DDK Raporu'dan Çarpıcı Tespitler

Zaman-15 Aralık 2013

Devlet Denetleme Kurulu (DDK) tarafından hazırlanan rapor, vatandaşın kişisel verilerinin muhafazası konusundaki ihmalleri ortaya çıkardı.

DDK’nın raporuna göre, denetimler, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığı bünyesinde gerçekleştirildi. Raporun sonuç bölümü, “Kişisel verilerin korunması hakkı, temel insan hak ve özgürlükleri arasında yer almakta olup, insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahiptir.” tespitiyle başlıyor. Raporda kişisel verilerin korunması hakkının 2010 tarihinde yapılan referandum sonucunda Anayasal güvence altına alındığı belirtiliyor. Fakat bu hakkın etkin bir şekilde korunması için kanunun bulunmamasına dikkat çekiliyor.

Raporda, fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti tek tek eleştiriliyor. Yine bazı kurumların çağrı merkezinden sadece ad, soyad ve TC kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabildiği kaydediliyor. Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılabiliyor. Bir örnekte CD ortamında 13,8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edildiğinin altı çiziliyor.

Raporun sonuç bölümünde 39 tespit ve öneri sıralanıyor. Kişisel verilerin üçüncü şahısların eline geçmesiyle alakalı hiçbir güvenliğin olmadığı ve çok büyük açıkların bulunduğu anlatılıyor. Aynı bölümde, kişisel verilerin silinmesi ile ilgili kanuni sınırların (5 yıl) aşıldığı, imhaların yapılmadığına vurgu yapılıyor. Kişisel verilerin üçüncü kişilerin eline geçmemesi için güvenli şekilde silinmesi gerektiği aktarılıyor. Şöyle deniliyor: “Denetim kapsamındaki kurumlardan sadece birinde kullanım dışı kalan elektronik kayıt ortamlarının güvenli imhası ile ilgili yazılı politikanın bulunduğu, ancak bu kurumda da imha işlemini yerine getirmesi gereken personelin politikadan habersiz olduğu ve politikayı uygulamadığı tespit edilmiştir.”

Milyonlarca kişinin bilgileri 1 CD’de

Raporda öne çıkan tespitlerden bazıları şöyle: “Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür. Kurumların çoğunun, bilişim sistemlerinin kurulması veya işletilmesi nedeniyle bilişim sistemlerine ve bu sistemlerde bulunan verilere ilişkin bilgilere sahip olan bilişim hizmeti alınan firmalarla gizlilik sözleşmesi imzalamadıkları, imzalanan bazı gizlilik sözleşmelerinin ise içerik olarak yeterli güvenceyi sağlamaktan uzak olduğu tespit edilmiştir. Bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği tespit edilmiştir.”

Kişisel veri paylaşımı hukukî dayanaktan yoksun

Kişisel verilerin kamu kurumları ve özel sektörde veri paylaşımı ve hukuki dayanağının bulunmadığı da raporun bir başka önemli tespiti. ‘Kişisel Veri Paylaşımına İlişkin Tespit ve Öneriler’ başlığı altında bu hususta şunların hayata geçirilmesi isteniyor: “Diğer kamu kurumları ve özel kesim ile veri paylaşımında, hukuki dayanağın bulunup bulunmadığı gibi hususlarda yeterli analizin yapılmadığı ve etkin karar mekanizmalarının oluşturulmadığı görülmüştür. Kişisel verilerin paylaşımında öncelikle; paylaşımın amacının net olarak belirlenmesi, bilgi talebinde bulunan kurumun söz konusu kişisel veriler ile sunduğu hizmet arasındaki ilişki ve bu verilerin paylaşımına ilişkin gereklilik durumu, veri talebinde bulunan kurum veya kuruluşların yasal olarak bu verileri almaya yetkili olup olmadıkları, hukuki dayanakları ve gerekçeleri gibi hususların değerlendirilmesi ve değerlendirmenin, konunun hukuki, idari ve teknik boyutlarının tümünü kavrayacak bilgi ve uygun yetki düzeyine sahip bir kurul tarafından gerçekleştirilmesi gerekmektedir.”

DDK RAPORU'DAN ÇARPICI TESPİTLER

GSM operatörlerinde 68 milyon kişinin verileri var

5809 sayılı Elektronik Haberleşme Kanunu’nun 56. maddesi ve Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği’nin 15. maddesi uyarınca, abonelik sözleşmesinin yanında T.C. kimlik numarası ile kimlik belgesinin bir suretinin abonelik sözleşmesi ile muhafaza edilmesi zorunludur. Türkiye’de Haziran 2013 itibariyle mobil abone sayısının 68.025.878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılmaktadır. 

Bankalar, kanuna rağmen kimlik fotokopisi alıyor 

Kimlik Paylaşımı Sistemi Yönetmeliği’nin 11. maddesinin 3. fıkrasında; “Kimlik Paylaşımı Sistemi çerçevesinde kimlik bilgisine erişebilen kamu kurum ve kuruluşlarınca ve 5411sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankalarca kişilerden ayrıca nüfus cüzdanı örneği veya kimlik bilgilerine ilişkin başkaca bir belge istenemez.” düzenlemesine ve Ocak 2013 itibariyle Kimlik Paylaşım Sistemine online erişebilen kamu kurumu ve özel kuruluş sayısının 2.478 olmasına rağmen, pek çok işlemde kişilerin kimlik fotokopisinin alınması uygulamasına devam edilmektedir.

50 milyon seçmenin kütük kayıtlarının paylaşımını engelleyen bir mekanizma yok

Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanun’da yer alan düzenleme kapsamında her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamıştır. Adli makamlara da intikal etmiş olan bazı olaylarda 18 yaş ve üzerindeki kişilerin T.C. kimlik numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imkân veren yazılımların üretildiği ve satıldığı bilgisi, bu tür uygulamaların doğurabileceği sonuçlar açısından dikkat çekicidir.

Seçmen kayıtları internete kadar düştü

Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir. 

500 bilgisayar bir saatte ele geçirildi 

Bünyesinde hassas kişisel veriler bulunan bir kamu kurumundaki güvenlik testi sonucunda, yama eksiğinden dolayı kuruma ait 500 sunucunun bir saat gibi kısa bir sürede ele geçirilebildiğinin görülmesi, kurumların yama politika ve süreçlerine vermeleri gereken öneme işaret etmektedir.

Kişisel veriler belleklerde CD lerde taşınıyor 

Denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür. Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkânı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkânı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği ve kullanılabileceği, çoğaltılıp çoğaltılamayacağı, söz konusu bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi hiçbir güvenlik hususunun belirlenmediği tespit edilmiştir.

SQLSTATE[HY000] [1045] Access denied for user 'root'@'10.0.5.9' (using password: YES)