Photoshop Magazin
 


Sanal ID Ve Elektronik Kişisel Verilerin Korunması

01 July 2008 | Sayı: Jul 2008
 
1 2 3 4 5
 

Yazarın Notu:

Şöyle bir senaryo düşünün;
Sizi gerçek dünyada yakından tanıyan bir iş arkadaşınız sizin banka hesaplarınızı biliyor. Kimlik fotokopinizi elde etmesi de hiç sorun değil. Bir gün siz başka bir yerde işlem yaparken anne kızlık soyadı gibi daha özel bilgilerinizi de duyuyor ya da görüyor. Şimdi bu iş arkadaşınızın, sizin yerinize hesabınızın bulunduğu bankanın internet şubesini kullanmasının önündeki engel nedir? Bu arkadaşınız sizin yerinize bankanın call centerını arayarak bir internet şubesi şifresi belirleyebilecek ve bunu sizin haberiniz dahi olmadan kolayca kullanabilecektir. Siz ise durumdan ancak banka hesabınız boşaltıldığında haberdar olacaksınız. Tabii bunu kimin yaptığını bulabilmeniz ise çok zor hatta belki de imkansız.

Kişisel veriler ve Sanal ID öğeleri nelerdir?
Kişisel bilgiler/veriler tanımlanmış ya da doğrudan / dolaylı olarak, bir kimlik numarası ya da fiziksel, psikolojik, zihinsel, ekonomik, kültürel ya da sosyal kimliğin, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerin bir ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel kişi lere ilişkin herhangi bir bilgiyi ifade etmektedir.

Sanal ID öğeleri ise, sanal ID ile gerçek ID'nin örtüşmesini sağlayacak, kişiliğinize bağlı her türlü veridir. Bunlar sistem kullanıcı numaraları, TC Kimlik Numarası, anne-baba adı, nüfus kayıt bilgileri, anne kızlık soyadı ve şifreler olabilir. Özellikle elektronik bankacılık işlemlerinde sanal ID belirlemek ve bu sanal ID ile işlemler yapmak son derece kolaydır. Burada önemli olan husus, sanal ID'nin gerçek alemdeki karşılığı ile doğru örtüşmesidir. Bunu sağlamak ise her şeyden önce bizzat kullanıcının kendisine düşmektedir. Zira kişisel verilerini koruyacak olan, her şeyden önce kişinin kendisidir.

Kurumların Kişisel Verileri Koruma Yükümlülüğü
Kişisel verilerin korunması gerekliliğinin ortaya çıkması ile birlikte, yasal düzenlemelerde bu konuda değişiklikler yapılmış, yetkisiz kişilerce kişisel verilerin elde edilmesi yasaklanmış, yetki dahilinde kişisel verileri elde eden kurum ve kişilere bu verileri koruma ve yetkisiz kişilerle paylaşmama yükümlülüğü getirilmiştir. Bu yasal düzenlemeler arasında en genel ve temel olanı; Türk Ceza Kanunu'nun dokuzuncu bölümünde; Özel Hayat ve Hayatın Gizli Alanına Karşı Suçlar başlığı altında toplanmıştır. Bu bölümde;

Türk Ceza Kanunu Madde 135;
Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir., Madde 136; Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. Hükümlerini içermektedir. Madde 138'de verileri yok etmemeyi suç saymakta; Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir. hükmünü içermektedir.

Madde 136 ise Suçun nitelikli hallerini (ağırlaştırıcı sebeplerini) düzenlemekte olup; Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi hâlinde, verilecek ceza yarı oranında artırılır. hükmünü içermektedir. Fakat verileri ele geçirmenin aslında ne kadar büyük zararlara yol açacağı gözetilmeksizin, hemen takip eden 139. Madde'de bu suçların takibi şikayete bağlanmıştır. Oysa ki kişisel verilerin ele geçirilmesi demek, her şeyden önce gerçek kişilikle örtüşmeyen bir sanal ID'nin varlığı anlamına gelir ki; bu durum kişisel olmaktan öte toplumsal bir sorundur. Bu nedenle bu suçların takibinin şikayete bağlı olmaktan çıkarılması gereklidir.

Diğer düzenlemeler: Türk Ceza Kanunundaki genel düzenlemelerin dışında, kişisel verilerin korunması ile ilgili olarak diğer yasal mevzuatta da birçok hüküm bulunmaktadır.
Örneğin;
* Telekomünikasyon sektörünün ana kanunu olan 406 Sayılı Kanunun Ek 18. Maddesine 03.05.1995 tarihinde 4107 Sayılı Kanunun 2. Maddesiyle eklenen ek fıkra ile: Sermaye şirketleri haberleşmenin gizliliğine, milli güvenlik ve kamu düzenine aykırı davranışta bulunamazlar. esası getirilmiştir.
* 5411 sayılı Bankacılık Kanununun 73. Maddesi: Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. esasını kabul etmiştir.

Alınması gereken önlemler: Yukarıda belirtildiği gibi bankalar ve diğer kurumlar, birer elektronik yazılım kullanmaktadırlar. Bu yazılımların kişileri fiziksel olarak teşhis edebilmesi mümkün değildir. Bu teşhisi sağlayacak olan kullanıcının bizzat kendisi, banka ya da diğer kuruluşların yetkili personelleridir. O nedenle; her şeyden önce kişiler kendi kişisel verilerini korumalı ve kimseyle paylaşmamalıdır. Bir şekilde bu veriler başkasının eline geçti ise verileri kullanacak olan kurum ve
kuruluşlar, gerek yazılımlarında gerekse yüz yüze işlemlerde verileri kullanan kişinin, verilerin sahibi olan kişi olup olmadığını kontrol etmelidir. Özellikle elektronik işlemler mümkün olduğunca kayıt altına alınmalıdır. Bu konuda bankaların özellikle call center'larla yapılan görüşmeleri kayıt altına
alması iyi bir tedbir olup, en azından daha sonradan verileri kullanan kişilerin teşhisini sağlamaya yardımcı olmaktadır.



Av. Şerafettin EKİCİ

 

July 2008

 


Tasarım Hukuku