Bilişim Uygulamalarında Kişisel Verilerin Korunması Burak MEMİŞ İbrahim YAKUT Dumlupınar Üniversitesi Bilgisayar Mühendisliği Bölümü Kütahya, Türkiye [email protected] Anadolu Üniversitesi Bilgisayar Mühendisliği Bölümü Eskişehir, Türkiye [email protected] Özet — Bilgi teknolojilerinin yaygınlaşması ile kişisel verilerin korunması ciddi bir problem teşkil etmektedir. Her geçen gün hayatımızda biraz daha fazla yer teşkil eden bilişim uygulamalarıyla birlikte kişisel verilerin korunmasına yönelik gereksinimler ortaya çıkmış ve bu bağlamdaki ihtiyaçlar beraberinde çözüm yaklaşımlarını da getirmiştir. Bu çalışmada kişisel verilerin korunması ile ilgili tanım ve tarihsel gelişimi verdikten sonra uluslararası alanda ve ülkemizdeki hukuki düzenlemeleri inceleyeceğiz. İlgili düzenlemeler ışığında mevcut bilişim uygulamalarında kişisel veri paylaşımının nasıl gerçekleştiğini ele alıp çeşitli yaklaşımlar ile kişisel verilerin korunmasına yönelik çözümler ifade edilecektir. Anahtar Kelimeler— kişisel veriler; uygulamaları; uluslararası düzenlemeler; gizlilik; bilişim Abstract — Along with the proliferation of the information technologies, the preservation of personal data becomes a severe problem. As information systems take much more place in our life day by day, the requirements to protect the personal data becomes crucial issue and requirements in this context come up with the solution approaches for them. In this study, after giving the definition and the historical development about the preservation of the personal data, we will examine the legal regulations in the international scope and in our country. In the light of the concerning regulations, the subject of how the personal data distribution occurs in information systems will be handled and personal data preserving solutions will be elucidated. Keywords— personal data; privacy; information systems; international regulations; I. GİRİŞ Teknolojinin gelişmesi ile birlikte iletişim ve haberleşme araçları ve özellikle bilgisayarlar yaşamamızın her alanında yer almaya başlamıştır. Bu teknolojiler, hayatımızı kolaylaştırmanın yanı sıra pek çok sorunu da beraberinde getirmiştir. Kullanıcıların bu teknolojiler aracılığıyla kolay bir şekilde verilerini paylaşabilmeleri ve veri gizliliği konusunda bilinç eksiklikleri onları bu ortamlarda savunmasız bırakmıştır. 20. Yüzyılla birlikte temel hak ve özgürlükler alanında dünya genelinde ciddi anlamda hukuki düzenlemeler yapılmıştır[1, 2]. Buna paralel olarak iletişim teknolojileri konusunda özellikle bilgisayar kullanımında bazı düzenlemeler kaçınılmaz hale gelmiştir. Özellikle Avrupa’da 1950’li yıllardan sonra kişisel verilerin korunması ile ilgili önemli düzenlemeler birbiri ardına hayata geçirilmiştir. Ülkemizde bu konu ile ilgili olarak özel bir yasa bulunmamakla birlikte, çeşitli hukuki düzenlemelerde kişisel verilerin korunması güvence altına alınmıştır[3]. Ayrıca, 7/5/2010 tarihli ve 5982 sayılı Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun’un 2’nci maddesiyle, Türkiye Cumhuriyeti Anayasasının 20.maddesine hüküm eklenerek kişisel verilerin korunması güvence altına alınmıştır [3]. Kişisel verilerin korunması hakkı, verilerin kendisi ile beraber bireylerin özgürlüklerini de korumaktadır. Fakat sadece verinin kendisinin korunması, kişisel verilerin korunmasını değil veri güvenliğini ilgilendiren bir husustur. Bu bakımdan kişisel verilerin korunması, temel hak ve özgürlükler kapsamında kişisel verilerin korunmasına yönelik hizmet etmektedir[4]. Gelişen teknolojiler neticesinde, yasal düzenlemeler olmaksızın kamu organlarının veri işlem faaliyetleri karşısında bireylerin özgür biçimde kişiliklerini geliştiremeyecekleri ve demokratik yaşama katılamayacakları düşüncesi ortaya çıkmıştır[4]. Kişisel verilerin korunması hukukunun ortaya çıkışında temelde üç etkenin bulunduğu söylenebilir: Çeşitli örgütlerce kişisel verilere duyulan gereksinim; Teknolojideki gelişmeler; Gözetim teknolojilerindeki gelişmeler nedeniyle duyulan kaygı[5]. Günümüzde yayınlanmakta olan “Person of Interest” dizisi kişisel verilerin korunması hukukunun çıkmasının aslında ne kadar yerinde olduğunu gözler önüne sermektedir. Bu dizide tasarlanmış bir makine ile kişilerin cep telefonu konuşmaları, e-postaları, günlük davranışları kayıt altına alınmaktadır. Bu şekilde kendisi ile ilgili her türlü veri kayıt altına alınan kişinin kendisini güvende hissetmesi gerekmektedir. Bu güveni ise kişisel verilerin korunması hukuku verecektir. Kişisel verilerin korunması hukuku, gerçek kişilere hangi kişisel verilerinin, kim tarafından ve kimin için toplanıldığını ve işlendiğinin öğrenme hakkı vermektedir[6]. II. TANIMLAR VE TARİHSEL GELİŞİM A. Tanımlar Bilişim uygulamalarında, gizlilik olarak Türkçeye aktarılan “confidentiality” kelimesi ile mahremiyet olarak aktarılan “privacy” kelimesi karşımıza sıklıkla çıkmaktadır. Mahremiyet, herkes tarafından bilinmeyen ve bilinmesi o kişinin kişisel haklarına zarar verecek bir kavram olarak tanımlanmaktadır. Warren and Brandeis’e göre mahremiyet ise yaygın sivil ayrıcalıkları güvence altına alan bir hak olarak tanımlanmıştır[7]. Bilgi güvenliğinin en temel amaçlarından biri olan gizlilik ise bilginin içeriğinin yetkili kişiler harici herkesten korunması demektir. Hukuk literatüründe hak ve borçlara ehil olan varlıklara kişi denilmektedir. Medeni hukukumuzda kişiler gerçek ve tüzel olmak üzere 2’ye ayrılmaktadır. Gerçek kişiler insanlardır. Tüzel kişiler belli bir amacı gerçekleştirmek üzere kurulmuş olan mal ve insan toplulukları olup bunlar kişi ve mal topluluklarıdır. Kişisel veri, belirli ya da belirlenebilir nitelikteki kişiye ilişkin her türlü bilgiyi ifade olan bir kavram olarak tanımlanmaktadır[3]. Anayasa mahkemesinin bir kararında ise kişisel verinin “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği” belirtilmiştir[8]. Bu tanımlardan da anlaşıldığı üzere kişisel veri kavramında temel unsur, bu verilerin kimliği belirli olmasa bile en azından kimliği belirlenebilir bir kişiye ait olması gerektiğidir. Tanımlardan ortaya çıkan diğer unsurlar ise veri ve bilgi kavramlarıdır. Veri işlenmemiş bilgi olarak tanımlanabilir. Bilgi ise, araştırılarak ve duyular kullanılarak elde edilen anlamlı veriler olarak tanımlanmaktadır. Bilişim uygulamaları verileri elle veya otomatik yollarla toplayarak bunları faydalı bilgi haline getirmektedir. Artan veri miktarı bunları kullanmada kolaylık sağlayacak bazı teknolojilerin gelişmesine imkan sağlamıştır. Bu sayede veri tabanı sistemleri, veri ambarları ve veri madenciliği gibi unsurlar ortaya çıkmıştır. Veri tabanı bilgisayar terminolojisinde güncellenebilen, silinebilen, taşınabilen düzenli ilişkisel bilgiler olarak tanımlanmaktadır. Veri ambarı ilişkili bilgilerin bir arada bulunduğu, sorgulanabildiği ve üzerinde gerekli işlemlerin yapıldığı bir depodur. Veri madenciliği ise veri tabanlarındaki ve veri ambarlarındaki verilerden faydalı bilgilerin elde edilmesidir. Kişisel verilerin korunması sürecinde gizlilik, bu verilerin ilgili-yetkili kişiler tarafından kullanılmasını veya gerekli işlemlerin yapılması anlamına gelmektedir. Bunun yanı sıra bazı istisnai durumlarda verilerin başka kişiler ya da kurumlarla da paylaşılması mümkündür. Örneğin 11 Eylül olayının sonucu olarak Amerika’ya yolculuk yapan kişilerin bilgileri havayolu şirketleri tarafından ABD ile paylaşılmaktadır[5]. B. Tarihsel Gelişim Teknolojik gelişmeler hayatımızı her ne kadar her alanda kolaylaştırmış olsa da beraberinde bir takım sorunları getirmektedir. Bu sorunlardan biri ise önceki bölümlerde anlatıldığı gibi kişilerin verilerini paylaşması sonucu ortaya çıkan bu verilerin korunmasına dair sorundur. Bu problemin ortaya çıkmasıyla beraber 1900’lü yılların 2. yarısı itibariyle gelişmiş ülkelerde verilerin korunmasına dair hukuksal düzenlemeler ortaya çıkmaya başlamıştır. Verilerin korunması, temelde “veri”lerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef alır[5]. Bu yüzden, kişisel verilerin korunması hukukunun ortaya çıkış noktasının bireyin korunması olduğu anlaşılmaktadır[9]. Kişisel verilerin korunmasına yönelik ilk yasal düzenlemeler özellikle Avrupa ülkelerinde ve ABD’de görülmektedir. Daha sonra ulusal ve uluslararası düzenlemeler ortaya çıkmaya başlamıştır. Kişisel verilerin korunması kavramının ortaya atılmasından günümüze kadar olan hukuki düzenlemeler Şekil 1’de kronolojik olarak gösterilmiştir. Kişisel verilerin korunmasına yönelik günümüzde kullanılan kavramlardan bazıları yaklaşık 100 yıl kadar önce akademik çalışmaların konusu olmaya başlamıştır. Bu konudaki en önemli çalışmalardan biri olarak kabul edilen 1890 yılındaki Gizlilik Hakkı çalışması ile mahremiyet ve gizlilik kavramları gün yüzüne çıkmaya başlamıştır[7]. Kişisel verilerin korunması hızla yayılan bir kavram olduğu için, 1900’lü yıllarda Birleşmiş Milletler İnsan Hakları Evrensel Bildirgesi’nde ve Avrupa İnsan Hakları Sözleşmesinde bu konuda hükümler bulunmaktadır. Bilgisayar kullanımının hayatımıza girdiği 1950’li yıllarla beraber kişisel verilerin korunması hukuksal düzenlemelerde yer almaya başlamıştır. Verilerin korunmasına yönelik olarak ilk yasal düzenleme 1970 yılında Almanya’nın Şekil 1. Kişisel verilerin korunmasının tarihsel gelişimi Hessen eyaletinde görülmektedir. Bu düzenlemeyi 1973 yılında İsviçre’de verilerin korunmasına yönelik olarak yapılan ilk ulusal düzenleme takip etmektedir. Daha sonra 1974 yılında ABD’de, 1976 yılında Portekiz’de, 1977 yılında Almanya’da ve 1978 yılında İspanya’da kişisel verilerin korunmasına yönelik olarak yasal düzenlemeler yapılmıştır. 1980 yılına gelindiğinde ise Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) bu konuda rehber ilkeler yayınlamıştır. 1981 yılında ise Avrupa Konseyi tarafından Avrupa’da kişisel verilerin korunmasına yönelik olarak ilk gelişme yaşanmıştır. 1990 yılına gelindiğinde ise Birleşmiş Milletler Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler’i yayınlamıştır. 1995 yılında Avrupa Birliği tarafından üye devletler nezdinde zorlayıcılığı bulunan 95/46/EC sayılı, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” yayınlanmıştır. Ülkemizde ise ilgili yasal düzenlemeler bulunmakla beraber 2010 yılında yapılan referandumla Türkiye Cumhuriyeti Anayasası’nın 20. maddesine kişisel verilerin korunması ile ilgili hüküm eklenmiştir[15]. III. ULUSLARARASI DÜZENLEMELER VE TÜRKİYE’DEKİ DURUM A. Uluslararası Düzenlemeler 1) Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) Uluslararası alanda kişisel verilerin korunması konusunu gündeme taşıyan ilk örgüt OECD’dir[10]. OECD kişisel verilerin korunmasına yönelik rehber ilkeler yayınlamıştır[11]. Yayınlanan OECD Rehber İlkeleri ile kişisel veriler uluslararası alanda güvence altında alınmıştır. OECD rehber ilkeleri tavsiye niteliğinde olup bu ilkelerin üye ülkeler tarafından bağlayıcılığı bulunmamaktadır. 2) Birleşmiş Milletler Birleşmiş Milletler’in kişisel verilerin korunmasına yönelik en önemli girişimlerinden birisi 1990 yılında kabul ettiği “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler”dir. BM Rehber İlkeleri uyarınca, ulusal hukuk sistemlerinde tanınması gereken güvenceler şu konulara ilişkindir: Yasal ve dürüst yollarla toplama ve işleme ilkesi; Verilerin doğruluğu ilkesi; Amacın belirliliği ilkesi; İlgili kişinin erişimi ilkesi; Ayrımcılık yapmama ilkesi; Veri güvenliği ilkesi; Denetim ve yaptırım; Verilerin sınır ötesi akışı [5]. 3) Avrupa Konseyi 4 Kasım 1950’de Konsey tarafından kabul edilen Avrupa İnsan Hakları Sözleşmesi, kişisel verilerin korunması ile ilgili doğrudan düzenlemeler içermemesine rağmen “Özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinde bu konu ile ilgili olarak hükümler yer almaktadır[3]. Avrupa’da kişisel verilerin korunması ile ilgili olarak karşımıza çıkan ilk gelişme 28 Ocak 1981 tarihli 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında İnsanın Korunmasına İlişkin Sözleşme”dir. Bu sözleşme sadece otomatik olarak işlenen veriler için güvence vermiştir. Sözleşmede öngörülen temek ilkeler şunlardır: Verilerin meşru ve yasal yoldan elde edilmesi, belirli amaçla kullanılması; Uygun ve güncel olması gibi belirli niteliğinin bulunması; Hassas kişisel verilerin daha özel koruma altına alınması; Verilerin güvenliğinin sağlanması; İlgili kişinin verilere ulaşma, verilerin düzeltilmesi veya silinmesini isteme hakkı[12]. 4) Avrupa Birliği Avrupa Birliği veri koruma modelinin en önemli farklılığı “zorlayıcılığı”dır. Birlik üyesi devletlerin hepsinde kişisel verilerin korunmasını teminat altına alan kuralların uygulanmasını gözeten ve sağlayan birimler bulunmaktadır[5]. 24 Ekim 1995 tarih ve 95/46/EC sayılı, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” kişisel verilerin korunması konusunda çıkarılan en etkili düzenlemedir[13]. Bu direktifin en önemli özelliklerinden birisi sadece otomatik olarak işlenen verilerin değil elle işlenen verilerin de güvence altına alınmış olmasıdır. 5) Asya Pasifik Ekonomik İşbirliği Örgütün kabul ettiği “APEC Özel Yaşamın Gizliliği Çerçeve Belgesi” ise, APEC ülkesi ülkelerinin kişisel verilerin korunmasına yönelik kendi yaklaşımlarını göstermektedir[5]. B. Türkiye’deki Durum Bilgi iletişim teknolojilerindeki son gelişmeler, ülkemizde de yakından takip edilmektedir. Türkiye İstatistik Kurumunun araştırmasına göre; nüfusun 16-74 arasındaki kesiminin bilgisayar kullanım oranı 2013 yılında %49,9 iken bu oran 2014 yılında %53,5’ e çıkmıştır[14]. Aynı araştırmaya göre ise internet kullanım oranı 2013 yılında %48,9 ilken 2014 yılında %53,8 seviyesine çıkmıştır. Bu sonuçlara göre ülkemizdeki her iki insandan birisi bilgisayar kullanmakta aynı zamanda internet erişim oranı da bilgisayar kullanım oranı ile doğru orantılı artış göstermektedir. Ama bu teknolojilerin kullanımının artması bunların kullanımı ile ortaya yeni sorunlar çıkartmıştır. Bu sorunların en başında kullanıcıların kendileri ile ilgili bilgileri paylaşması ve bu paylaşım sonucu ortaya çıkan bu verileri koruma ihtiyacıdır. Uluslararası alandaki bu konu ile ilgili düzenlemeler bir önceki bölümde anlatılmıştır. Türkiye, teknolojik gelişmeleri çok yakından takip etmesine rağmen, kişisel veri olarak adlandırılan unsurların korunması alanındaki düzenlemeler konusunda maalesef diğer ülkelerin özellikle Avrupa Birliği ülkelerinin gerisinde kalmıştır. Henüz bu konuyla ilgili herhangi bir özel yasal düzenleme bulunmamaktadır. Kişisel verilerin korunmasına yönelik özel bir yasal düzenleme bulunmadığı için 28 Ocak 1981 tarihinde Türkiye tarafından imzalanan Avrupa Komisyonu Veri Koruma sözleşmesinin onaylama işlemi hala tamamlanamamıştır. Kişisel verilerin korunmasına yönelik özel bir yasal düzenleme olmamasına rağmen Türkiye Cumhuriyeti Anayasanın 20. maddesine 2010 referandumu ile bu konuda bir hüküm eklenmiştir[15]. 26.09.2004 tarihli 5237 sayılı Türk Ceza Kanunu’nda da bununla ilgili düzenlemeler bulunmaktadır. İlgili kanunun 135. maddesinin 1. fıkrası ile kişisel verileri, hukuka aykırı olarak kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilecektir. Yine Türk Ceza Kanunu’nun 136. maddesinin 1. fıkrasında ise “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır” şeklinde hüküm bulunmaktadır. Aynı kanunun 137.maddesi ise tutulan verileri belli süre içerisinde yok etmeyen kişileri cezalandırmaktadır. Maddelerden de anlaşılacağı üzere kişisel verilerin hukuk kuralları çerçevesinde toplanması, kullanılması ve yok edilmesi gerekmektedir. Ayrıca Elektronik Haberleşme Kanunu ile de kişisel veriler güvence altına alınmaya çalışılmıştır. Bunun yanı sıra özel hukuk, idare hukuku gibi alanlarda da bu konuda çeşitli düzenlemeler bulunmaktadır. IV. BİLİŞİM UYGULAMALARINDA VERİ PAYLAŞIMI Günümüzde bilişim uygulamaları hızlı bir gelişme süreci göstererek hayatımızın vazgeçilmez unsurlarından biri haline gelmiştir. Kimi zaman alışveriş sitesi gibi uygulamalar ihtiyaçlarımızı karşılarken kimi zaman da Facebook, Twitter gibi sosyal ağlar eğlenceli zaman geçirmemizi sağlamaktadır. Sundukları bu hizmetlerin yanında, bilişim uygulamaları kişisel verilerin gizliliği ile ilgili sakıncalar oluşturabilmektedirler. Kullanıcılara ait verilerin toplanması, işlenmesi ve iletilmesi Şekil 2’de gösterildiği gibi 2 aşamada ele alınabilir. İlk aşama kullanıcı ile bilişim hizmetlerini sağlayan kurum arasında olup, bu aşamada kullanıcının kendisine ait veriler kurum tarafından toplanmakta, işlenmekte ve iletilmektedir[16]. Bilişim hizmeti sağlayan kurum bir alışveriş sitesi olacağı gibi kullanıcıları film ve kitaplar hakkında yorumlarını paylaştığı sanat ve edebiyat içerikli bir site de olabilir. Arkadaşlar arasında kişisel ve sosyal paylaşımlara ve sosyal ağlar oluşturmaya imkan sağlayan sosyal ağ siteleri de bilişim hizmeti sağlayan kurumlara örnek olarak düşünülebilir. Bunun yanı sıra günümüzde devletler de çeşitli hizmetlerini vatandaşlarına internet üzerinden sunmakta ve bu noktada onları da bilişim hizmeti sunan kurum olarak düşünebiliriz. 2’de kullanıcı-kurum veri paylaşımı dikey oklarla gösterilmektedir ve genelde kullanıcılar kişisel profil bilgilerini, çevrimiçi işlemlerin gerek duyduğu bilgileri girip kurumun veri tabanına gönderirler. Diğer aşamada ise bilişim hizmeti veren kurumlar kendi aralarında kullanıcıların verilerini paylaşma durumunda kalmaktadırlar[17]. Şekil 2’de yatay okla gösterilen bu paylaşım modeline kurumlar veri işleme süreçlerinde ihtiyaç duyabilirler. Bu bölümde bu veri paylaşım aşamaları farklı alt başlıklar altında ele alınacaktır. Şekil 2. Kişisel verilerin paylaşım aşamaları A. Kullanıcı – Kurum Veri Paylaşımı Çoğu bilişim uygulamasının kullanımında karşımıza ilk olarak, üyelik işlemi olarak adlandırılan kullanıcıdan zorunlu olarak demografik bilgiler, adres bilgileri gibi bazı hassas verilerin alındığı adım çıkmaktadır. Bu hassas verilerin en başında ise kimlik numarası olarak adlandırılan ve bu numara kullanılarak kişi ile ilgili olarak her türlü bilginin rahatlıkla elde edilebildiği veri gelmektedir. Bu gibi hassas verilerin alındığı bu adımda, karşımıza bu verileri elde etmeye yönelik saldırılar çıkmaktadır. Bu saldırıların en başında sosyal mühendislik olarak adlandırılan ve insanlardan istediklerini öğrenme sanatı ve bilimi olarak tanımlanan saldırı yöntemi gelmektedir. Burada amaç sisteme izinsiz girerek kullanıcı ile ilgili hassas bilgileri elde etmektir. Kullanıcı üyelik işlemini tamamladıktan sonra uygulamayı kullanmaya başlamaktadır. Bu aşamada kullanıcı; tavsiyede, yorumda, beğenide bulunarak sistem tarafından kendisine ait verilerin toplanmasına isteyerek ya da istemeyerek izin vermektedir. Bunun yanı sıra kullanıcının hangi sayfalarda ne kadar süre harcadığı, hangi zaman dilimlerinde sisteme giriş yaptığı gibi bilgiler de sistem tarafından tutulmakta ve saklanmaktadır. Bu gibi veriler kullanılarak kullanıcının profili rahatlıkla oluşturulmakta ve kullanıcıya yönelik veriler işlenmektedir. Kimi bilişim uygulamalarının üyelik sözleşmelerinde, kullanıcılardan bu gibi verilerin toplanacağına ve kullanılacağına dair bilgiler bulunmasına rağmen, çoğu bilişim uygulamalarının üyelik sözleşmesinde kullanıcılardan bu gibi verilerin toplanacağına ve kullanılacağına dair herhangi bir bilgi bulunmamaktadır. Bu durum da ortaya hukuka aykırı bir şekilde kullanıcılara ait verilerin toplanması ve kullanılması problemine sebep olmaktadır. Bilgisayar bilimleri alanında kullanıcıların veri hassasiyetlerine yönelik olarak kriptografik [18], rassal bozma [16] ve anonimleştirme[19] teknikleri kullanılarak çeşitli çalışmalar yapılmıştır. Yakut ve Polat [16] çalışmalarında rassal bozma tekniğini kullanan sabit zamanlı ortak filtreleme algoritması ile kullanıcı gizliliğini koruyarak tahmin ve tavsiye gibi temel ortak filtreleme servislerini yerine getirecek bir yöntem önermişlerdir. Pinkas [18] veri madenciliğindeki güvenli dağıtık hesaplama ve bunların uygulamalarını kriptografik tekniklere dayalı olarak gerçekleştirmiştir. Sweeney [19] ise çalışmasında k-anonimlik kavramını ortaya atmış ve veride bir etiketin en az k tane varlığa karşılık gelecek şekilde anonimleştirecek şekilde kullanıcı verilerinin gizliliğini sağlayacak yöntemi önermiştir. Akademik çalışmaların yanısıra günlük internet kullanımında kişisel verileri korumaya yönelik ağ teknolojilerinin kullanımı yaygınlaşmıştır. Bu teknolojilere örnek olarak The Onion Router (TOR), Virtual Private Network (VPN), proxy sunucuları verilebilir. Kişisel verilerin korunması TOR teknolojisinde iletişim seri sanal bir çok tünel üzerinden gerçekleştirilerek, VPN’de ise internet üzerinden sanal özel ağ denilen ağlara şifreli bir bağlantı kurularak sağlanmaktadır. Anonimliği sağlama amacıyla kullanılan Proxy sunucular sayesinde ise kullanıcı bir ağa doğrudan bağlanmak yerine ara sunucular üzerinden bağlanarak kimliğini gizleyebilmektedir. İnternet üzerinden yapılan iletişimde kişisel veriye yönelik risklerden biri de sosyal medya aracılığı ile kişiler arasında yapılan haberleşmede ortaya çıkmaktadır. Aslında, teknik olarak kullanıcı-kurum ile veri paylaşmaktadır ancak bu sitelerin yapısı kullanıcı-kullanıcı paylaşımları da beraberinde getirmektedir. Bu şekilde yapılan haberleşmede kullanıcılar kendileri ile ilgili kişisel verileri rahatça paylaşmaktadırlar. Özellikle bu ortamlarda paylaşılan hassas kişisel veriler önemli bir takım sorunların ortaya çıkmasına neden olmaktadırlar. Bu sorunların başında sahtekarlık, dolandırıcılık gibi tehlikelere maruz kalma gelmektedir. Bu gibi sorunların ortaya çıkmasını önleyebilmek ve daha aza indirmek için kullanıcıların verilerini, özellikle hassas kişisel verilerini sosyal medya aracılığı ile paylaşıp paylaşmama ve ne kadarını nasıl paylaşacakları konusunda bilinçlendirilmesi gerekmektedir. Ayrıca, kişi ile kurum arasında haberleşme esnasında üçüncü partilerce kişisel verileri açığa çıkarmaya yönelik saldırılar da olasıdır. Bunların başında sanal alışveriş uygulamalarında kredi kartı bilgisinin paylaşılması sırasındaki olası güvenlik açıklarıdır. Özellikle kullanıcıların çevrimiçi alışveriş yaparken alışveriş sitesinin geçerli SSL sertifikasyonu olmasına dikkat etmeleri gerekmektedir. SSL sertifikasyonu sayesinde kredi kartı bilgileri gibi hassas veriler gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından şifre çözümlenebilir. SSL sertifikasında 40 bit ve 128 bit gibi şifreleme yöntemi bulunmaktadır. Genellikle sanal alışveriş uygulamalarında anahtar uzunluğu 128 bit şifreleme yöntemi kullanılmakta ve kullanılan bu yöntem ile şifrelenen verilerin üçüncü şahıslarca elde edilmesi büyük bir maliyet ve zaman gerektirmektedir. Kredi kartı bilgilerini elde etmeye yönelik diğer bir saldırı çeşidiyse oltalama (phishing) saldırısıdır. Oltalama saldırıları internet üzerinde en çok kullanılan saldırılardan bir tanesi olup bu saldırı yöntemi ile bankalardan gelmiş gibi gösterilen epostalar ile kişilere ait kredi kartı, banka hesap bilgileri elde edilmektedir. Bunun yanı sıra tuş kaydedici (keylogger) yazılımlar kullanılarak da kişilere ait bilgiler elde edilmektedir. Bu yöntemde klavye tuş girdilerini kayıt eden casus yazılımlar kullanılarak kullanıcının klavye ile girmiş olduğu hassas veriler kayıt altına alınmaktadır. Bu gibi saldırılara önlem olarak ise sanal klavye ve 3D güvenlik yöntemleri kullanılmaktadır. B. Kurum – Kurum Veri Paylaşımı Bilişim uygulamalarını geliştiren firmalar, kullanıcılara sunulan hizmet kalitesini ve müşteri memnuniyetini artırabilmek, veriler üzerinden maddi ve manevi kazançlar elde edebilmek için müşteri bilgilerini başka firmalarla paylaşma yoluna gidebilmektedirler. FACEBOOK kullanıcı sözleşmesinde kullanıcılarının verilerinin başka kurumlarla paylaşılabileceği açık bir şekilde görülmektedir[20]. Kimi zaman bu durum üyelik sözleşmelerinde kullanıcılar bilgilendirilmek suretiyle yapılsa da kimi zaman kullanıcıların bilgisi dışında gerçekleştirilmesi olasıdır. Yukarıda da belirtildiği üzere kişisel verilerin diğer kurumlar ile paylaşılması ancak kişinin rızasının olması ile mümkündür. Bunun yanı sıra bu verilerin paylaşılması kimi zaman hukukun zorunlu kıldığı hallerde de mümkün olabilir. Bunun haricindeki kişisel verilerin paylaşılması işlemleri hukuka aykırı bir şekilde gerçekleştirilmiş olacaktır. Kurumlar arası paylaşılmış veri üzerinden veri madenciliği yöntemleri akademik olarak çok sayıda makalede ele alınmış ve çok sayıda teknik önerilmiştir[17, 21]. Örneğin, öneri sistemleri ile ilgili Memiş ve Yakut’un gerçekleştirdiği çalışmada [17], kullanıcıya yapılacak olan önerinin kalitesini arttırabilmek amacıyla kullanıcı verilerinin aynı sektörde faaliyet gösteren iki şirket arasında paylaşılması yoluna gidilmektedir. Bu çalışmanın çıkış noktası ise bilişim hizmeti olarak öneri servisi sağlayan şirketlerin elinde gerçek kullanıcılara ait yeterli verinin bulunmamasıdır. Yazarlar bu çalışmada[17] bu yetersiz veri problemine yönelik olarak gizlilik korumalı öneri üretme yöntemi geliştirmişlerdir. Vaidya ve Clifton ise çalışmalarında [21] k-means kümeleme algoritmasının veri sahibi organizasyonların verilerini paylaşımlı bir şekilde girdi olarak kullanarak ve bu esnada gizlilik koruyarak nasıl gerçekleştirileceğini tartışmışlardır ve bu problemi çözümüne yönelik kriptografik tekniklerin yoğun olarak kullanıldığı organizasyonlar protokol Kurumlar arasında veri paylaşımı konusunda İspanya’da önemli bir olay yaşanmıştır. Bu olayda; İspanya’da bir Peugeot satıcısı firmanın, müşteri bilgilerini yine İspanya’da bulunan başka bir Peugeot satıcısı firmaya aktarması İspanya Veri Koruma Otoritesi tarafından değerlendirilmiştir. Müşterilerinin verilerinin yine aynı gruptaki başka bir satıcı firmaya aktarılabileceğine ilişkin genel ifadelerle bilgilendiren firmanın bu eylemini Veri Koruma Otoritesi yetersiz bulmuştur[5]. Yukarıdaki örnek olay 2 açıdan önemlidir. Birincisi, kişilere verilerin paylaşılacağına dair bilgilendirmenin genel ifadelerle değil açık bir şekilde yapılması istenmektedir. Diğer bir durum ise açık bilgilendirmenin sadece farklı firmalar arasındaki veri paylaşımında değil, aynı grup içerisindeki firmalarda da bu şekilde bir bilgilendirmenin gerekliliğidir. V. SONUÇ VE ÖNERİLER Özellikle, 20.yüzyılda kişisel veri kavramının ve bu verilerin korunması ihtiyacının ortaya çıkması beraberinde birtakım hukuki ve teknik yaklaşımları getirmiştir. Bu yaklaşımların yanı sıra bireylerin de kişisel verilerin korunması konusunda bilinçlendirilmesi de ayrı bir önem taşımaktadır. Tablo I’de bu yaklaşımlar, kullandıkları yöntemler ve getirileri özetlenmiştir. Kişisel verilerin korunmasına yönelik olarak artan ihtiyaçlar uluslararası camiada ve ülkemizde çeşitli hukuki düzenlemelere zemin hazırlamaktadır. Bir taraftan yasal düzenlemeler ile güvence altına alınan veriler, bilgisayar bilimleri alanındaki farklı gizlilik korumalı çözümlemeler ile de koruma altına alınmıştır. Ayrıca, uygulama alanında çok yaygın olmasa da gizlilik korumalı veri toplama, işleme ve paylaşma teknikleri veri korumaya yönelik farklı çözümler sunmaktadır. Artan ve değişen veri koruma ihtiyaçları ile birlikte bu çözümler mühendislik ve bilgi işleme alanındaki yerini alacaktır. olarak kısa mesaj göndererek vatandaşları bilgilendirmektedir. Teknik ve bilinçlendirme yaklaşımları ile güvence altına alınan kişisel verilerin korunmasının bir başka faydası da mahkemelerin iş yükünü azaltacak olmasıdır. Yine kişisel verilerin korunmasına yönelik olan bu yaklaşımlar bireyler nezdinde yaşanan ve yaşanacak olan mağduriyetleri azaltacaktır. KAYNAKLAR [1] [2] [3] [4] [5] [6] TABLO I. KIŞISEL VERILERIN KORUNMASINA YÖNELIK YAKLAŞIMLAR [7] Kapsam Yöntemler Getiriler [8] Hukuki Yaklaşımlar Uluslararası Düzenlemeler Anayasal Düzenlemeler İlgili yasal düzenlemeler Kişisel verilerin korunmasına yönelik uluslararası düzenlemeler, anayasalar ve ilgili yasa, yönetmelik gibi hukuki düzenlemeler ile kişisel veriler yasal yollarla korunma altına alınmaktadır. Teknik Yaklaşımlar Bilinçlendirme Yaklaşımları Şifreleme algoritmaları Rassal Bozma Teknikleri Anonimleştirme Teknikleri Ağ Teknolojileri Eğitim ve Seminerler Kitle İletişim Araçları Sosyal Medya Gelişen bilgisayar bilimleri yaklaşımları kişisel veriyi koruyarak veri toplama, işleme ve iletim imkanı sağlamaktadır. [9] [10] [11] [12] [13] Kişisel verilerin korunmasına yönelik hukuki ve teknik yaklaşımlar konularında bireyleri bilinçlendirme gereklidir. Bu sayede verilerin paylaşılmadan önce ve sonra; ve herhangi bir hukuk dışı durum halinde hangi hukuki yöntemler ve tekniklerin kullanılacağı konusunda farkındalık oluşturulabilir. Bilişim uygulamalarında kişisel verilerin korunmasına yönelik olarak bir diğer yaklaşım ise bireylerin bu konuda bilinçlendirilmesidir. Gerek resmi makamlar, gerekse de bilişim hizmeti sunan kuruluşlar bu konuda yapmış oldukları yüz yüze eğitim ve seminer çalışmaları, kitle iletişim araçları üzerinden yayınladıkları tanıtım videoları, kamu spotları ve aynı zamanda dağıttıkları afiş, broşür gibi araçlar ile toplumsal bilinci arttırmaya yönelik çalışmalar yapmaktadırlar. Ayrıca bu kuruluşlar sosyal medyayı da etkin bir şekilde kullanarak kullanıcıları sosyal medya üzerinden de bilinçlendirme çalışmaları yürütmektedirler. Örneğin, ülkemiz Emniyet Genel Müdürlüğü sosyal mühendislik ve oltalama tehditlerine önlem [14] [15] [16] [17] [18] [19] [20] [21] Birleşmiş Milletler, “İnsan Hakları Evrensel Bildirisi”, 10 Aralık 1948. Avrupa Konseyi, “Avrupa İnsan Hakları Sözleşmesi”, 4 Kasım 1950. A. Akgül, “Kişisel Verilerin Korunması”, Beta Yayınevi., İstanbul 2014. O. Şimşek, “Anayasa Hukukunda Kişisel Verilerin Korunması”, Beta Yayınevi, Ankara 2008. E. Küzeci, “Kişisel Verilerin Korunması”, Turhan Kitabevi, Ankara 2010. N. Başalp, “Kişisel Verilerin Korunması ve Saklanması”, İstanbul Bilgi Üniversitesi Yayınları, İstanbul 2004. S. D. Warren, L. D. Brandeis, “The Right to Privacy”, Harvard Law Review, 4(5), pp. 193, 1890. Anayasa Mahkemesi 19.01.2012, E:2010/40, K:2012/8, 6.3.2013 T. ve 28579 sayılı R.G. E. Claes, A. Duff, S. Gutwirth, “Privacy and Criminal Law”, Intersentia, Antwerpen-Oxford 2006. S. Room, “Data Protection and Compliance in Context”, The British Computer Society Publishing and Information Product, Swimdon, United Kingdom 2007. OECD, “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”, http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofpriva cyandtransborderflowsofpersonaldata.htm#part2, 23 Eylül 1980. Avrupa Konseyi, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında İnsanın Korunmasına İlişkin Sözleşme”, http://dispolitika.org.tr/akk/antlasma/aas_108.htm, 28 Ocak 1981. Avrupa Birliği, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi”,http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en: HTML, 24 Ekim 1995. TÜİK, En Son Kullanım Zamanına Göre Bireylerin Bilgisayar ve İnternet Kullanım Oranları, http://www.tuik.gov.tr/PreTablo.do?alt_id=1028. Türkiye Cumhuriyet Anayasası, http://www.tbmm.gov.tr/anayasa/anayasa_2011.pdf. İ. Yakut, H. Polat, “Privacy-preserving Eigentaste-based collaborative filtering,” International Workshop on Security (IWSEC 2007), LNCS Vol. 4572, Nara, Japan, pp. 169-184, 2007. B.Memiş, İ.Yakut, "Privacy-Preserving Two-Party Collaborative Filtering on Overlapped Ratings", KSII Transactions on Internet and Information Systems, 8(8), pp. 2948-2966, 2014. B. Pinkas, “Cryptographic techniques for privacy-preserving data mining”, ACM SIGKDD Explorations Newsletter, 4(2), pp. 12-19, 2002. L. Sweeney, “k-anonymity: a model for protecting privacy”, International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), pp. 557-570, 2002. https://www.facebook.com/legal/terms, (Erişim tarihi: 24.02.2015) J. Vaidya, C. Clifton, “Privacy-Preserving k-means clustering over vertically partitioned data”, Proceedings of the ninth ACM SIGKDD international conference on Knowledge discovery and data mining, Ağustos 2003.