2006 4. Bilgi Teknolojileri Kongresi 9-11 Şubat 2006 / Pamukkale Üniversitesi / Denizli

e-Kurum, e-Devlet, e-İmza, e-posta v. b e-Kurum, e-Devlet, e-İmza, e-posta v.b. kavramlar hızla toplumun günlük yaşantısına girmektedir Bilgisayar ortamına taşınan ve ağlar üzerinden erişilen kişisel bilgiler risk altındadır Gartner 2005 raporuna göre; 2009 yılına kadar güvenlik yazılımlarının pazar payı yıllık ortalama artış oranı % 16.2 olacaktır Pazar payının parasal değeri ise 11.4 milyar ABD $’a yükselecektir Bu demektir ki; “Bilgisayar korsanları ile güvenlik yazılımı geliştiricileri arasında hiç bitmeyecek bir mücadele uzun yıllar sürecektir”

Kişisel Bilgilerin Güvenliği Sonuçları açısından iki bölümde incelenebilir; a) Ele geçirilen bilgiler kullanılarak başkasının adına sahte ve illegal işlemler yapılabilir (örneğin bankacılık, e-ticaret v.b.) b) İllegal işlemler yapılmasa bile, kişinin açığa vurulmasını istemediği özel bilgilerinin açıklanmasıdır (örneğin maaş bilgileri v.b.) “ Her iki durumda da kişileri koruyacak düzenlemeler ve yasaların çıkarılması gerekmektedir”

Bilgi Güvenliği Kavramı ve Bilginin Gizliliği Yetkisiz erişim önlenmelidir (Confidentiality – Gizlilik) Bilgi ancak sahibi tarafından değiştirilebilmelidir (Integrity – Bütünlük) Bilgi sürekli kullanılabilir durumda olmalıdır (Availability – Sürekli Kullanılabilirlik) Kullanıcı kimliğinin doğrulanması (Authentication) “Sadece teknolojik önlemlerle bilgi güvenliği tam olarak sağlanamaz, prosedürel yaklaşımlar da geliştirilmelidir”

Kişisel Bilgilerin Güvenliği İçin Yapılan Çalışmalar Türkiye, AB’nin kabul ettiği 108 sayılı sözleşmeyi imzalayarak çalışmalara başlamıştır Kişisel bilgilerin korunmasına yönelik olarak 13.09.1995’te kurulmuş olan komisyon görevini tamamlayamamıştır Bu komisyonun yerine kurulan yeni komisyonun hazırladığı “Kişisel Verilerin Korunması Kanunu Tasarısı” Adalet Bakanlığı tarafından Haziran 2004’te Başbakanlığa sevk edilmiş ve 14.03.2005 tarih ve 1113 sayılı yazı ile üzerinde çalışılmaya başlanmıştır Bu tasarıda “Kişisel Verileri Koruma Kurumu” kurulması isteğine yer verilmektedir Mart 2004’te DPT Bilgi Tolumu D. Bşk.lığı koordinasyonunda yapılan “Türkiye’de Bilgi Ekonomisine ve Bilgi Toplumuna Geçiş için Strateji ve Politikalar” adlı çalışma raporunda kişisel bilgilerin korunmasının önemine ilişkin atıflarda bulunulmaktadır

Kişisel Verilerin Korunmasında Dikkat Edilmesi Gereken Hususlar AB direktiflerine uygunluk Uluslararası veri değişimine elverişlilik Ceza ve yaptırımların sağlanması Kişinin izni olmadan açığa vurulmamalı Bilgiler belirli süre boyunca ve kanuni amaçlarla saklanmalı Yasal yollarla toplanmalı Kişilerin özel verileri üzerinde güncelleme ve sildirme hakları olmalı Irk, siyasi düşünce, dini inançlar, mali bilgiler v.b. bilgiler hukuki açıdan güvence altına alınmalıdır

ISO/IEC 17799 (ISO 27001) Standardı ve Kişisel Bilgilerin Gizliliği Elektronik ticaret güvenliği (madde 8.7.3) e-Posta güvenliği (madde 8.7.4) Mesaj Kimliğinin Doğrulanması (madde 10.2.3) Şifreleme (madde 10.3.2) Sayısal İmzalar (madde 10.3.3) İnkar Edememe Servisleri (madde 10.3.4) Verinin Korunması ve Kişisel Bilgilerin Gizliliği (madde 12.1.4) “Yukarıdaki maddeler e-Dönüşüm Türkiye Projesi kapsamında da ülkemizin gündemindedir”

Telekomünikasyon Kurumunun Konuyla İlgili Yasa ve Yönetmelikleri 15.01.2004 tarih ve 5070 sayılı Elektronik İmza Kanunu çerçevesinde ESHS’lerden (Elektronik Sertifika Hizmet Sağlayıcılar) istenen ve kişisel bilgilerin korunmasına yönelik sorumluluklar aşağıda sunulmaktadır: 06.02.2004 tarihli “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik”, Uygulama Esasları, Bölüm 2’de, özellikle 4. ve 8. Maddeler Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”, Madde 9, 11 ve 14 Elektronik İmza Kanununun 12 ve 16. Maddeleri Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ’in 9/C maddesinde ve E-İmza Yönetmeliğinin 19 ve 34. Maddelerinde ESHS’lerden BS 7799-2 veya TS ISO/IEC 17799-2 sertifikaları istenmektedir

AB tarafından çıkarılan 95/46/EC direktifine istinaden Adalet Bakanlığı tarafından hazırlanan ve hala yasalaşmamış olan yasa taslağı üzerinde çalışmalar devam etmektedir. Telekomünikasyon Kurumu tarafından hazırlanan 06.02.2004 tarihli “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması” hakkındaki yönetmelik, AB mevzuat uyumu çalışmaları çerçevesinde 2002/58/EC sayılı direktif ile uyum sağlamak üzere yayımlanmıştır.

TEŞEKKÜR EDERİM ...