Bilgi ve İletişim Güvenliği Tedbirleri

Mahmut Barlas / Data Protection

6 Temmuz 2019 tarihli Resmi Gazete’de, çeşitli bilgi ve iletişim güvenliği tedbirlerine ilişkin Cumhurbaşkanlığı Genelgesi (“Genelge”) yayınlanmıştır.

Adı geçen Genelge ile i) veri güvenliği risklerinin azaltılması & etkisiz kılınması ile ii) gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla birtakım tedbirlerin alınması kararlaştırılmıştır. Bu tedbirlerden bazılarını aşağıda bilgi amaçlı sıralamış bulunuyoruz:

  1. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
  2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
  3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum

kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

  1. Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.

Genelge ile esas olarak kamu kurum ve kuruluşları çeşitli yükümlülükler altına girmiştir. Buna ilaveten, aynı yükümlülüklerin özel sektöre uygulanıp uygulanmayacağı henüz belirsizliğini korumaktadır. Ayrıca metin içeriğinden anlaşıldığı üzere Genelge’de kararlaştırılan kimi hususlar, Kişisel Verilerin Korunması Kanunu[1] ("KVKK”) ile tezat yaratmaktadır. Bunlardan bir tanesine örnek olarak Genelge’ye göre nüfus, sağlık ve iletişim bilgilerinin yurt içinde depolanacağı yazmaktadır ancak KVKK’ya göre belirli şartların varlığı halinde bu veriler, yurt dışında depolanabilir. Buna benzer başkaca belirsizliği koruyan düzenlemeler mevcuttur.

 

 

Adı geçen belirsizliklere cevaben, kritik türdeki verilerin güvenliğinin sağlanması amacıyla farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” (“Rehber”) yayımlanacaktır.  Rehber, zaman içerisinde değişen ihtiyaçlar ve şartlar, gelişen teknoloji ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir. Bu Rehber, henüz yayınlanmamıştır.

Özellikle yurt dışına veri aktarımı konusundaki mevzuata uyumu ilgilendiren bu Genelge’nin uygulaması, Rehberin veya ek başkaca mevzuatın yayınlanması ile şekil kazanacağını tahmin ediyoruz.

Bültenimiz ile alakalı olarak aklınıza takılan herhangi bir husus olması halinde her daim bizlere ulaşabilirsiniz.

 

DURUKAN HUKUK BÜROSU

Av. Mahmut Barlas

mahmutbarlas@durukan.av.tr

Av. Hazal Aslan

hazalaslan@durukan.av.tr

Stj. Av. Burçin Leventyürü

burcinleventyuru@durukan.av.tr

 

 

 

 

 

[1] 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayınlanmış olan 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun