1. GİRİŞ

Türkiye Cumhuriyeti Anayasa’sının 20. maddesi ile anayasal koruma altına alınan kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ile kapsamlı bir düzenlemeye kavuşturulmuştur.

Bireyin kişisel verileri üzerindeki hakkı, kamusal organların kişisel veri ihtiyacının karşılanmasına yönelik faaliyetleri karşısında, bireyi veri işleme faaliyetlerinin öznesi haline gelmekten, özel yaşam ilişkilerinin bütün yönlerine ait verileriyle kamusal iktidar tarafından bilinen, kişilik profili çıkartılabilmesi mümkün olan, özel yaşamında ne zaman, nerede, ne yaptığı veya yapabileceği bilinen ve böylece Anayasada ve uluslararası belgelerde garanti edilen özel yaşamın gizliliği hakkı ortadan kaldırılmış bir insan tipi haline gelmekten korumaktadır.[1]

Kanun ile kişisel verilerin korunmasında bir mekanizma oluşturulmuştur. Bu mekanizmanın cisimleşmiş hali ise Kişisel Verileri Koruma Kurumu ve bu Kurumun icracı organı olarak da Kişisel Verileri Koruma Kurulu’dur. Kurul yayınladığı yönetmelikler, tebliğler, rehberler ve verdiği kararlar ve idari para cezalarına dair kararları ile uygulamaya yön vermektedir.

95/46/EC sayılı AB Direktifini temel alarak hazırlanan Kanun ile klasik anlamdaki bir Kanun ve bunun mahkemeler önündeki uygulamasından ziyade, Kanun’un getirdiği yükümlülüklerin aslında gerçek hayatta ne şekilde yerine getirileceğine dair uygulamalar bütününü ifade eden uyum sürecinden bahsetmek daha doğru olacaktır.

Uyum süreci Kanun’un getirdiği düzenlemelerin kağıt üstünde cisimleşmesini ifade etmemektedir. Gerçek manada uyum, yapılan bir regülatif düzenlemenin yerine getirilmesi için alınması gereken hukuki, idari ve teknik tedbirlerin bir proje planı dahilinde ve harmonize bir şekilde hayata geçirilmesi demektir. Bunu yapabilmek için de herşeyden önce regülasyonun söylediği hukuki lafzın teknik karşılığının ne olduğunun tespit edilmesi ve bu teknik karşılığın da hayata geçirilmesi gerekir. Bunu hayata geçirmek ise bir proje planı dahilinde insan, yazılım, sistem kaynağı ile birlikte maddi kaynakların ayrılması gerekir.

Kurul’un yayınladığı rehberler de uygulamaya yön göstermek üzere hazırlanmış rehberledir. Satır araları dikkatli okunduğunda aslında regülasyon gereğinin ne şekilde yerine getirileceğinin oldukça net bir şekilde anlatıldığı görülmektedir. Bu yazıda ele alınacak olan yetki matrisleri ve yetkinin yönetimi ve bunlarla ilgili teknik tedbirlerin ceza hukuku bakımından yorumlanması konusu da Kurul’un yayınlamış olduğu “Kişisel Veri Güvenliği Rehberi”nin “Teknik Tedbirler Tablosu”nda gösterilen ilk dört sıradaki teknik tedbirlerle ilgilidir.

Teknik konulara ve bunların hukuki yorumuna geçmeden önce kişisel verinin ne olduğunun ve işlemeye ilişkin ilkelerin neler olduğunun ortaya konulması gerekmektedir.

 

  1. KİŞİSEL VERİLERİN KORUNMASI VE VERİNİN MAHREMİYETİ

 

Veri koruması hukuku, kişilik hakkının korunması kavramı altında kişiliğin bütün yönleriyle yansımasını ifade eden bilgileri, kısaca kişisel verilerimizi konu almaktadır. Nitekim veri koruması lügatında da bir kişiyi belirleyen ya da belirlenebilir kılan her türlü bilgi kişisel veri olarak adlandırılmaktadır.[2] Kişisel veriler, bu konuya ilişkin kabul edilmiş ilk uluslararası belge olan ve 1980 yılında OECD tarafından yayınlanan Kişisel Verilerin Sınır Aşan Trafiği ve Verilerin Korunmasına İlişkin Rehber İlkeleri 1/b maddesinde de “belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler olarak tanımlanmıştır.[3]

Bu durumda kişisel veriyi kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre kişisel veriden söz edebilmek için, verinin (i) bir kişiye ilişkin ve (ii) bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekir.[4]

Bu tanımlarda yer alan “kişiyi doğrudan veya dolaylı olarak belirlenebilir kılmak ifadesinden ne anlaşılması gerektiğinin de irdelenmesi gerekmektedir. Buna göre; kişinin ismi gibi bazı bilgileri, onun doğrudan ve tek başına belirlenebilmesi için yeterli olmaktadır. Bu durumda kişinin kimliğinin doğrudan belirlenebilmesinin mümkün olduğu söylenebilecektir. Kişisel veri kavramının tanımlanmasında kullanılan “dolaylı olarak belirlenebilir kılma” unsuru ise kişinin saptanmasında tek başına yeterli olmayan ancak başka birtakım verilerle birlikte değerlendirildiğinde bir anlam ifade eden veriler olarak karşımıza çıkmaktadır.[5]

Bu noktada verinin ne olduğu konusunda da tartışmalar ortaya çıkmıştır. Literatürde veri, enformasyon ve bilgi deyimlerinin birbirlerinin yerine kullanılmaları nedeniyle, aralarındaki ilişki tartışmalı bir alanı oluşturmaktadır. Bazı yazarlar tarafından bu üç kavramın birbirinin yerine kullanılmasının ciddi bir hata olduğu söylense de uluslararası kaynaklarda ve literatürde bunların birbirlerinin yerine sıklıkla kullanıldığı görülmektedir.[6]

Genel kabul gören görüşe göre, verinin enformasyonun, enformasyonun da bilginin hammaddesini oluşturduğu söylenebilir.[7] Ancak genelde bu ifadelerin birbirlerinin yerine kullanıldığı görülmektedir.[8] Biz bu yazımızda “veri” ve “kişisel veri” kavramlarını kullanacağız.

Veri ve benzeri kavramlardaki karışıklık gibi, kişisel verilerin korunması konusundaki başka bir karışıklık ise “veri koruma” ile “veri mahremiyeti” arasında ortaya çıkmaktadır. Veri koruma (data protection) verinin bir dış saldırganın erişiminden korumak ya da içeriden birinin veriyi dışarı sızdırmasını önlemek anlamını taşır. Veri koruma daha eskiden ortaya çıkmış ve halen varlığını sürdüren bir kavram iken, veri mahremiyeti (data privacy) aslında bugün konuştuğumuz ve bu yazının da ana konusu olan kavramdır. Veri mahremiyetinde bir verinin veri korumada olduğu gibi bir iç ya da dış saldırganın alıp götürmesine karşı korunması değil verinin amaç dışında, fazla ya da orantısız, hukuka aykırı veya gayrimeşru kullanımının engellenmesi ve verinin artık belli süreler boyunca elde tutulabilmesi, belli şartlar gerçekleştikten sonra artık elde tutulamaması, imha edilmesini ifade etmektedir.

Bu belirtmiş olduğumuz farklılık dünyada bu konularla ilgili standart düzenlemelerine de yansımıştır. Veri korumanın standardı ISO 27001 iken çok yeni çıkarılan ISO 27701 ile veri mahremiyeti yönetimi standartlaştırılmıştır. Bu ayırım çok önemlidir, zira uyum sürecinde verinin sadece bazı teknik ve fiziki önlemler kullanılarak korunması veri mahremiyetinin sağlanması anlamına gelmemekte, veri mahremiyetinin kendine özgü konuları ve mahremiyetin korunmasındaki teknik, idari ve hukuki tedbirler gündeme gelmektedir.

Ayrıca bu ayırımın ceza hukuku açısından da önemli farklılıklar yaratan sonuçları vardır. Verinin korunamamasında Türk Ceza Kanunu’nun bilişim suçlarına dair 243 ve devamı maddeleri devreye girerken, veri mahremiyetinde öncelikle TCK m.134 ve devamı maddeleri gündeme gelmektedir. Bu yazının konusu olan, teknik tedbirlerden yetki matrisleri ve yetki yönetimi konusu da işte bu ayırımın irdelenmesine denk gelmektedir.

Türk literatüründe bu ayırımın henüz yapılmamış olduğunu, verilerin korunması başlığının en fazla kişisel verilerin korunması ve özel nitelikli kişisel verilerin korunması bağlamında sınırlı olarak incelendiğini görmekteyiz.

Aynı sınırlı ele alma yurtdışı veri aktarımlarında da görülmektedir. Türk literatüründe ve uygulamasında, özellikle Kurul’un uygulamasından yurtdışına aktarım sadece verinin transferi olarak algılanmakta ve tüm kurgu veri transferi üzerinden yapılmakta, tüm tartışmalar da veri transferi üzerinden gitmektedir. Halbuki aynen kişisel verilerin korunması ile kişisel verilerin mahremiyeti arasında bir fark gözetilmeden sığ bir şekilde tartışmaların yürümesi gibi, verinin transferi ile verinin transiti arasındaki farklılık da hiçbir şekilde göz önüne alınmamakta hatta sözü dahi edilmemektedir. Oysa arka planda, yani teknik düzlemde bu ikisi birbirinden çok farklı konulardır.

Bu nedenle biz bu yazımızda yetki matrisleri ve yönetimi bağlamında, teknik bir konunun hukuken nasıl yorumlanacağını, hukuki düzenlemelerin ise teknik olarak nasıl yorumlanacağını, deyim yerindeyse hukuk ile teknik arasında ara işlerliğin nasıl sağlanacağını göstereceğiz.

 

  • KİŞİSEL VERİ GÜVENLİĞİ REHBERİ TEKNİK TEDBİRLER TABLOSU VE CEZA HUKUKU BAĞLAMINDA BU TEDBİRLERİN YORUMU

 

Yukarıda da belirtildiği üzere Kişisel Verileri Koruma Kurulu, yayınladığı rehberler ile uygulamaya yön vermeye çalışmaktadır. Rehberler incelendiğinde dünyadaki emsallerinden geri kalınmadığı, İngiliz otoritesi ICO veya Fransız otoritesi CNIL örneklerinde olduğu gibi onların yayınladıkları çeşitli rehberlerle uyum içinde olduğu ve genel olarak dünyadaki özellikle mahremiyet jargonu ve mahremiyete ilişkin teknik altyapılarla ilgili jargon açısından dünya ile eş zamanlı gidildiğini görmekteyiz.

Bu bölümde “uyum” yaklaşımının nasıl ele alındığına dair güzel bir örnek olarak Kurul’un yayınladığı Kişisel Veri Güvenliği Rehberi ile doğrudan 6698 sayılı Kanun’un kendi lafzının nasıl birbirlerine dönüştürülebileceğini, bu tür uyum programlarındaki regülasyon, kanun lafzı ile teknik gereklilikler ve gerçeklikler arasındaki ara işlerliğin nasıl sağlanacağını göstermeye çalışacağız.

Kanun’un kanımca en önemli maddesi aynen 95/46/EC sayılı AB Direktifi’nde veya Mayıs 2018’de bu direktifi ortadan kaldıran AB Genel Veri Koruma Tüzüğü’nde (GDPR) de düzenlenmiş olan “İlkeler” başlıklı 4. Maddesidir. Bu maddenin tüm bentleri önemli olmakla birlikte özellikle:

“ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.”

İlkesi bu yazının da ana konusu olan uyum süreci yaklaşımını göstermek açısından önemli bir maddedir.

Kanun, yapılacak veri işlemelerinin verinin işlenmesindeki amaçla bağlantılı, sınırlı ve ölçülü olmasını istemektedir. Kanun’un bu gerekliliğini yerine getirmek bir zorunluluktur. Ancak bu nasıl yapılacaktır?

Klasik bir hukuki yaklaşım ile konu ele alınacak olursa, bir veri sorumlusunun içinde, bu verileri işleyen kişilerin, veriyi işlemelerine neden olan amacın dışına çıkmamaları gerekmektedir. Bunu sağlamak için ise bu kişilere görev tanımları yazılır, bu görev tanımlarının içindeki verileri işlemelerine neden olan amaçlar belirlenir, kullanacakları veri setleri belirlenir ve sonrasında bu bilgiler doğrultusunda bu kişilere taahhütnameler imzalatılır ya da sözleşmelerine ek veya sözleşmelerinde değişiklikler yapılır.

Ancak kağıt üzerinde bu tedbirlerin alınması ile gerçekten Kanun’un belirttiği gereklilik yerine getirilmiş ve amaçla bağlantılı, sınırlı ve ölçülü işleme garanti altına alınmış mıdır?

Bu konuyu daha net anlayabilmek için şöyle bir analojiden yararlanılabilir:

Yüksekte çalışan bir işçi var, bu işçiye eğitim de veriliyor, yüksekte çalışmanın tehlikeleri anlatılıyor, alması gereken tedbirler, dikkat etmesi gereken hususlar aktarılıyor ve sonrasında kendisine bir sınav yapılarak ölçme değerlendirmeye tabi tutuluyor ve zaman zaman bu eğitimler devam ediyor. Ancak bu işçi bir gün yüksekte çalışırken bir nedenden dolayı (örneğin eğitimsizliğe vs bağlanamayacak şekilde tansiyonu düşüyor, başı dönüyor ) yüksekten düşerek ölüyor.

Şimdi böyle bir vakada hukuki tedbirler alınmış ancak ölümün önüne geçilememiştir. Halbuki yapılması gereken bu kişiye yüksekte çalışmaya uygun emniyet kemeri, ipi vb araç gerecin sağlanmasıydı. Siz bu araç gereci sağlamadıkça bu kişinin bir gün yüksekten düşüp ölmeyeceğine dair bir garanti veremezsiniz.

Benzer şekilde, birtakım teknik tedbirler almadan sadece taahhütnameler ve sözleşmelerle yetinmeye çalışmak aynen yüksekte çalışan işçi ile ilgili yukarıdaki örnek gibidir. Gerekli teknik altyapılar kurulmazsa Kanun’un 4. Maddesinin yerine getirilmesi de mümkün olmayacaktır.

Bu noktada Kurul’un yayınladığı Kişisel Veri Güvenliği Rehberi’nin Teknik Tedbirler Tablosu’na tekrar döndüğümüzde ilk dört sırada şu tedbirlerin olduğunu görürüz:

 

  • Yetki matrislerinin oluşturulması
  • Yetki yönetiminin yapılması
  • Log (kayıt) tutulması
  • Kullanıcı hesap yönetiminin yapılması

 

Yetki matrisi, organizasyon şeması içerisinde tanımlanmış bir “rol”ün organizasyonun bilgi teknolojileri varlıklarının hangilerine erişebileceğini ve bu eriştiği yerlerde hangi yetkileri kullanabileceğini gösteren matrislerdir. Aslında erişim matrisi ve sonrasında yetki matrisi daha doğru olan söylemdir. Ancak burada konunun karışmaması için Rehberdeki ifadeyi baz alarak yetki matrisinden söz edeceğiz.

Yetki yönetimi ise, yetki matrisine göre BT varlıklarına erişen rollerin, işe alım, işten çıkarma, yer değiştirme, geçici yetki açılması vb çeşitli hayat senaryolarında, sahip oldukları yetkilere gerçekten sahip olmaya devam edip etmediklerinin, sahip oldukları yetkilerin bulunulan rol ile uyumlu olup olmadığının ve o rolün kendisine tanımlanan görev tanımları için bu yetkileri gerçekten kullanmasının gerekip gerekmediğinin yönetiminin yapılmasıdır.

Log tutulması, bir roldeki bir kullanıcının BT varlıklarına erişmesi ve eriştiği BT varlıklarında yaptığı tüm hareketlerin kayıt altına alınması ve çeşitli korelasyon kuralları dahilinde anomali tespitinin sağlanabilmesi için kayıtların tutulmasını ifade eder.

Kullanıcı hesap yönetimi de bir role tanımlanan bir kullanıcının çeşitli BT kaynaklarında, yetki matrisi ile gösterilen yetkilerinin kullanabilmesi veya kullanmasının durdurulması için o hesabın yönetiminin yapılmasıdır.

Bütün bunların hukuki karşılığı ise Kanun’un İlkeler başlıklı 4. Maddesinin yukarıda belirttiğimiz amaçla sınırlı kullanımı öngören (ç) bendidir. Eğer Kanun’a uyum sağlamak isteniyorsa ve (ç) bendi gereği yerine getirilmek isteniyorsa; herkesin bulunduğu role göre ve veri minimizasyonu ilkesi çerçevesinde yasa gereği zorunlu olarak veya kendi rolünün görev tanımının iş süreci içerisinde zorunlu olarak kullanması ancak Kurul’un yukarıda belirttiğimiz teknik tedbirler tablosunun ilk dört maddesinin yerine getirilmesi için gerekli teknik altyapıların kurulmasıyla mümkün olabilecektir yoksa salt hukuki bir yorumla ve salt hukuki bazı araçları kullanarak yerine getirilebilecek bir regülasyon zorunluluğu değildir.

Aynı konuya, yani Teknik Tedbirler tablosunun ilk dört maddesine bu kez de ceza hukuku perspektifinden baktığımızda şunları tespit etmekteyiz:

Her şeyden önce, suçta ve cezada şahsilik evrensel bir ceza hukuku ilkesidir ve Türk Ceza Kanunu’nun 20. maddesi ile de pozitif bir hukuk kuralı olarak düzenlenmiştir.

Dolayısıyla bu yazının konusu olan Teknik Tedbirler Tablosundaki ilk dört teknik tedbiri bu kez de ceza hukuku perspektifinden okuyacak olursak Kurul, bir veri ihlali durumunda, bu veri ihlalini kimin yaptığının belirlenebilmesi için yetki matrisi, yetki yönetimi, loglama ve kullanıcı hesap yönetiminin yapılmasını istemekte, bir başka deyişle veri ihlaline yol açan asli maddi failin kim olduğunun tespit edilmesini istemektedir. Böylece bir veri ihlali durumunda, Türk Ceza Kanunu’nun 20. Maddesi anlamında suçta cezada şahsilik ilkesini hayata geçirmek istemektedir.

Bu durumun böyle yorumlanması ve algılanması uygulamada çok ciddi hayati önemi haiz sonuçlar doğurmaktadır. Eğer bu teknik tedbirleri verinin korunması, mahremiyetinin sağlanması için alınacak teknik tedbirler diye anlar ve failin tespiti noktasında ve cezai sorumluluğun takibi noktasında dikkate almaz isek, uygulamada çok sıklıkla rastladığımız gibi şirketlerin yönetim kurulları üyeleri veya imza yetkilileri savcıların karşısına şüpheli sıfatıyla çıkacaktır. Ancak bunu böyle değil de yukarıda belirtildiği gibi bir kişisel veri ihlali durumunda bu ihlali yapanın kim olduğunun belirlenmesi ve bu belirlemeye göre o kişinin asli maddi fail olacağını düşünürsek savcılığa şüpheli sıfatıyla bu fiili bizzat gerçekleştiren kişi çıkarılacaktır.

Aslında bu dört teknik tedbir, AB’nin yeni GDPR düzenlemesinin 25. maddesi ile özellikle yazılımlarda ve sistemlerde bulunmasını emrettiği bir husus olan PbD, privacy by design/mahremiyetin tasarım ile sağlanması kavramıyla da çok yakından ilişkilidir. Önümüzdeki yıllarda dünyada ve ülkemizde çok daha önemli bir konu haline gelecek olan PbD ile daha tasarım aşamasında sistemlerin ve yazılımların yetki yönetimine, loglamaya, kullanıcı hesap yönetimine, maskeleme gibi önlemlerin alınmasına imkan sağlayacak şekilde tasarlanması gerekir.

Özetleyecek olursak, bir yasal düzenleme bir uyum sürecini gerektirdiğinde, o düzenlemenin bir teknik karşılığı olabileceği gibi, yapılması istenilen teknik düzenlemelerin de hukuken bir karşılığı olacaktır. Bu durum amaçla sınırlı kullanıma dair ilkede ve teknik tedbirler tablosunda çok bariz olarak ortaya çıkmaktadır. Bunun ceza hukuku boyutunda ise suçta cezada şahsilik ilkesinin hayata geçirilebilmesi gibi çok hayati bir mesele ile birlikte ayrıca suça iştirak, ihmal, kast, içtima gibi birçok ceza hukuku ile ilgili konuyu da etkileyen, şüphelilerin hukuki statüsünü belirlemede ve nihayetinde aklanıp aklanmayacaklarını veya ceza alıp almayacaklarını belirlemede hayati önem taşıyan hususlar ortaya çıkmaktadır.

Örneğin bir bankada bir görevli, bankacılık ve müşteri sırrı niteliğinde olan ama aynı zamanda kişisel bir veri de olan banka hesabındaki mevduat tutarı bilgisini dışarı sızdırsa ve sonrasında yetki matrisleri ve yetki yönetimi sistemlerinin bıraktığı loğlardan bu kişi tespit edilse, elbette TCK m.20 gereği asli maddi fail olarak yargılanacaktır. Ancak bu kişi savunmasında; ben bu yetkileri bana görevim gereği açık sanıyordum, çünkü ilk başladığım günden beri bu ekranlar bana açıktı, bu ekranlar bana açık olduğu için ulaşmamam gerektiği konusunda bir uyarıda da bulunulmadığı, eğitim verilmediği veya yazılım üzerinde herhangi bir kontrol, alarma mekanizması kurulmadığı için sıralı amirlerim ve banka yöneticileri de suçludur dese ve sorumluluğu yaymaya çalışsa, o takdirde aslında bu veri ihlaline fiilen karışmamış olan yöneticiler hakkında da ceza soruşturması yürütülmesi mümkün olacaktır.

NETİCE:

Tüm bu incelemelerden ve açıklamalardan çıkan sonuç, ceza hukukunda adalete ulaşmak, suçluyu cezalandırmak/ıslah etmek gibi hangi görüş benimsenirse benimsensin, ceza hukuku alanına giren ve teknoloji ile doğrudan veya dolaylı bağlantılı konularda, olayların teknik doğası bir kenara bırakılarak salt hukuki bir yaklaşımla gidilmeye çalışılması adaletsizlik yaratacak, halk arasında adalet duygusunun yara almasına neden olacaktır. O nedenle kişisel verilerin korunması gibi regülatif alanlarda yapılacak uyum çalışmalarında, bu çalışmanın ne tek başına hukuki ne de tek başına teknik bir konu olmadığının bilincinde olarak, bir arayüz gibi çalışarak hukuk ile teknik arasındaki bağlar kurulmalıdır. Bu husus en çok ve en hayati olarak kendisini ceza hukuku alanında göstermektedir. Ceza hukukunun özellikle genel hükümler kısmının ve ceza hukuku genel teorisinin artık pozitif hukuka da girmiş olan ve somut şekilde göstermeye çalıştığımız hukuki düzenlemeler veya regülasyon otoritesinin düzenlemeleri ile birlikte ele alınarak yeniden yorumlanmasının gerekeceği kanaatindeyim. Bunu yapmak için de multidisipliner bir yaklaşım sergilenmesi ve bu tür insan kaynağının yetiştirilmesi gerekmektedir.

Kaynaklar:

Sedat Erdem AYDIN, AİHM İçtihatları Bağlamında Kişisel Verilerin Kaydedilmesi Suçu, XII Levha Yayınları, İstanbul 2015

Nilgün BAŞALP, Kişisel Verilerin Korunması ve Saklanması, Yetkin Yayınevi, Ankara 2004

İbrahim KORKMAZ, Kişisel Verilerin Ceza Hukuku Kapsamında Korunması, Seçkin Yayınevi, Ankara 2017

Elif KÜZECİ, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2010

Sevil YILDIZ, Suçta Araç Olarak İnternetin Teknik ve Hukuki Yönden İncelenmesi, Nobel Yayınevi, 2007