Bilişim Hukuku

Bilişim Hukuku

İzel EROL / Marmara Üniversitesi Hukuk Fakültesi Öğrencisi

21.04.2011 tarihli ve 27912 sayılı Elektronik Haberleşme Cihazları Güvenlik Sertifikası Yönetmeliğinde 14.12.2018 tarihinde aynı gün yürürlüğe girmek üzere değişikliğe gidilmiştir.

Buna göre değişiklik şu hususları içermektedir;

  • 21/4/2011 tarihli ve 27912 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Cihazları Güvenlik Sertifikası Yönetmeliğinin 4 üncü maddesinin birinci fıkrasının (ö) bendinde yer alan “10 kHz-60 GHz” ibaresi “10 kHz-94 GHz” şeklinde değiştirilmiştir.
  • Aynı Yönetmeliğin 9 uncu maddesinin ikinci fıkrası aşağıdaki şekilde değiştirilmiştir;

“(2) Güvenlik Sertifikasının düzenlenme tarihinden itibaren en geç 120 gün içinde sistem işletmeye alınır ve sistemin faaliyete geçmesini müteakip 7 iş günü içerisinde gerekli ölçümler yapılarak asgari olarak EK-3’te yer alan Ölçüm Değerleri Formundaki bilgiler, Kurumun belirlediği süreç, yöntem ve sistemler üzerinden Kuruma teslim edilir. Sabit elektronik haberleşme cihazlarının işletmeye alınmaması nedeni ile EK-3 Ölçüm Değerleri Formundaki bilgilerin süresi içinde gönderilmemesi halinde Güvenlik Sertifikası iptal edilir. Ancak aynı yer için yeniden Güvenlik Sertifikası müracaatı yapılabilir.”

Aynı Yönetmeliğin 12 nci maddesinin başlığı  “Ölçüm yapacak personel” şeklinde, birinci ve ikinci fıkraları ise aşağıdaki şekilde değiştirilmiştir.

(1) Ölçümler, üniversitelerin mühendislik fakülteleri, meslek yüksekokulu ile liselerinin elektrik, elektronik, bilgisayar (yazılım, donanım), kontrol, enstrümantasyon, bilişim, otomasyon, elektronik haberleşme (telekomünikasyon, haberleşme, haberleşme teknolojisi, elektronik haberleşme) ve ilgili teknik bölümlerinden mezun olanlar esas olmak üzere, ihtiyaç halinde dört yıllık lisans mezunları dâhil edilerek usul ve esasları Tebliğ ile düzenlenen ve Kurum tarafından verilen teknik, teorik, mevzuat ve ölçümlere dair eğitimleri tamamladıktan sonra yazılı ve uygulamalı sınavlardan başarılı olan kişiler tarafından yapılır.

(2) Kurum tarafından verilen eğitimlerin sonunda düzenlenen yazılı ve uygulamalı sınavlarda başarılı olanlara ölçüm işlemlerine esas olan ölçüm sertifikası düzenlenir. Bu kişilerin taşıması gereken nitelikler, sınav şartları, eğitim içerik ve takvimi ve ölçüm sertifikası verilmesine ilişkin usul ve esaslar Tebliğ ile düzenlenir.”

Kişisel Verileri Koruma Kurulu, “Veri İhlali Bildirimi” Adıyla Kamuoyu Duyurusu Yayınladı.

Bildiri metninde şu ifadelere yer verildi: Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

ALD AUTOMOTIVE TURİZM TİCARET A.Ş. (ALD AUTOMOTIVE) unvanlı şirketten alınan 22.01.2019 tarihli yazıda;

  • Veri sorumlusu sıfatını haiz olan ALD AUTOMOTIVE’in müşterilerine kiralık olarak kullandırdığı araçlar ve süreçler ile ilgili Optimum Otomotiv Satış sonrası Çözümleri Tic. A.Ş. (OPTİMUM) şirketinden Hasar Yönetim Sistem Desteği, Yedek Parça Tedarik Sistem Hizmeti, Anlaşmalı Servis Yönetim Sistem Desteği, Hasar Uzmanı Outsource Hizmeti, Mekanik Bakım Onarım Sistem Hizmeti, Sistem Entegrasyonu, İkame Araç Modülü, Servis Network Yönetimi hizmetlerini aldığı,
  • OPTİMUM tarafından yönetilen sistemde veri sorumlusu ve çalışanları, veri sorumlusu müşterileri ve çalışanları, veri sorumlusu araç kullanıcıları, veri sorumlusu servis tedarikçileri ve çalışanları, veri sorumlusu sigorta hizmetlerini gören sigorta şirketleri ve çalışanları, veri sorumlusunun araçlarının karıştığı kazalarda karşı taraf sürücüleri ve diğer bütün ilgili kişiler hakkındaki kişisel verilerin işlendiği,
  • OPTİMUM şirketinin web sitesine yasa dışı yollarla (siber saldırı) girilmiş olduğu ve bu vesile ile sunucu (server) sistemine ulaşıldığına ilişkin OPTİMUM tarafından ALD AUTOMOTIVE’e detay verilmeden 14.01.2019 tarihinde telefon ile 15.01.2019 tarihinde ise e-posta ortamında bilgi verildiği,
  • Siber saldırı neticesinde birçok kişi, şirket, kurum kuruluşa ait kişisel verilerin kopyalanmış olabileceği,
  • Siber saldırı sonucunda veri kopyalama yapılıp yapılmadığı, yapıldı ise hangi verilerin kopyalandığına ilişkin ALD AUTOMOTIVE ile bilgi paylaşılmadığı ve hâlihazırda belirgin olmadığı,
  • Siber saldırı ile ele geçirildiği belirtilen veriler ile ilgili kesin bir durumun olmadığı,
  • Veri ihlali sebebiyle ele geçirilen veri olup olmadığı, varsa bu verilerin hangi firmanın müşterisi olduğu veya kimlerin verilerinin ele geçirildiğinin tespit edilmeye çalışıldığı bilgilerine yer verilmiştir.

Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/14 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

 

GDPR Rejiminin İlk İhlali

Kişisel verilerin hızla boyut değiştirdiği günümüzde GDPR, kişisel verilerin korunması alanında yayınlandığı tarihten itibaren en sıkı şartlara sahip hukuki metin olup geçtiğimiz günlerde Rejimin ilk ana ihlali gerçekleşmiştir.

Google hakkında yapılan, kullanıcılarının kişisel verilerini işlemek için geçerli yasal bir temele sahip olmadığı nitekim bunu reklamcılığın kişiselleştirilmesi amacıyla yaptığı şikayetlerinin üzerine Fransa’nın en büyük veri koruma otoritesi CNIL, GDPR’ın uygulamada olduğu sırada soruşturma ve inceleme başlatmıştır. İnceleme sonunda Google hakkında bilgilendirme yükümlülüğü, şeffaflık ve açıklık konularında eksiklikler tespit edilmiştir. CNIL, bunun üzerine tespit edilen bu eksikliklerin kullanıcıların tüm mahremiyetini ortaya çıkarabilecek nitelikte olduğunu belirtip Google hakkında 50 milyon Euro miktarında idari para cezası uygulanmasına hükmetmiştir.

GDPR, düşünüldüğü gibi klasik tarzda uygulanacak bir uluslararası düzenleme olmayıp kapsamı bakımından çok daha geniştir. Bu sebeple Türkiye’de bulunup özellikle uluslararası alanda faaliyet gösteren şirketlerin de aynı oranda dikkatli olmaları gerekmektedir.