VERİ GÜVENLİĞİ ÇERÇEVESİNDE KİŞİSEL VERİLERİN KORUNMASI

VERİ GÜVENLİĞİ ÇERÇEVESİNDE KİŞİSEL VERİLERİN KORUNMASI

ÖZET: 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi söz konusu kanun kapsamında koruma altına alınmıştır. İşbu makalede veri güvenliğinin temel ilkelerinden ve ISO/IEC 27001 standartları uyarınca bilgi güvenliğinin temel şartlarından bahsedilerek kişisel verilerin veri güvenliği kapsamında korunabilmesi için Kişisel Verileri Koruma Kurumu tarafından belirlenen tedbirler ve kişisel veri güvenliğinin sağlanmasının önemi incelenecektir.

ABSTRACT

All kinds of data which belong to a real person whose identity is specified or identifiable are under the protection of Code of Personal Data Protection Numbered 6698. In this article, the basic principles of data security and basic conditions of information security in accordance with standards by ISO/IEC 27001 will be mentioned. Also, the protection methods stated by the Institution of Personal Data Protection and the importance of data protection will be examined.

 GİRİŞ

Teknolojinin gelişmesi ile birlikte bilgi/veri saklamanın ve işlemenin yöntemlerine ilişkin hususların önemi artar hale gelmiştir. Özellikle bilişim sistemlerinin, ağ teknolojilerinin kullanım alanlarının hızla artması ve bulut bilişimin birçok işletmede, kamu kurum ve kuruluşunda kullanılıyor olması üretilen ve işletilen verinin güvenliğinin sağlanmasını da zorunlu hale getirmiştir.

Kişisel veri ise, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”, “KVKK”) uyarınca, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Her veri türünün yanı sıra kişisel verilere ilişkin güvenliğin de kurum ve kuruluşlarda sağlanıyor olması önem arz etmektedir. Bu kapsamda işbu çalışmada veri güvenliği çerçevesinde kişisel verilerin korunması hususunun yasal mevzuat uyarınca incelenmesi amaçlanmaktadır. Bunun için veri güvenliği tanımı yapılarak hukukî standartlar üzerinde durulacak ve kişisel verinin güvenliğinin sağlanmasının önemine ve yöntemlerine ayrıca değinilecektir.

GENEL KAPSAMDA VERİ GÜVENLİĞİ

Veri, bir sonuca varabilmek için gerekli olan ilk bilgi ya da anlam çıkartmada veya sonuca varmakta kullanılan nicelikler, olaylar, kayıtlar veya sayı kümeleri olarak tanımlanabilmektedir. Başka bir deyişle veri, henüz işlenmemiş kayıtlar anlamına gelmektedir. Veri güvenliği ise, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bu bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür.[1] Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci ise bilgi güvenliği olarak tanımlanabilir.[2]

Veri güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için verinin geniş çaplı tehditlerden korunmasını sağlar. Veri birçok biçimde bulunabilir. Kâğıt üzerinde yazılı olabileceği gibi elektronik olarak saklanıyor olabilir veya posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir. Veri aynı zamanda kişiler arasında sözlü olarak da ifade edilebilir. Veri hangi formda olursa olsun, mutlaka uygun bir şekilde verinin korunması sağlanmalıdır. Veri güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.[3]

 

  1. ISO/IEC 27001 STANDARTLARI UYARINCA VERİ GÜVENLİĞİ

 Kurumsal bilgi güvenliği, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak tanımlanabilir. ISO/IEC 27001:2005 – Bilişim Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler Standardı, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (ISMS – Information Security Management System) kurmak, geliştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak
amacıyla hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır. Dolayısıyla veri işleyen, bilgi barındıran kurum ve kuruluşların ISO/IEC 27001 standardına uyum sağlaması tavsiye edilmektedir.

Bilgi Güvenliği Yönetim Sistemi Standartları’nın uygulanmasının avantajları aşağıdaki gibi sıralanabilecektir;[4]

  • Bilgi unsurları konusunda farkındalık: Firma bilgi varlıklarının ve değer sırasının farkına varmaktadır.
  • Firmanın sahip olduğu varlıkları koruyabilmesi: Firma, edineceği kontrol mekanizmaları ile koruma yöntemlerini belirlemektedir ve iyileştirerek korumaktadır.
  • İş sürekliliği: Bir felaket senaryosu sırasında alınacak önemler ile firmanın devamlılığını sağlanmaktadır.
  • Tarafların barış durumunda olması: Firma; tedarikçi, müşteri ve çalışanlara güven vermektedir.
  • Belirli bir sistem sayesinde firma bünyesindeki veriler korunarak, kötü sürprizlere yer bırakılmayacaktır.
  • Bilgi varlıklarını hedef alan risklere karşı önlemler alınmaktadır.
  • Yasal alanda yükümlülüklere uyum kolaylaşarak yasal takip ihtimali engellenecektir.
  • Saygınlık artacaktır.
  • Firma genelinde bilgi güvenliği bilinci oluşmaktadır.
  • Veri güvenliği konusundaki açıklar tespit edilerek söz konusu açıklar kapatılmaktadır.

Veri güvenliği temelde aşağıdaki üç unsuru hedefler:

  • Gizlilik (Confidentiality)
  • Bütünlük (Integrity)
  • Kullanılabilirlik (Availability)

Bu kavramların anlamları biraz daha açılacak olursa; gizlilik; bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük; bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük; bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kullanılabilirlik; bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması anlamına gelmektedir. Herhangi bir sorunun meydana gelmesi durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.[5]

Bunun dışında sorumluluk, erişim denetimi, güvenilirlik ve emniyet etkenleri de bilgi güvenliğini destekleyen unsurlar olarak sayılabilmektedir. Sorumluluk; belirli bir eylemin yapılmasından, kimin veya neyin sorumlu olduğunu belirleme yeteneğidir. Erişim denetimi; bir kaynağa erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir. Güvenilirlik; bir bilgisayarın, bir bilginin veya iletişim sisteminin şartnamesine, tasarım gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğidir. Emniyet; bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya bilfiil tehlike oluşturacak etkinlik veya olayları önleme tedbirleridir. [6]

Bilgi güvenliğinin sağlanması için bilgi varlıklarının korunması gerekmektedir. Bir kurum veya kuruluşun kâr etmek, katma değer sağlamak, rekabet oluşturmak ve kurumsal sürdürülebilirliğini sağlamak amacıyla sahip olduğu veya sahip olması gereken ürün, pazar, teknoloji ve organizasyona ait bilgilerin tümü bilgi varlıkları olarak tanımlanabilir. Bu bilgi varlıklarının fiziksel olarak korunması için, fiziksel güvenliğin, transfer edilmesi gereken bilgilerin sağlanması için iletişim güvenliğinin, bilgisayar sistemlerine erişimlerin kontrol edilmesi için bilgisayar ve ağ güvenliğinin sağlanması gerekmektedir.[7]

Dolayısıyla ISO/IEC 27001’in öngördüğü bir BGYS kurmak kurumlara birçok yarar sağlayacaktır. BGYS kurma adımlarının izlenmesi sonucunda kurum her şeyden önce bilgi varlıklarının farkına varacaktır. Hangi varlıkları olduğunun ve bu varlıkların önemini anlayacaktır. Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir.

Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.[8]

  1. KİŞİSEL VERİLERİN KORUNMASI VE VERİ GÜVENLİĞİ

 Kişisel verilerin korunması konusunda Türk hukukunda 7 Nisan 2016 tarihine kadar kapsamlı bir yasal düzenleme bulunmamaktaydı. Bu tarihe kadar kişisel veriler, T.C. Anayasası’nın 20. maddesi uyarınca ve 5237 Sayılı Türk Ceza Kanunu’nun (“TCK”) 135 vd. hükümleri uyarınca korunma altında olsa dahi bu konuda ciddi bir yasal düzenlemeye büyük ölçüde ihtiyaç duyulmaktaydı. Nitekim söz konusu tarihten itibaren Kanun’un yürürlüğe girmesi ve ilerleyen tarihlerde konu ile ilgili bazı yönetmeliklerin de yayınlanması ile birlikte Türk hukukundaki büyük bir açık kapatılmış sayılmaktadır. Bu konudaki yasal düzenlemeler henüz tamamlanmamış olmakla birlikte Kişisel Verileri Koruma Kurumu (“Kurum”) çalışmalarına devam etmektedir.

Ancak kişisel verilerin güvenliğinin sağlanması konusunda Kurum, http://kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf URL adresinde bir rehber yayınlayarak kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlusunun alması gereken teknik ve idari tedbirlere ilişkin başlıca yöntemleri kamuya açıklamıştır.

Zira, Kanun’un 12/1 maddesi hükmü uyarınca veri sorumlusu[9];

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Söz konusu rehber, uygulamada bu tür tedbirlerin nasıl alınacağı konusunda açıklık yaratmak için yayınlanmıştır.

Bu kapsamda, kişisel veri güvenliğine ilişkin alınması gereken tedbirler idari ve teknik olmak üzere iki ayrı başlık altında açıklanmıştır.

          3.1. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Buna kısaca “mevcut risk ve tehditlerin belirlenmesi” demek mümkündür.

Bunu sağlayabilmek için söz konusu riskler belirlenirken;

  1. Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
  2. Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
  3. Güvenlik ihlali halinde ilgili kişi[10] bakımından ortaya çıkabilecek     zararın niteliği ve niceliği

dikkate alınmalıdır.

Söz konusu rehber uyarınca, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; bahsi geçen risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.

Kişisel veri güvenliğinin sağlanması hususunda alınabilecek ikinci idari önlem, “çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması”dır. Zira çalışanların sınırlı bilgileri olsa dahi kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

Bu tip saldırıların yanı sıra kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca ve önemli kişisel veri güvenliği ihlallerindendir. Söz konusu ihlaller, kullanıcıların dikkatsizlik, tecrübesizlik veya dalgınlık gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya e-postanın yanlış alıcıya gönderilerek kişisel verinin üçüncü kişilerin erişimine açılması şeklinde de meydana gelebilmektedir. Dolayısıyla çalışanların bu tür konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması kişisel veri güvenliğinin sağlanması açısından oldukça önemlidir.

Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rolleri ve sorumlulukları görev tanımlarında belirlenmelidir. Ayrıca çalışanların bu konudaki rollerinin ve sorumluluklarının farkında olması sağlanmalıdır.

İnternet ortamında kişisel veri güvenliğinin sağlanması hususunda yapılacak basit bir araştırma ile karşımıza çıkabilecek olduğu şekilde, kurum veya kuruluş içerisinde veri güvenliği kültürü oluşturulurken “yasaklanmadıkça her şey serbesttir” ilkesi yerine “izin verilmedikçe her şey yasaktır” ilkesi benimsenmelidir. Örneğin çalışanların işe alım süreçlerinde birtakım gizlilik anlaşmalarının imzalanması, çalışma süreci boyunca ise veri güvenliğine ilişkin yapılan güncellemelerden çalışanların haberdar olması sağlanabilir.

Kişisel veri güvenliğinin sağlanması hususunda alınabilecek üçüncü idari önlem; “kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi”dir. Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, rehber uyarınca çalışanlar üzerindeki baskıyı azaltacaktır. Dolayısıyla veri sorumluları, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan, mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklere uygun hareket edildiğinden emin olmalı ve politika ve prosedürler kapsamında düzenli kontroller yapılarak bu kontrollerin belgelenmesini sağlamalıdır. Ayrıca sürekli olarak geliştirilmesi gereken hususların belirlenmesi, güncellemelerin yapılması ve güncellemelerin ardından da yine kontrollere devam edilmesi gerekmektedir.

Dördüncü ve bir diğer alınabilecek idari önlem, kişisel veriler hususunda veri minimizasyonuna gidilmesidir. Veri sorumlusu, veri minimizasyonu politikası kapsamında işlediği verileri en az indirgemeli, ihtiyaç duymadığı verileri mutlaka yok etmelidir. Veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin daha güvenli ortamlarda muhafaza edilmesi ve ihtiyaç duyulmayan kişisel verilerin 28.10.2017 Tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’ne uygun olarak imha edilmesi gerekmektedir.

Kişisel verilerin korunması kapsamında alınması tavsiye edilen beşinci idari önlem, veri sorumlularının, destek aldıkları veri işleyenlerin yeterli güvenliği sağladığından emin olmalarıdır. Veri işleyen ile veri sorumlusunun yapacağı sözleşmenin mutlak surette yazılı olması tavsiye edilmektedir. Söz konusu sözleşmede, herhangi bir veri ihlali olması durumunda veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi de, veri sorumlusunun bu ihlali derhal Kurul’a ve ilgili kişiye bildirme yükümlülüğünü yerine getirmesi açısından faydalı olacaktır.

3.1. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

Sistemlere yönelik tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını geliştirdiğinden, kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürününün kullanılması yeterli gelmeyebilir. Bu kapsamda, birçok prensip dâhilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanması tavsiye edilmektedir. İyi yapılandırılmış bir güvenlik duvarı ve internet ağ geçidi mutlaka kullanılmalıdır. Kullanılan yazılım ve donanımların güncelliğinin takip edilmesi gerekmektedir.

Ayrıca kişisel veri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ile şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Bahsi geçen şifreler ve parolalar oluşturulurken tahmin edilebilmesi zor şekilde, büyük ve küçük harf, rakam ve sembollerden oluşacak şekilde kombinasyon yapılmalıdır. Ayrıca antivirüs, antispam ürünlerinin kullanılması gerekmektedir.

Gelen saldırılara ve tehditlere karşı geç kalınmaması için;

  1. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
  2. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
  3. Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması,
  4. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
  5. Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması

gerekmektedir. Ayrıca alınan tüm tedbirlere rağmen, bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller ve bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylar meydana geldiği takdirde tüm deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.

işisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ya da kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Kişisel veriler elektronik ortamda ise ihlalleri önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Bu tür önlemlerin veri sorumlusunun yerleşkesi dışında veri işleme faaliyetinin sağlandığı ortamlar ve cihazlar için de alınması gerekmektedir.

Kişisel verilerin bulutta depolanıyor olması halinde, depolanan kişisel verilerin ne olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir. Ayrıca daha önce de bahsi geçtiği şekilde verilerin şifrelenerek depolanması tavsiye edilmektedir. Nitekim bulut bilişim ile aradaki hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmeye yarayacak şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.

Ayrıca kişisel verilerin herhangi bir sebeple zarar görmesi, çalınması, yok olması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Öte yandan tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunmalıdır.

SONUÇ

 Yakın zamana kadar Avrupa’da güvenlik birimleri arasında operasyonel işbirliğini tanzim eden EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşmasının yapılamaması ve elektronik veri değişiminin gerçekleştirilememesindeki temel neden, kişisel veri güvenliğinin sağlanmasına ilişkin bir düzenlemenin henüz ülkemizde yürürlükte olmamasıdır. Benzer şekilde sınır aşan suçlara ilişkin farklı ülkelerin yargı mercilerinin ortak hareket edebilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun güzergâhında bulunan ülkemiz ve diğer ülkeler arasında bu suçlarla mücadeleye yönelik işbirliği yapılamaması ilgili düzenlemenin yürürlükte olmamasından kaynaklanıyordu. Bir diğer deyişle ülkemizde kişisel veri güvenliğinin yasal çerçeve ile belirlenmemiş olması, Türkiye’nin uluslar arası ilişkilerini de önemli ölçüde zedelemekteydi.

Nitekim kişisel veri güvenliğinin sağlanmasının ekonomi ile olan ciddi ilişkisi de ülkemiz için önem arz etmektedir. Zira Türkiye’de yatırım yapması beklenen yabancı sermayenin başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde idare edebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde gerekli yasal düzenleme olmaması sebebi ile gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması açısından caydırıcı bir etken olarak değerlendirilirken, aynı nedenlere dayalı olarak iş adamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarına ilişkin veri aktarımında sorunlar yaşanması gündeme gelebilmekteydi.

Dolayısıyla Kanun’un yürürlüğe girmesiyle birlikte ülkemizin küresel ölçekte diğer ülkelerle yürüttüğü bilgi ve istihbarat paylaşımının sosyal, ekonomik, güvenlik ve adalet gibi çeşitli alanlara ilişkin ciddi anlamda katkısı olması beklenmektedir. Bu kapsamda söz konusu katkının sağlanabilmesi için de Kanun’un ve Kanun uyarınca Kurul’un öngördüğü yöntemler ile birlikte uluslararası bir standart olan ISO/IEC 27001’in getirdiği usuller uygulanarak kişisel veri güvenliğinin maksimum düzeyde sağlanması tavsiye edilmektedir.

Av. Zülal ARSLAN

 

Alanında Uzman Avukatmı arıyorsunuz?