İle Av. Alper Atmaca Mayıs 23, 2019
Kişisel veri koruması, bir koruma hukuku olarak Avrupa Birliği’nın öncülüğünü sürdürdüğü ve günümüzde dünyada yaygın olarak kullanılan mahremiyet kavramlarının kaynağı olmakla yeni dijital sanayinin en temel düzenleyici kaynağıdır. Sanayi devriminin insanlığa getirdiği yeni sorunlarla girişilen mücadelenin sonucunda ortaya çıkan iş hukukunun geçmiş dönemlerinde olduğu gibi kuralların uygulamaya yansımasına ve uygulamanın amaca uygun doğru kuralları ortaya çıkarmasına kadar kuralların etrafından dolaşılması insan yaratıcılığının üzücü ama doğal sonucudur.
Yeni sanayi devrimimizin düzenleyici hukuku olan kişisel veri korumasının temel metni General Data Protection Regulation (“GDPR”) ve Türkiye’de yaşayanlar için 6698 Kişisel Verilerin Korunması Kanunu (“KVKK”) da tüm düzenleyici hukuk denemeleri gibi kötüye kullanılmaya bağışık değildir.
Kişisel Veri Taleplerinin Kötüye Kullanılma İmkanı
Tüm veri koruma hukukunun temel kurallarından biri olarak kişilerin kendileri hakkında işlenen kişisel verileri talep etme hakkı bulunmaktadır. Bu hak, bilgi almak imkanının ve aynı zamanda görece daha yeni bir kavram olarak veri taşınabilirliğinin de temelini oluşturmaktadır. Hem GDPR hem de KVKK kişisel veri talebini şu şekilde tanımlamıştır;
| KVKK | GDPR | |
|---|---|---|
| Madde 11 - İlgili kişinin hakları b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, | Article 15/3 - Right of access by the data subject The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. | |
| – | Article 20/1 – Right to data portability The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided… |
Bu kapsamda her ilgili kişi iki kanun kapsamında da kendisine ait verileri ücretsiz olarak talep etme hakkına sahiptir. Bir talep hakkı söz konusu ise bu talebin iletilmesinin de bir usule bağlanması olağan bir durumdur. Söz konusu kanunların tanımladığı haklar, talep içermesi dolayısı ile sadece ilgili kişinin veya vekilinin kullanabileceği kesindir. Bu noktada kişinin anayasal haklarından mahremiyet ve özel yaşamının korunmasının uzantısı olan kişisel verilerinin, veri sorumlusundan ilgisiz üçüncü bir başka kişiye aktarımının hem ilgili kanunlar çerçevesinde hem de anayasal hak düzleminde aykırılık ortaya çıkaracağı kesindir. Bu neden ile veri sorumlusunun, kanunlar gereği veri ve bilgi talebinde bulunan kişice talep edilen verinin “ilgili kişisi” olduğunu makul çaba dahilinde hukuka uygun olarak doğrulaması gereklidir.
Bu doğrulama gerekliliğinin kaynağı hukukun temel ilkeleri olmasına rağmen, bu doğrulamanın nasıl yapılacağı veya katlanılması gereken sorumluluğun miktarının tanımlanması gereği doğmaktadır. Bu tartışma kapsamında yapılmış ilgili iki düzenleme şu şekildedir;
| KVKK | GDPR | |
|---|---|---|
| MADDE 13- Veri sorumlusuna başvuru (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. | Recital 57…Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller. | |
| – | Article 11 - Processing which does not require identification Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification. |
KVKK, başvuru hakkının usulü hakkında ikincil idari düzenlemelere atıfta bulunmakla, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”, başvuru usulü başlıklı 6. maddesinde usulü şu şekilde tanımlamıştır;
(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.
(2) Başvuruda;
a) Ad, soyad ve başvuru yazılı ise imza,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
c) Tebligata esas yerleşim yeri veya iş yeri adresi,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
d) Talep konusu,
bulunması zorunludur.
Bu bakımdan GDPR’dan farklı olarak KVKK mevzuatı kişilerin; veri sorumlusuna kayıtlı oldukları sistem veya e-posta haricinde, KEP ve elektronik imza gibi kriptografik araçları kullanmasına da imkan vermektedir. Aynı zamanda ilgili kişi, kanundan doğan haklarını kullanmak için ilgili maddenin ikinci fıkrasında listelenen kişisel verilerini de veri sorumlusu ile paylaşmak zorundadır.
Kanunu Hacklemek
Bu makale ile ulaşılmak istenen amacı açıklamadan önce “hack” kelimesinin Anglosakson kültüründe asıl çıkış noktasındaki anlamını, bir altkültür olarak bilişim dünyasındaki önemine ve yerine kısaca değinmek anlamlı olacaktır.
Bugün bilişim dünyasının, İnternet ve bilgisayarlara dair pek çok temelinin atıldığı Amerika Birleşik Devletler’de bulunan Massachusetts Institute of Technology, yani yaygın bilinen adı ile MIT’de bilgisayar bilimleri alanında çalışanlarca ortak kültüre dahil edilen “hacking” insan yaratıcılığının analog dünyadan sayısal dünyaya geçişinin temsilidir. Bir ağacı iterek devirmek yerine kırılan bir taşın keskin tarafını kullanmak ne kadar yaratıcı ve beklenenin dışında bir hareket ise bir “sistem’i” veya aracı beklenilenin dışında bir amaçla kullanmak da o kadar yaratıcı ve insan doğasına içkin bir özelliktir. Bu bakımdan Hacker’lar bilinen sistemlerin özelliklerini keşfederek, bunların istekleri doğrultusunda kullanarak oyuncu bir zeka ile düzeni değiştiren kişilerdir. Hacker kelimesine olumsuz bir anlam yüklenmesi, devlet kurumlarının yeni gelişen bilişim suçlarına bu lakabı yakıştırması ile ortaya çıkmıştır.
BBC’nin yayınladığı habere göre dünyanın önde gelen bilişim ve güvenlik konferanslarından olan Blackhat USA’nın 2019 yılındaki etkinliğinde Oxford Üniversitesi araştırmacısı James Pavur ve güvenlik danışmanı Casey Knerr’in yaptığı “GDPArrrrr: Using Privacy Laws to Steal Identities” (“Mahremiyet Hukukunu Kimlik Çalmak İçin Kullanmak”) başlıklı araştırmada kişisel veri koruma hukukunu koruma tedbirlerinin etrafından dolaşarak bir saldırı yöntemi haline getirmenin pratik yöntemlere yer verildi.
Araştırmanın can alıcı noktası ilgili kişilerin kendilerine ait olan kişisel verileri veri sorumlusundan talep hakkını kullanırken, kimliğini kanıtlama yönünden sadece alenileştirilmiş bilgilerin kullanılmasından gelmektedir. Bu bakımdan yapılan çalışmanın örnek saldırganı basit ve özel yetenek sahibi değildir. Bu tehdit modeli saldırganın imkanlarını kısıtlıyor olsa da neredeyse herkesin saldırgan olabilme ihtimalini ortaya çıkardığından tehlikenin gerçekleşme riskini arttırmaktadır. Yapılan araştırma kapsamında 150 farklı kuruma yapılan veri taleplerine %72 oranında olumlu cevap verilmiş olduğu tespit edilmiştir. Kimlik doğrulaması için az sayıdaki kimi kurumların; hesap girişi, e-posta erişimi, çerez, resmi kimlik, imzalı beyan, kişisel bilgi sorusu, fatura, telefonla görüşme ve kredi kartı numarası gibi yöntemlere başvurduğu görülmüş.
Hem GDPR hem de KVKK, düzenlemeleri gereği veri sorumlularına ilgili kişilerin kişisel verilerini sadece hukuka uygun olarak işleme değil aynı zamanda idari ve teknik tedbirler aracılığı ile koruma yükümlülüğü vermiştir. Bu bakımdan veri sızıntıları konu olduğunda en çok karşılaşılan ve gündem olan husus teknik tedbirler kapsamında değerlendirilecek bilişim sistemleri ihlalleri olsa da veri sorumlularının kurumsal örgütlenmelerindeki açıklarda bir hayli etkili olmuştur. Bu bakımdan James Pavur ve Casey Knerr’in araştırmasının kişisel veri korumasının elektronik dünyada uygulanması en zor idari işlemlerden birinin bariz bir açığına yönelmiş olduğunu belirtmek gerekli.
KVKK Bakımından Araştırma Konusu Saldırının Uygulanabilirliği
KVKK kapsamında kalan kurumların kişisel veri taleplerini değerlendirirken ilgili kişinin kimlik tespiti için belirlenmiş, elektronik imza ve kep gibi belirgin şekilde daha etkili araçlara sahip olmasına rağmen; çokça insanın bu sistemleri kullanmıyor oluşu, Kanunun veya Kurumun bu sistemlerle başvuruyu zorunlu kılmayıp yazılı başvurulara imkan vermesi yapılan araştırmanın ortaya koyduğu saldırı imkanlarını Türkiye için de geçerli kılmakta.
Bu durum özellikle yazılı başvuru usulü için geçerli. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in ilgili maddesinin lafzına göre sadece aşağıdaki bilgilerin veri sorumlusuna iletilmesi ile geçerli bir başvuru ortaya çıkarmak mümkün;
- Ad, soyad
- İmza
- Kimlik numarası, yabancılar için uyruğu, pasaport numarası veya kimlik numarası,
- Yerleşim yeri veya iş yeri adresi,
James Pavur ve Casey Knerr’in araştırmasına benzer şekilde bu dört bilginin elde edilebileceği kimi kaynaklar, elde etmenin kolaylığını göstermek amacı ile sıralanır ise şu şekilde olacaktır;
| Ad,soyad | Sosyal medya |
| Çalınan Mernis kayıtları | |
| İmza | Gözlenen veya elde edilen bir belgeden taklit |
| Doğrulama imkanı olmadığı durumlarda sahte imza | |
| Kimlik Numarası___ | Çalınan Mernis kayıtları |
| Fatura gibi kolaylıkla elde edilebilecek belgeler | |
| Doğrudan kişiden | |
| Adres bilgisi | Sosyal medya |
| Kargo ve benzeri gönderiler aracılığı ile | |
| Çalınan Mernis Kayıtları | |
| Kanunen ikamet adresi zorunlu olmamakla, herhangi bir adres |
Bu kapsamda KVKK kapsamında 11. maddeden doğan hakların kullanılması için gerekli olan bilgilerin elde edilmesinin araştırma kapsamındaki kadar kolay olduğu kabul edilebilir. Bu bilgiler ile yapılacak bir başvuru aracılığı ile bir saldırganın herhangi bir kişinin kişisel verilerine erişmesi, bu verileri yok edilmesini talep etmesi ve 12. madde kapsamında veri sorumlularının koruma yükümlülüğüne aykırılık ortaya çıkarması mümkün olduğundan her veri sorumlusunun idari teknik tedbirler kapsamında Kurum veya Kanun bir koruma imkanı getirinceye kadar tedbir alması gereklidir.
Teknik ve İdari Tedbir İmkanlarının Değerlendirilmesi
Kanun veya Kurumun idari teknik tedbirler kapsamında ilgili kişinin tespitinde gerekli olan bilgileri ve yöntemleri saymış olması ile bunun dışında kalan diğer tedbirlerin uygulanması bakımından yasak bulunmamakla veri sorumlularının tedbir olarak uygun imkanları değerlendirmesi mümkündür. Bu bakımdan veri sorumlularının aşağıdaki gibi fazladan yöntemlere başvurması yerinde görülebilir;
- Yapılan başvuruların noter aracılığı ile yapılmasını talep etme,
- Veri sorumlusuna ait sistemlerde kayıt açılmış e-posta ile başvurularda güvenlik soruları gibi ikincil denetleme mekanizmalarına başvurma,
- Kayıtlı e-posta ve elektronik imza ile başvuru kabul etme,
- Çok aşamalı kimlik doğrulama sistemlerini kimlik doğrulama amacı ile kullanma,
- Kullanıcı hesabında yapılan son işlemleri ek bilgi olarak sorma,
Değerlendirilecek imkanların ilgili kişiden daha fazla, hali hazırda veri sorumlusu tarafından işlenmekte olmayan veya farklı bir şart ile işlenen kişisel verileri gerektirmesi durumunda, KVKK’nın ilgili hükümleri uyarınca verinin işlenme şartlarının belirlenmesi ve aydınlatmanın da doğru şekilde yapılması gereklidir.
Kanunun uygulanıyor olması ve veri sorumlusunun sorumluluklarına dayanan bir işlemin yapılması kişisel veri koruması kapsamındaki sorumlulukları ortadan kaldırmadığı gibi koruma hukuku olan uygulamanın ilgili kişiler bakımından erişilebilirliğini de sınırlayıcı olmamalıdır. Bu bakımdan bir hakkın kullanımını orantısız şekilde zorlaştıracak her eylem, Kanunun uygulamasından kaynaklanacak olsa bile ölçüsüz olduğu sürece kötüye kullanım teşkil edecektir. Bu bakımdan bir kişinin kendisini doğrulaması için talep edilecek fazladan kişisel veriler ile taleplerini yöneltecekleri yolların ölçüsüz olarak zor tasarlanması Kanun bakımından aykırılık yaratacaktır.
Sonuç
Sonuç olarak veri koruması hukukunun sabit bir husus olmadığı, verilen hizmet ve koşul bakımından esneklik içerdiği ve her uygulamanın özel olduğu kabul edilmelidir. Bu esneklik altında bir veri sorumlusunun elindeki imkanlar dahilinde kişisel veri koruması için uygulamaya koyabileceği tedbirleri belirlemesi ve uygun şekilde uluslararası standartlarda kurum yaşantısına içkin hale getirmesi gereklidir. KVKK 11. madde kapsamındaki taleplerin uygulamaya konması için gereklilikler de bu kapsamdan ari değildir. Genel gereklilikler ve hukuki dayanaklar çerçevesinde iyi niyete bağlı olarak gerekli tedbirlerin bulunulan koşula göre uygulanması gereklidir. Bu bakımdan uygulama ilerleyinceye ve mevzuatta doğru yollar gösterilinceye kadar her veri sorumlusunun taleplere yönelik azami dikkati göstermesi şarttır.