Gizlilik ve Veri Güvenliği

Enformasyon ve iletişim teknolojilerinin gelişimiyle kişisel verilerin toplanması, depolanması ve paylaşımı oldukça kolay hale gelmiştir ve bu nedenle kişisel veri kavramı gözetim toplumu ve özel hayatın gizliliği tartışmalarının temeli haline gelmiştir. Kişisel veriler bir yandan iktidarlar tarafından denetim ve gözetim amacıyla kullanılabilmekteyken, bir yandan ticarileşmiş ve şirketler tarafından alınır satılır hale gelmiştir. Özellikle tüketici tercihlerini belirleme, yönlendirme konusunda önemli bir yere sahip olan kişisel verilerin amacı dışında kullanılması ve özel hayatın ve gizliliğin korunması ilkesini ihlal etmeye başlamıştır.

Kişisel veri yalnızca kimlik bilgileri olmayıp, 24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun Tanımlar bölümünü düzenleyen 3 üncü maddenin d fıkrasında; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Dolayısıyla kişisel veri; “kimlik bilgileri, adres bilgileri, dini

inanç, cinsel tercih, etnik köken, suç geçmişi, politik eğilim, kişisel özel aktivitelere ilişkin bilgiler, mali varlık, hisse ve hesaplar, borçlar, alışverişler, kredi kartlarına ilişkin veriler, kişinin nerede ve kimlerle bulunduğu, hastalıklar, hastane kayıtları, e-posta adresleri veya şifreleri, siyasi tercihler, parmak izi, genetik bilgiler, kan grubu vs…”

kadar geniş yelpazedeki bilgileri tanımlamaktadır.⁴¹²

E-devlet kapısında da vergi, nüfus, tapu işlemi gibi pek çok işlemde kişisel veriler kullanılmakta ve bu bağlamda e-devlette kişisel veriler kaydedilip depolamaktadır. Alınan teknik güvenlik önlemlerine ve hukuki cezalara⁴¹³ karşın elektronik ortamda yer alan bu bilgilerin çalınma riski ve hatta ticarileşmesinden dolayı satılma riski bulunmaktadır. Bilgilerin çalınmasın, sisteme izinsiz girişlerin önlenmesi için e-devlet kapısında gizlilik ve veri güvenliğinin sağlanması için alınan önlemler yer almaktadır.

E-devlet kapısının resmi web adresi olan www.turkiye.gov.tr adresinde; sisteme giriş yapan kullanıcıların yalnızca kendi bilgilerine ulaşabildiği, kurumlardan anlık sorgulama yapıldığı, profil bilgileri dışında herhangi bir bilginin tutulmadığı, kişilerin paylaştığı bilgilerin yasal yükümlülük vb. istisnai durumlar olmadığı sürece başka kurum ve kuruluşlarla, üçüncü şahıslarla paylaşılmayacağı, açıklanmayacağı belirtilmektedir. Güvenlik konusunda ise Türksat A.Ş.’nin ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olduğu, düzenli denetimlerden geçtiği, ayrıca e-devlet kapısı için bağımsız güvenlik firmaları tarafından güvenlik ve sızma testleri yaptırıldığı, tedarik firmaları ile gizlilik anlaşmalarının imzalandığı, konuyla ilgili uzman personelin istihdam edildiği beyan edilmektedir.⁴¹⁴

Ancak alınan önlemlere karşı, kötü niyetleri saldırılar ile sistemsel boşluklar yakalanarak, sisteme izinsiz giriş riski her zaman bulunmaktadır. Ayrıca e-devlet

412 http://selihandiclesimsek.av.tr/tag/kisisel-verilerin-calinmasi/ (Erişim Tarihi: 03.11. 2018)

413 Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (TCK Madde 136)

414 https://www.turkiye.gov.tr/bilgilendirme?konu=yuksekGuvenlik (Erişim Tarihi: 05.11.2018)

kapısında gerekli önlemler alınsa bile, e-devlet kapısına bilgi gönderen kamu kurumu web sitelerininde güvenlik açığı bulunabilir. Bu da kişisel verilerin çalınmasına neden olabilir. E-devlet sisteminden kişisel veri güvenliğinin nasıl sağlanacağı hususu sadece Türkiye’de değil Avrupa ve dünyada da ortak bir endişe konusudur.⁴¹⁵

E-devlet sisteminde yer alan kişisel verilerin güvenliği konusunda duyulan endişe içinde haklı nedenler bulunmaktadır. Güvenlik tehdidinin bir boyutu kişisel verilerin depolandığı e-devlet kapısı, kamu kurum ve kuruluşlarının web sitelerindeki sistem açıklarını bularak sisteme izinsiz girmek iken, diğer boyutu fiili olarak gerçekleşen hırsızlık olaylarıdır. Örneğin internet üzerinden incelenen haberlere göre;

bir dönem üst üste muhtarlık soygunları yaşanmış, muhtarlıklardan özellikle kişisel verilerin yüklü olduğu bilgisayar kasaları çalınmıştır. Hırsızlık olaylarının artışı nedeniyle T.B.M.M.’ye soru önergesi bile verilmiştir. Soru önergesinde; 2012 yılında Ankara Mamak’ta, Osmaniye Raufbey Mahallesi’nde, Antalya Manavgat İlçesi Yukarıhisar Mahallesi Muhtarlığı’nda, Konya Meram İlçesi Kalfalar Mahallesi Muhtarlığı’nda, Kocaeli İli Gölcük İlçesi Şehitler Mahallesi Muhtarlığın’nda hırsızlık olaylarının yaşandığı ve çoğunda bilgisayarların çalındığı belirtilmiştir.⁴¹⁶ Kişisel verilerin çalınmasına dair ülkemizde yaşanan diğer bir örnek ise 2015 yılında Zonguldak Çınartepe Aile Sağlığı Merkezinde hastaların kimlik ve muayene bilgilerinin yer aldığı üç bilgisayar çalınması ve Aile Sağlığı Merkezinin hizmet verememesidir. ⁴¹⁷ Kişisel verilerin çalınmasında fiili hırsızlıktan daha tehlikeli olan ise bir seferde çok sayıda kişisel veriyi ele geçirmesi mümkün olan, sisteme izinsiz girişler ve siber korsanların kişisel verileri çalmasıdır. İnternette kısa bir göz gezdirildiğinde konu ile ilgili pek çok haberin yer aldığı görülmektedir. Örneğin; 2015 ve 2018 tarihleri arasında

415 Akın Efendioğlu ve Emre Sezgin, “E-Devlet Uygulamalarında Bilgi Ve Paylaşım Güvenliği”, Sosyal Bilimler Enstitüsü Dergisi, Cilt: 16, Sayı: 2, 2007, s. 222.

416 https://www.haberler.com/turkes-gizemli-muhtarlik-soygunlarini-sordu-4182879-haberi/

7/14424 esas numaralı soru önergesi

(https://www.tbmm.gov.tr/develop/owa/yazili_sozlu_soru_gd.onerge_bilgileri?kanunlar_sira_no=116 669) (Erişim Tarihi: 05.11.2018)

417 https://www.haberler.com/bilgisayarlari-calinan-saglik-merkezine-kapaliyiz-7042868-haberi/

(Erişim Tarihi: 12.11.2018)

siber saldırıyla, Singapur’daki sağlık kurumlarının en büyük ağı olan SingHealth’in uzman polikinliklerini ziyaret eden 1.5 milyon kişinin kişisel verileri çalınıp kopyalandığı⁴¹⁸, 2018 yılında Microsoft şirketi bünyesinde yer alan dünyanın en büyük profesyonel şirket ağı olan Linkedln sitesinde kullanıcıların kişisel verilerine ulaşılmasını sağlayan bir sistemsel açığın keşfedildiği, bu açık düzeltilene kadar kullanıcıların gizli bilgilerine siber korsanlar tarafından ulaşılabildiği⁴¹⁹, Yine 2018 yılında Brezilya merkezli kripto para birimi ticaret platformu Atlas Quanrtum, yaklaşık 261.000 müşterilerin kişisel verilerinin ele geçirilmesine yol açan büyük bir veri ihlali yaşadığını açıkladığı⁴²⁰ haberlerine ulaşmak mümkündür.

E-devlete ilişkin olarak ise 2018 yılında internet güvenliği hizmeti veren Netsparker şirketinin, gov.tr uzantılı 94 resmi sitenin, sızıntılar ya da siber korsan saldırılarına karşı güvenlik açığının olup olmadığını test ettiği ve bu sitelerden 18’inin

‘güvenli’ olduğu, 1’i kritik, 43’ü yüksek, 122’si ise orta seviyede 642 farklı güvenlik sorunu saptandığı hususu haber yapılmıştır.⁴²¹

Siber korsanlık ve sistem açıklığı nedeniyle kişisel verilerin ele geçirilmesinin yanı sıra maddi çıkar karşılığı da kişisel verilerin paylaşıldığı görülmektedir. Yine başka bir haber kaynağına göre; e-devletin teknik altyapısını kurmaktan sorumlu olan OYTEK firmasının 2010 yılında Oyakbank’ın eski şifreleriyle Elektronik Veri Aktarım Sistemine girerek bankaların kart, çek ve kredi müşterilerine ait bilgileri belli bir ücret karşılığı paylaştığı ve BDDK tarafından bu durumun tespit edildiği⁴²² belirtilmektedir.

Görüldüğü üzere; sadece kimlik bilgileri değil bu bilgilerin yanısıra sağlık durumu, dinsel, siyasi tercih, aile durumu, araç plakası, fotoğraf, parmak izi, adres,

418 http://www.sigortagundem.com/haber/15-milyon-kisinin-kisisel-verileri-calindi/1328224 (Erişim Tarihi: 12.11.2018)

419 https://www.haber365.com.tr/teknoloji-haberleri/linkedin-kisisel-veriler-yine-verilerin-calinmasi-gundemde-h83172.html (Erişim Tarihi: 12.11.2018)

420 https://kriptoparahaber.com/261-000den-fazla-yatirimcinin-kisisel-verileri-calindi.html

421 https://www.milligazete.com.tr/haber/1523564/e-devlette-guvenlik-acigi-ortaya-cikti-sorun-milli-guvenlik-meselesi, (Erişim Tarihi: 12.11.2018),

https://www.webtekno.com/e-devlet-siber-guvenlik-testinde-adeta-yerlerde-surundu-h43049.;html.

(Erişim Tarihi: 12.11.2018),

422 https://www.ntv.com.tr/ekonomi/oytek-bankalarin-sirlarini-satmis,dqxKhHLBHUioLXS_n8iv6A

telefon, kredi kartı bilgileri, alışveriş bilgileri, mali bilgiler vb. pek çok bilgiyi kapsayan kişisel verilerin gizliliğin ve güvenliğin nasıl sağlanacağı sorunu, dünyada olduğu gibi ülkemizde de enformasyon ve iletişim teknolojileri bağlamında temel bir sorunu teşkil etmektedir. E-devlet kapsının ya da gov.tr uzantılı diğer kurumların resmi sitelerinin sunduğu pek çok hizmet ya da elektronik ortamda gerçekleşen işlemler (borsa işlemleri, alışveriş vs.) hayatı kolaylaştırmakla birlikte; alınan pek çok güvenlik önlemine karşı kişisel verilerin çalınması, izinsiz paylaşılması, satılması riski nedeniyle kişisel hatta ulusal bir güvenlik sorununa neden olabilmektedir. Bu durum ise özel hayatın mahremiyetinin ihlal edilmesine, bu verilerin gerek piyasa gerek iktidarlar tarafından amaç dışı kullanılabilmesine yol açabilmektedir.