Kişisel Verilerin Korunması Mevzuatı

14.3.1. Anayasa’nın 20’ci maddesinin, 6698 sayılı Kanun’un ve Kişisel Sağlık Verileri Hakkında Yönetmelik’in, kişisel verilerin korunmasına ilişkin hükümlerine azami düzeyde hassasiyet gösterilir.

14.3.2. Kişisel verilerin ve kişisel sağlık verilerinin işlenmesinde, 6698 sayılı Kanun’un 4’üncü maddesinde yer alan genel ilkelere; ayrıca kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde, kişisel sağlık verilerinin işlenmesinde ise Kanun’un 6’ncı maddesinde yer alan hükümlere riayet edilir.

14.3.3. Kişisel verilerin ve kişisel sağlık verilerinin aktarılmasında, 6698 sayılı Kanun’un 8’inci ve 9’uncu maddesinde ve ayrıca bu Kılavuz’un 10.6 (Veri Aktarım Anlaşmaları) maddesinde yer alan hükümlere riayet edilir.

14.3.4. 6698 sayılı Kanun’un 12’nci maddesinin birinci fıkrası uyarınca veri sorumlusu; verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

179

Bilgi Güvenliği Politikaları Kılavuzu

14.3.5. 6698 sayılı Kanun’un 12’nci maddesinin ikinci fıkrası uyarınca veri sorumlusu (İdare), kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişiler (sağlık hizmet sunucularında HBYS işletimi hizmeti veren yüklenici) ile birlikte müştereken sorumludur.

14.3.6. 6698 sayılı Kanun’un 12’nci maddesinin üçüncü fıkrası uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Dolayısı ile kanun hükümlerine uyumluluğun sağlanıp sağlanmadığı hususunda veri sorumlusu, veri işleyeni (HBYS işletimi hizmeti veren yüklenici) denetleyebilir.

14.3.7. 6698 sayılı Kanun’un 12’nci maddesinin dördüncü fıkrası uyarınca veri sorumlusu ile veri işleyen (HBYS işletimi hizmeti veren yüklenici), öğrendiği kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

14.3.8. Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ile 140’ıncı madde hükümleri uygulanır.

14.3.9. 6698 sayılı Kanun hükümlerine uygunsuzluk nedeniyle KVKK tarafından verilecek idari para cezaları ile ilgili kişiler tarafından açılacak davalarda hükmedilecek maddi ve manevi tazminat davaları, kusurlu olması hâlinde veri işleyen (SBYS işletimi hizmeti veren yüklenici) tarafından ödenir.

14.4. 5651 Sayılı Kanun ile Uyum

14.4.1. Türkiye’de internet ile ilgili en kapsamlı düzenleme 2007 yılında 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile sağlanmıştır.

14.4.2. 5651 sayılı Kanun ile temel olarak aşağıdaki hususlarda düzenlemeler yapılmıştır:

14.4.2.1. İnternet aktörlerinin (içerik sağlayıcı, yer ve erişim sağlayıcı, toplu kullanım sağlayıcı) tanımı yapılmış ve bu aktörlerin hak ve sorumlulukları belirlenmiştir.

14.4.2.2. Erişimin engellenmesi usul ve esasları düzenlenmiştir.

14.4.2.3. İnternet ortamında yayımlanan içerik nedeniyle haklarının ihlal edildiğini iddia eden kişilere ilişkin; içeriğin yayından çıkarılmasını sağlama ve cevap hakkı uygulamalarına ilişkin usul ve esaslara yer verilmiştir.

180

14.4.2.4. Konusu suç teşkil eden (ve/veya küçükler için zararlı olan) içerik kapsamında filtreleme usulü öngörülmüştür.

14.4.2.5. Türkiye’de internet ortamındaki yayınlardan Kanun’da belirtilen katalog suçlara ilişkin şikâyetlerin yapılabileceği internet bilgi ihbar merkezi (ihbarweb.

org.tr) kurulmuştur.

14.4.3. Bakanlığımız bağlısı kurum ve kuruluşlarda tesis edilmiş olan ağların hemen hemen tamamına yakını bir şekilde internet ortamına bağlı olarak çalışmakta ve Kanun’da belirtilen internet aktörlerinden “içerik sağlayıcı, yer sağlayıcı veya toplu kullanım sağlayıcı” rollerinden bir veya birkaçına girebilmektedir.

14.4.4. “Erişim sağlayıcı” kuruluşlar, abonelerine ticari olarak internet erişimi sağlayan telekomünikasyon firmaları olup Bakanlığımıza bağlı hiçbir kurum bu kategoriye girmemektedir.

14.4.5. İçerik sağlayıcı, internet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişilerdir.

Bakanlık merkez teşkilatı, bağlı kuruluşlar ve taşra teşkilatı birimleri web sayfaları vasıtası ile kullanıcılara içerik sundukları için “İçerik Sağlayıcı” konumundadır.

14.4.6. İçerik Sağlayıcı;

14.4.6.1. İnternet ortamında kullanıma sunduğu her türlü içerikten sorumludur.

14.4.6.2. İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir.

Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise, genel hükümlere göre sorumludur.

14.4.7. Yukarıda belirtilen nedenlerle; Bakanlığımıza bağlı kurum ve kuruluşların web sayfalarında yer alan her türlü içeriğin mutlaka bir sahibi olmalı ve kayıt altına alınmalı, kurumun web sayfasında içerik yayımlama ile ilgili usul ve esaslar belirlenmeli, yazılı hale getirilmeli ve titizlikle uygulanmalıdır.

14.4.8. Kılavuz’un 6.12 (Merkezi Web İçerik Yönetim Sistemine Erişim) maddesinde belirtilen sistem vasıtasıyla sunulan içerikten, sistemi işleten SBSGM değil ilgili web sitesine içeriği koyan kişi veya kurumlar sorumludur.

14.4.9. Yer sağlayıcı, internet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir.

14.4.10. Yer Sağlayıcı;

181

Bilgi Güvenliği Politikaları Kılavuzu

14.4.10.1. Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, Kanun ve ilgili mevzuat hükümlerine göre BTK, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde ve teknik olarak engelleme imkânı bulunduğu ölçüde, hukuka aykırı içeriği yayından kaldırmakla,

14.4.10.2. Yer sağlayıcı trafik bilgisini ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri iki yıl süre ile saklamakla sorumludur.

14.4.10.3. Yer sağlayıcı trafik bilgisi, internet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih ve saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgileri gibi bilgilerdir.

14.4.11. Bakanlık merkez, bağlı kuruluşlar ve taşra teşkilatı birimlerine ait web sayfalarının ve uygulamaların sunumunda kullanılan yazılım ve donanımları işleten birimler “Yer Sağlayıcısı” konumundadır. Bu kapsamda;

14.4.11.1. Web siteleri, Merkezi Web İçerik Yönetim Sistemi vasıtasıyla sunuluyorsa yer sağlayıcısı SBSGM,

14.4.11.2. Web siteleri ve uygulamaları, kuruma ait sunucu/sistemler vasıtası ile sunuluyorsa yer sağlayıcısı ilgili kurumun kendisi,

14.4.11.3. Web siteleri barındırma hizmeti, hizmet alımı ile SBYS firmaları veya diğer üçüncü kişilerden alınıyorsa yer sağlayıcısı ilgili SBYS firması veya üçüncü kişiler olmaktadır.

14.4.12. Web siteleri barındırma hizmeti, hizmet alımı ile SBYS firmaları veya diğer üçüncü kişilerden alınıyorsa, 14.4.10 maddesinde yer alan hususun ilgili firmalar tarafından yapılmasını temin etmek için hizmet sözleşmelerine konu ile ilgili maddelerin koyulması ve yapılacak firma denetimleri ile bu verilerin alındığının kontrol edilmesi gerekir.

14.4.13. İnternet toplu kullanım sağlayıcılar, kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişilerdir. Bakanlığımıza ait kurum ve kuruluşlarda tesis edilen bilişim altyapısı kullanılmak suretiyle, son kullanıcılara internet ortamına erişim sağlanıyorsa, ilgili kurum ve kuruluşlar

“İnternet Toplu Kullanım Sağlayıcı” konumundadır.

14.4.14. İnternet Toplu Kullanım Sağlayıcıları;

182

14.4.14.1. Erişim kayıtlarını ve bu kayıtların doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri 2 (iki) yıl süre ile saklamakla,

14.4.14.2. Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme (İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri ölçütlere göre erişimi engelleyen yazılımları ve donanımları) sistemini kullanmakla,

14.4.14.3. Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım sağlayıcılar, SMS ve benzeri yöntemlerle kullanıcıları tanımlayacak sistemleri kurmakla sorumludur.

14.4.14.4. Erişim kaydı olarak kullanıcılara iç ağda dağıtılan IP adres bilgilerinin, IP adreslerinin kullanıma başlama ve bitiş zamanlarının ve bu IP adreslerini kullanan bilgisayarların MAC adreslerinin, hedef IP adreslerinin, bir veya birden fazla IP adresinin portlar aracılığı ile kullanıcılara paylaştırılması yöntemi ile sunulan internet erişim hizmetinde kullanıcılara tahsis edilen gerçek IP ve port bilgilerinin kayıt altına alınması gerekir.

14.4.15. İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler.