Veri Güvenliğinin Sağlanması

Kişisel verilerin korunması mevzuatında veri güvenliği, en geniş anlamıyla kişisel verilerin korunması amacıyla gerekli tüm idari ve teknik tedbirlerin alınmasını ifade eder193. 6698 Sayılı Kanun ve GVKT kapsamında veri sorumlusu ve veri işleyen kişisel verilerin saklanması ve işlenmesi ile ilgili tüm teknik ve idari güvenlik önlemlerini almak suretiyle hukuka aykırı olarak verilere erişim veya işlenmesinin önüne geçmek ve kişisel verilerin muhafazasını sağlamakla yükümlüdürler.Veri korunmasına yönelik tedbirler standart olmadığından her bir veri sorumlusu, yapısı, büyüklüğü, faaliyetleri, işlediği kişisel verilerin niteliği ve miktarı ile barındırdığı risklere göre veri güvenliğine yönelik tedbirleri kendisi belirleyecektir194_.

İdari Tedbirler, risk ve tehditlerin belirlenmesi, personelin eğitilmesi ve farkındalığının arttırılması, kişisel veri güvenliği politika ve prosedürlerin belirlenerek, bunların yayınlanması ve kontrollerinin sağlanması, veri minimizasyonunun sağlanması, veri işleyenlerle ilişkinin belirlenmesi, iç ve dış

193 _{Taştan, s.71}

denetimlerin yaptırılması örnek olarak verilebilir195_{. Teknik tedbirlere ise siber}

güvenliğin sağlanması, kişisel veri güvenliğinin izlenmesi ya da takip edilmesi, kişisel veri bulunan ortamlarda güvenliği sağlanması, kişisel verinin bulut ortamında saklandığı durumlarda bulut güvenliğinin sağlanmasının temin edilmesi, bilgi teknoloji sistemlerinin tedariği, geliştirilmesi ve bakımının yapılması, kişisel verilerin yedeklenmesi işlemleri olarak örnek verilebilir196_{. Genel anlamda veri}

sorumlusunun , kimlik doğrulama, erişim yönetimi, veri kayıtlarına ya da loglara erişim, vaka yönetimi, bilişimin güvenliği, veri işleme güvenliği, iç ağın korunması, sunucuların güvenliği, web sayfaların güvenliği, sürekliliğin sağlanması, güvenli arşivleme, bakımın denetlenmesi, verilerin imhasının gözlenmesi, veri işleyenlerin yönetilmesi, fiziksel ortam güvenliği, yazılım geliştirmenin denetlenmesi ve şifreleme mekanizmalarının kullanımı gibi noktaların denetlenmesi veya kontrol edilmesi gerekmektedir197.

Uluslararası Standardizasyon Kurumu (“ISO”) ve Uluslararası Elektroteknik Komisyonu (“IEC”) işbirliği ile, yürürlükte bulunan yasal düzenlemelere tamamlayıcı nitelikte bilgi ve iletişim teknolojilerinde gizlilik ve kişisel verilerin işlenmesinde güvenlik standartlarının iyileşmesi amacıyla standartlar hazırlanmaktadır198_.

Türk Standartları Enstitüsü’nün veri güvenliğini sağlamak amacıyla yayınladığı ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile kurumların veriyi uygun şekilde kullanması, buna ilişkin politikaları oluşturması, organizasyonel yapılar oluşturması, ayrıca uygun yazılım ve donanımlardan faydalanması amaçlanmıştır199_{. Bu standarda ek olarak güvenlik teknikleri gizlilik bilgi yönetimi} için ek gereklilik ve rehber standart olarak ISO 27701 standardı çıkarılmıştır200_. ISO/IEC 29100 Standardı ile de kişisel verilerin korunmasında ortak bir anlayış

195 _{Turan, s.89} 196 _{Turan, s.91} 197 _{Turan, s.93} 198 _{Berber, Bilgili, s.2} 199 _{Taştan, s.72} 200 _{Berber, Bilgili, s.2}

geliştirilmesi ve kişisel verilerin işlenmesi sürecinde mevcut güvenlik standartlarının iyileştirilmesi hedeflenmiştir. ISO 29100 standardında bilgi iletişim sistemlerinde gizlilik arttırıcı teknolojiler tanımlanmıştır201_.

Veri Sorumluları ayrıca veri güvenliğine ilişkin olarak Kurul tarafından 6698 Sayılı Kanunun 22. maddesinin ç ve f bendi uyarınca belirlenen özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemler ile kurul tarafından düzenlenen veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla yapılan düzenleyici işlemlere de uymak zorundadır.

Mobil uygulamalarda veri güvenliği yükümlülüğüne uygunluk amacı çift yönlü işlemekte, bir tarafta cihaz sahibi kullanıcı, kendi verileri üstünde kontrol hakkına sahip olurken kendi sorumlu olduğu ölçüde verilerini korumak için tedbirlerini almalı, diğer yanda kişisel veriyi yöneten diğer veri sorumlusu cihaz ve işletim sistemi üreticisi, uygulama geliştirici, uygulama mağazaları da sorumlu oldukları ölçüde veri güvenliğini sağlamalıdır202_.

Mobil uygulama geliştiricilerin, yazılım hazırlamak için kullanılan bileşenlerdeki zafiyetleri tespit etmesi ve izlemesi kendilerinden beklenmektedir. İşletim sistemi ve cihaz üreticileri de aynı şekilde güvenlik açığı yönetim süreci belirleyerek uygulamanın kullanıldığı akıllı mobil cihazların kişisel verileri işlemeleri açısından zafiyetlerini düzenli olarak test ederek, güncellenmiş mobil uygulamaların olabildiğince erken sunulmasını ve kullanıcıların güncellemeleri yüklemeleri konusunda uyarılmasını sağlayacak metodları belirlemelidir.

Uygulama satıcıları, mağazalarına uygulamaları kabul etmeden önce belirli güvenlik kriterleri belirleyerek bunların ilgili uygulamada mevcut olmasına göre uygulamaları kabul etmektedir. Ayrıca mağazalar tarafından belirlenen kriterlerin uygulamada süreklilik arz etmesi için uygulamalar düzenli denetim ve testlere tabi

201 _{Berber, Bilgili, s.10}

202 _{Madde 29 Çalışma Grubu‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüşü, s.18

tutulmaktadır203_{. Google Play, uygulama geliştiricilere yönelik hazırladığı}

politikasında da uygulamanın, Google Play'in güncelleme mekanizması dışında bir yöntem kullanarak kendisini değiştiremeyeceği veya güncellemeyeceğini belirtmiştir204_{. Mobil uygulama kullanıcılarının da dikkatsizlik, tecrübesizlik veya}

bilgisizlik gibi zayıf yönlerinin kullanılması suretiyle kişisel verilerin başkasının eline geçme ve korunma konusunda farkındalığının arttırılması yönünde çalışmalara uygulamalar içerisinde yer verilmesi sağlanmalıdır. Aynı şekilde cihaz üretici ve işletim sisteminin mobil cihaz kaybolduğunda veya başkasına eline geçtiğinde cihaz içindeki ve uygulamalarda yer alan verilerin başka kişiler tarafından erişilmesine önleyici tedbirlerin olması örneğin mobil cihazlara kullanıcı dışında erişimi kolay olmayacak şekilde şifre üretilmesine izin verecek yapı ve kullanıcılara bunu teşvik edici şekilde tasarlanmış olması gerekir. Mobil cihaz kullanılmadığında otomatik olarak şifre ile korunması, uzun süre kullanılmayan uygulamaların sistemden kaldırılması için kullanıcıya uyarı verilmesi gibi güvenlik tedbirlerine imkan tanınmalıdır.

Kişisel verilerin saklanmasında şifreleme metodlarına uygun şekilde saklanması, işleme sistem ve servislerinin gizlilik, bütünlük, kullanılabilirlik ve esnekliğin sağlanması gerekir205_.