T.C. CUMHURBAŞKANLIĞI Devlet Denetleme Kurulu DENETLEME RAPORU RAPORUN KONUSU

Transkript

1 T.C. CUMHURBAŞKANLIĞI Devlet Denetleme Kurulu DENETLEME RAPORU RAPORUN KONUSU Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları Bilgi Edinme Hakkı Kanunu kapsamında yer alan sınırlamalar ile Kurum denetimlerine ilişkin bilgi güvenliği kısıtları nedeniyle internet sayfamızda Raporun yalnızca Sonuç Bölümüne yer verilmiştir. Tarihi : 27 / 11/ 2013 Sayısı : 2013 / 3 Eki : -

2 Devlet Denetleme Kurulu Denetleme Raporu I İÇİNDEKİLER İÇİNDEKİLER... I KISALTMALAR... XVI TABLOLAR... XIX ŞEKİLLER... XXI GİRİŞ... 1 ÇALIŞMAYA İLİŞKİN BİLGİLER... 1 BİRİNCİ BÖLÜM... 5 TEORİK VE KAVRAMSAL ÇERÇEVE KİŞİSEL VERİLERİN KORUNMASININ ÖNEM KAZANMASI Bilgi ve İletişim Teknolojilerindeki Gelişmeler Kişisel Verilerin Ticari Meta Haline Gelmesi Siber Tehditlerdeki Artış Kişisel Verilerin Güvenliğine Yönelik Artan Kaygılar Uluslararası Baskı Unsuru Gözetleme/İzleme İmkânlarındaki Artış Sosyal Medya Aracılığı İle Paylaşılan Kişisel Veriler Ekonomik Kaygılar VERİ, MALUMAT VE BİLGİ KAVRAMLARI KİŞİSEL VERİ HASSAS VERİ KİŞİSEL VERİLERİN İŞLENMESİNDE YER ALAN AKTÖRLERİ İFADE EDEN KAVRAMLAR ÖZEL HAYATIN LİĞİ VE KİŞİSEL VERİLERİN KORUNMASI HAKKI BİLGİ GÜVENLİĞİ VE SİBER GÜVENLİK BİLGİ GÜVENLİĞİ VE KİŞİSEL VERİLERİN GÜVENLİĞİ KİŞİSEL VERİLERİN KORUNMA ALANI TEMEL İLKELER Kişisel Verilerin Hukuka ve Dürüstlük Kuralına Uygun Olarak İşlenmesi Veri Minimizasyonu (Asgarilik) Amacın Belirliliği Bilgilerin Kaliteli Olması Verisi İşlenen Kişinin Katılımı ve Kontrolü Paylaşımın Sınırlandırılması Bilgi Güvenliği İlkesi ve Sorumluluk Hassas Veri İlkesi... 36

3 Devlet Denetleme Kurulu Denetleme Raporu II İKİNCİ BÖLÜM ULUSLARARASI DÜZENLEMELER AVRUPA KONSEYİ Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme Ek Protokol Bakanlar Komitesi Kararları Sosyal Güvenlik Amacıyla Kişisel Verilerin Korunması Konusunda Tavsiye Kararı Emniyet Alanında Kişisel Verilerin Kullanımının Düzenlenmesine İlişkin Tavsiye Kararı İstihdam Amacıyla Kullanılan Kişisel Verilerin Korunmasına İlişkin Tavsiye Kararı Kamu Makamlarının Elinde Bulunan Kişisel Verilerin Üçüncü Kişilere İletilmesine İlişkin Tavsiye Kararı Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararı İstatistiksel Amaçlarla Toplanan ve İşlenen Kişisel Verilerin Korunmasına İlişkin Tavsiye Kararı İnternette Özel Yaşamın Korunmasına İlişkin Tavsiye Kararı Kişisel Verilerden Otomatik Profil Oluşturmaya Karşı Kişilerin Korunmasına İlişkin Tavsiye Kararı EKONOMİK İŞBİRLİĞİ VE KALKINMA TEŞKİLATI AVRUPA BİRLİĞİ Avrupa Birliği Veri Koruma Yönergesi Yönergenin Amacı, Kapsamı ve Tanımlar Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler Veri Kalitesine İlişkin İlkeler Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri Hassas Verilerin İşlenmesi Bilgilendirme Yükümlülüğü ve Verisi İşlenen Kişilerin Hakları Gizlilik ve Güvenlik Bildirim Yükümlülüğü, Tescil ve Ön Kontrol Yargı Yolları, Sorumluluk ve Müeyyideler Kişisel Verilerin Üçüncü Ülkelere Transferi Davranış Kuralları Denetleyici Otorite Kişisel Verilerin İşlenmesinde Bireylerin Korunması Çalışma Grubu Genel Veri Koruma Tüzüğü Taslağı (General Data Protection Regulation) Taslak ile Veri Koruma Mevzuatında Yapılması Planlanan Değişiklikler Kapsam ve Tanımlar İlkeler Rıza Çocukların Kişisel Verilerinin İşlenmesi Verisi İşlenen Kişinin Hakları Veri Kütüğü Sahibi ve Veri İşleyen Veri Koruma Görevlisi ve Sertifikasyon Denetleyici Otoriteler İşbirliği ve Uyum Avrupa Veri Koruma Kurulu Hukuk Yolları, Sorumluluk ve Müeyyideler Kişisel Verilerin Korunmasına Yönelik Diğer AB Düzenlemeleri AB Temel Haklar Şartı /45 sayılı Kişisel Verilerin Birlik Kurum ve Organları Tarafından İşlenmesinde Bireylerin Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında Tüzük /58 sayılı Özel Hayatın ve Elektronik İletişimin Korunması Yönergesi... 97

4 Devlet Denetleme Kurulu Denetleme Raporu III /24 sayılı İletişim Trafik Verilerinin Saklanması Yönergesi / 228 sayılı Komisyon Bildirisi DİĞER ULUSLARARASI DÜZENLEMELER Birleşmiş Milletler Uluslararası Çalışma Örgütü İslam İşbirliği Teşkilatı Asya Pasifik Ekonomik İşbirliği Teşkilatı (Asia Pacific Economic Cooperation) ÜÇÜNCÜ BÖLÜM KARŞILAŞTIRMALI ÜLKE ÖRNEKLERİ GENEL BAKIŞ Kişisel Verilerin Korunması Alanında Ülke Mevzuatlarındaki Gelişmeler Ülkeler Arasındaki Farklılıkların Nedenleri Kişisel Verilerin Korunmasında Ayrılmaz Unsur Bağımsız ve Güçlü Kurumsal Yapı ÜLKE ÖRNEKLERİ Fransa Giriş Veri Koruma İlkeleri Hukuka Uygunluk Sebepleri Hassas Verilerin İşlenmesi Verisi İşlenen Kişilerin Bilgilendirilmesi Verisi İşlenen Kişinin Hakları Denetim, Bildirim ve Yaptırım Fransız Veri Koruma Otoritesinin Yapısı CNIL ın Görevleri Yetkilendirme ve Bildirim Veri Koruma Görevlisi İnceleme ve Yaptırım Yetkileri Almanya Giriş Tanımlar Kanunun Kapsamı Veri Koruma İlkeleri Hukuka Uygunluk Sebepleri Hassas Verilerin İşlenmesi Hassas İşleme Otomatik Karar Süreçleri Veri Madenciliği ve Profil Çıkarma Verisi İşlenen Kişilerin Bilgilendirilmesi Verisi İşlenen Kişilerin Hakları Denetim, Bildirim ve Yaptırım Alman Veri Koruma Otoriteleri ve Denetleyici Otoriteler Şirket İçi Veri Koruma Görevlisi Bildirim ve Ön Kontrol Denetim ve Yaptırım Kamu Sektörü Özel Sektör Veri Koruma Kontrolleri ve Uygunluk Belgesi Cezai ve İdari Yaptırımlar

5 Devlet Denetleme Kurulu Denetleme Raporu IV İngiltere Giriş Tanımlar ve Kapsam Veri Koruma İlkeleri Dürüstlük İlkesi Amacın Belirliliği ve Sınırlılığı İlkesi Hukuka Uygunluk Sebepleri Hassas Verilerin İşlenmesi Hassas İşleme Verisi İşlenen Kişilerin Bilgilendirilmesi Verisi İşlenen Kişilerin Hakları Denetim, Bildirim ve Yaptırım Veri Koruma Otoritesi Görev ve Yetkileri Yaptırım Uygulamaları İtalya Yasal Düzenlemeler Veri Koruma İlkeleri Verisi İşlenen Kişilerin Hakları İtalyan Veri Koruma Otoritesi Yargı Kararları Teknolojik Gelişmeler Karşısında Kişisel Verilerin Korunması Uygulamaları Güney Kore Japonya Giriş Yasal Düzenlemeler Tanımlar, Temel Kavramlar ve Kapsam Veri Koruma İlkeleri Verisi İşlenen Kişilerin Hakları Yargı Yolu Denetim, Bildirim ve Yaptırım Amerika Birleşik Devletleri Giriş Yasal Düzenlemeler ve Yargı Kararları Anayasal Çerçeve Teamül Hukuku (Common Law) Federal Kanunlar Dürüst Kredi Raporlama Kanunu (Fair Credit Reporting Act FCRA / 1970) Mahremiyet Kanunu (Privacy Act 1974) Aile Eğitim Hakları ve Mahremiyeti Kanunu (Family Educational Rights and Privacy Act 1974) Kablolu Yayın Politikası Kanunu (Cable Communications Policy Act 1984) Video Mahremiyetini Koruma Kanunu (Video Privacy Protection Act 1988) Telefon Tüketici Koruma Kanunu (Telephone Consumer Protection Act 1991) Sürücü Mahremiyeti Koruma Kanunu (Driver s Privacy Protection Act 1994) Telekomünikasyon Kanunu (Telecommunications Act 1996) Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Kanunu (Health Insurance Portability and Accountability Act 1996) Çocukların Çevrimiçi Mahremiyetini Koruma Kanunu (Children s Online Privacy Protection Act 1998) Gramm-Leach Bliley Kanunu (Gramm-Leach Bliley Act 1999) İstenmeyen Pornografi ve Pazarlama Tacizlerinin Kontrolü Kanunu (Controlling the Assault of Non-Solicited Pornography and Marketing Act / CAN-SPAM Act 2003) Eyalet Kanunları Kaliforniya Örneği Federal Ticaret Komisyonunun Uygulamaları

6 Devlet Denetleme Kurulu Denetleme Raporu V Veri Koruma İlkeleri Amaçla Sınırlılık İlkesi Kişisel Veri Toplanmasına Sınırlama Getirilmesi Veri Kalitesine İlişkin Yükümlülükler Uygulamalarda Şeffaflık Hassas Verilerin İşlenmesi Doğrudan Pazarlama Uygulamaları Verisi İşlenen Kişilerin Hakları Yargı Yolu Teknolojik Gelişmeler Karşısında Kişisel Verilerin Korunması DÖRDÜNCÜ BÖLÜM KURUMSAL YAPI STRATEJİ, POLİTİKA VE GENEL STANDARTLARI BELİRLEYEN KURUMLAR Bilim ve Teknoloji Yüksek Kurulu Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Siber Güvenlik Kurulu Kalkınma Bakanlığı Maliye Bakanlığı Türk Standartları Enstitüsü SEKTÖREL BAZDA DÜZENLEME VE DENETİM YETKİSİ BULUNAN KURUMLAR Bilgi Teknolojileri ve İletişim Kurumu Bankacılık Düzenleme ve Denetleme Kurumu KAMU DENETİM BİRİMLERİ İç Denetim Koordinasyon Kurulu Sayıştay Türkiye Bilimsel ve Teknik Araştırmalar Kurumu (TÜBİTAK) KAMU BİLİŞİM SİSTEMLERİ Merkezi Nüfus İdaresi Sistemi (MERNİS) Kimlik Paylaşım Sistemi (KPS) Adres Kayıt Sistemi (AKS) Merkezi Sicil Kayıt Sistemi (MERSİS) Tapu ve Kadastro Bilgi Sistemi (TAKBİS) Vergi Dairesi Otomasyon Projesi (VEDOP) Ulusal Yargı Ağı Projesi (UYAP) PolisNet (POLNET) Araç ve Sürücü Bilgi Sistemi (ASBİS) Bütünleşik Sosyal Yardım Hizmetleri Bilgi Sistemi (SOYBİS) Ulusal Sağlık Bilgi Sistemi (USBS) Merkezi Hastane Randevu Sistemi (MHRS) Medula e-okul Yükseköğretim Ortak Veri Tabanı (YÖKSİS) Bilgisayar Destekli Merkezi Seçmen Kütüğü (SEÇSİS) E-İŞKUR

7 Devlet Denetleme Kurulu Denetleme Raporu VI Ulusal Özürlüler Veri Tabanı Projesi (ÖZVERİ) DİĞER KURUM VE ORGANİZASYONLAR Türksat Uydu Haberleşme Kablo TV ve İşletme A.Ş Telekomünikasyon İletişim Başkanlığı Ulusal Siber Olaylara Müdahale Merkezi (USOM) Siber Olaylara Müdahale Ekipleri (SOME) KURUMSAL MODEL ÇALIŞMASI BEŞİNCİ BÖLÜM KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI İLE İLGİLİ MEVZUAT VE DEĞERLENDİRME KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI İLE İLGİLİ MEVZUAT Anayasa Türk Medeni Kanunu Borçlar Kanunu Türk Ceza Kanunu Ceza Muhakemesi Kanunu Vergi Usul Kanunu Amme Alacaklarının Tahsil Usulü Hakkında Kanun Nüfus Hizmetleri Kanunu ve İlgili Mevzuat Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ve İlgili Mevzuat Sağlık Hizmetleri Temel Kanunu Aile Hekimliği Mevzuatı Hasta Hakları Yönetmeliği /61 sayılı Genelge Diğer Mevzuat Sosyal Sigortalar ve Genel Sağlık Sigortası Mevzuatı Genel Sağlık Sigortası Verilerinin Paylaşımı Veri Paylaşımı Kurulu Sosyal Sigorta Verilerinin Paylaşımı ve Veri Paylaşım Kurulu Tapu ve Kadastro Verileri İle İlgili Mevzuat Adli Sicil Kanunu Elektronik Haberleşme Kanunu Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik Elektronik İmza Kanunu Bilgi Edinme Hakkı Kanunu Polis Vazife ve Salahiyet Kanunu Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu Jandarma Teşkilat, Görev ve Yetkileri Kanunu Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul Ve Esaslar İle Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkında Yönetmelik Kamu Düzeni ve Güvenliği Müsteşarlığının Teşkilat ve Görevleri Hakkında Kanun Türkiye İstatistik Kanunu

8 Devlet Denetleme Kurulu Denetleme Raporu VII Kimlik Bildirme Kanunu Aile ve Sosyal Politikalar Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun Bankacılık Kanunu Noterlik Kanunu İş Kanunu DEĞERLENDİRME ALTINCI BÖLÜM KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI TASLAĞINA İLİŞKİN HUSUSLAR KİŞİSEL VERİLERİN KORUNMASI KANUNUNA OLAN İHTİYAÇ TASARI TASLAĞINA İLİŞKİN DEĞERLENDİRMELER Amaç, Kapsam ve Tanımlar Amaç ve Kapsam Tanımlar Kişisel Verilerin İşlenmesi Genel İlkeler Kişisel Verilerin İşlenme Şartları ve Açık Rıza Özel Nitelikli (Hassas) Kişisel Verilerin İşlenme Şartları Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Kişisel Verilerin Aktarılması Hak ve Yükümlülükler Veri Sorumlusunun Aydınlatma Yükümlülüğü İlgili Kişinin Hakları Veri Güvenliğine İlişkin Yükümlülükler Başvuru Şikâyet ve Sicil Başvuru Şikâyet İnceleme ve Denetimin Usul ve Esasları Veri Sorumluları Sicili Suçlar ve Kabahatler Suçlar Kabahatler Kişisel Verileri Koruma Kurumu Başkanlığı Kuruluş ve Teşkilat Hizmet Birimleri ve Görevleri Kurumun Görev ve Yetkileri Son Hükümler İstisnalar Yönetmelik Geçiş Hükümleri Diğer Değerlendirme ve Öneriler Taslakta Yer Alan Kapsamı Daraltıcı Hükümler Sektörel veya İkincil Düzenlemeler KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI TASLAĞI

9 Devlet Denetleme Kurulu Denetleme Raporu VIII YEDİNCİ BÖLÜM NÜFUS VE VATANDAŞLIK İŞLERİ GENEL MÜDÜRLÜĞÜ KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Genel Müdürlük Bünyesindeki Projelere İlişkin Bilgiler Merkezi Nüfus İdaresi Sistemi (MERNİS) MERNİS in Gelişim Süreci MERNİS in İçeriği ve Kimlik Paylaşımı Sistemi İle İlişkisi Türkiye Cumhuriyeti Kimlik Numarası Uygulaması MERNİS İlişkisi Adres Kayıt Sistemi - MERNİS İlişkisi Kimlik Paylaşımı Sistemi KPS İle Sunulan Veriler Kimlik Paylaşım Sistemine Erişim Süreci Ön Başvuruların Alınması (1. Aşama) Başvuru ve Değerlendirme Süreci (2. Aşama) İkili Anlaşma Süreci (3. Aşama) Bağlantı Yapılması Süreci (4. Aşama) Veri Toplama ve İşlemeye İlişkin Mevzuat Veri Tabanları ve Veri Varlıkları Verilerin Paylaşımı TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler KPS Kullanım Gerekçesi, Yasal Dayanak ve Paylaşılan Bilgiye İlişkin Tespitler Yurt Dışı IP Adresi İle KPS'ye Erişim Paylaşım Sürecine İlişkin Diğer Tespit ve Değerlendirmeler Kişisel Verilerin Sınıflandırılması Yerleşim Yeri Bilgisinin Paylaşıma Açılması Toplu Bilgi Paylaşımı Kurumlara Gönderilen Toplu Verilerle İlgili Güvenlik Önlemleri Doğum Tarihi Aralığı ve Cinsiyet Bilgileri ile Kişi Bilgileri Sorgulama Servisi KOSGEB İle İlgili Tespitler Kredi Kayıt Bürosu A.Ş. (KKB) İle İlgili Tespitler Türkiye Cumhuriyet Merkez Bankası İle İlgili Tespit ve Değerlendirmeler Yüksek Seçim Kurulu İle İlgili Tespit ve Değerlendirmeler KPS Kullanıcı Bilgilerinin Değerlendirilmesi ve Analizi Genel Müdürlük Personeli ve KPS Kullanıcılarına Verilen Eğitimler Yapılacak Teftiş ve İç Denetim Çalışmaları Bilgi Paylaşımında Sorumluluk Bilgi Güvenliği Birimi Oluşturulması Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün KPS ile Bilgi Paylaştığı Kurumlar Nezdinde Yapılan İncelemeler Erişiminin IP Adresi Bazında Kısıtlanması KPS Kullanıcılarının Kayıt Altına Alınması KPS Kullanıcıları Arasında Farklı Yetkilerin Tanımlanması KPS Sistemini Kullanan Kullanıcıların Yapmış Oldukları Sorgulara İlişkin Erişim Kayıtlarının (Log) Tutulması KPS Sistemini Kullanan Kullanıcıların Yapmış Oldukları Sorgulara İlişkin Erişim Kayıtlarının Tutulma Süresi KPS Sorgusu Sonucunda Elde Edilen Bilgilerin Bilgiyi Alan Kurumların Kendi Sistemlerine Kayıt Edilmesi Firewall Uygulamaları Saldırı Tespit ve Önleme Cihazı Anti-Virüs Programı

10 Devlet Denetleme Kurulu Denetleme Raporu IX Kullanıcı Adı ve Şifre Kullanımı Parolalardaki Karakter Sayısı Sorumlulukların Bildirimi Sistemin Amaç Dışında Kullanımı Öneriler Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Yetki ve Sorumlulukların Belirlenmesi Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Bilgi Güvenliği Politika Belgesinin Kurum Personeline Duyurulması Yedekleme Politikası İş Sürekliliği Dokümanı Temiz Masa Temiz Ekran Politikası Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma Veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları ve Gizlilik Anlaşmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Paylaşılan Bilgilere İlişkin Sorgu Kayıtları Kaynak Kodu Erişim Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik SEKİZİNCİ BÖLÜM TAPU VE KADASTRO GENEL MÜDÜRLÜĞÜ KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Genel Müdürlük Bünyesindeki Projelere İlişkin Bilgiler Tapu ve Kadastro Bilgi Sistemi (TAKBİS) TAKBİS Süreci TAKBİS in Hedefi TAKBİS ten Beklenenler Veri Toplama ve İşlemeye İlişkin Mevzuat Veri Tabanları ve Veri Varlıkları Verilerin Paylaşımı TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler Genel Müdürlük Bünyesindeki Veri Tabanları ve TAKBİS Veri Tabanında Bulunan Verilere İlişkin Değerlendirme Verilerin Toplanmasına, İşlenmesine ve Paylaşımına İlişkin Mevzuat Altyapısı Veri Paylaşımına İlişkin Sözleşmeler Veri Paylaşımı Karşılığında Mal, Hizmet, Nakit veya Döner Sermaye Ücreti Alınması Çevrimdışı Bilgi Paylaşımı Erişim Kayıt (Log) Takibi ve Analizi İç Denetim Raporları Süresi Biten Protokoller

11 Devlet Denetleme Kurulu Denetleme Raporu X TAKBİS de Tanımlı Gerçek Kişi Bul Metodu Hakkında Bilgi Bankası ve Bilgi Güvenliği Şube Müdürlüğü ile Bilgi Güvenliği İç Kontrol Birimi Oluşturulması Hakkında Bilgi Paylaşımına İlişkin Başvuruların Değerlendirilmesi TÜRKSAT A.Ş. İle Genel Müdürlük Arasındaki Hizmet İlişkisi Tapu ve Kadastro Genel Müdürlüğünün TAKBİS ile Bilgi Paylaştığı Kurumlar Nezdinde Yapılan İncelemeler Erişiminin IP Adresi Bazında Kısıtlanması TAKBİS Kullanıcılarının Kayıt Altına Alınması TAKBİS Kullanıcıları Arasında Farklı Yetkilerin Tanımlanması TAKBİS Sistemini Kullanan Kullanıcıların Yapmış Oldukları Sorgulara İlişkin Erişim Kayıtlarının (Log) Tutulması TAKBİS Sistemini Kullanan Kullanıcıların Yapmış Oldukları Sorgulara İlişkin Erişim Kayıtlarının Tutulma Süresi TAKBİS Sorgusu Sonucunda Elde Edilen Bilgilerin Bilgiyi Alan Kurumların Kendi Sistemlerine Kayıt Edilmesi Firewall Uygulamaları Saldırı Tespit ve Önleme Cihazı (IPS) Anti-Virüs Programı Kullanıcı Adı ve Şifre Kullanımı Parolalardaki Karakter Sayısı Sorumlulukların Bildirimi Sistemin Amaç Dışında Kullanımı Öneriler Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Yetki ve Sorumlulukların Belirlenmesi Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Yedekleme Politikası İş Sürekliliği Dokümanı Temiz Masa Temiz Ekran Politikası Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma Veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları ve Gizlilik Anlaşmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Paylaşılan Bilgilere İlişkin Sorgu Kayıtları Kaynak Kodu Erişim Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik Felaket Kurtarma Merkezi DOKUZUNCU BÖLÜM GELİR İDARESİ BAŞKANLIĞI KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Veri Toplama ve İşlemeye İlişkin Mevzuat Başkanlık Bünyesindeki Projelere İlişkin Bilgiler Vergi Daireleri Otomasyon Projesi (VEDOP) Veri Tabanları ve Veri Varlıkları Veri Tabanlarında Bulunan Veriler

12 Devlet Denetleme Kurulu Denetleme Raporu XI Diğer Kurumlardan Alınan Veriler (VA-DB Veri Tabanı) Verilerin Paylaşımı Paylaşıma İlişkin Mevzuat Paylaşım Usulleri Çevrimiçi Veri Paylaşım Süreci Çevrimdışı Veri Paylaşımı Süreci TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler VA-DB Veri Tabanına Erişim Yetkisi Veri Paylaşımı Protokolleri Özel Kurumlarla Yerleşim Yeri Adres Bilgilerinin Paylaşımı Çevrimdışı Veri Paylaşımı KPS Erişim Kayıtlarının (Log) Değişmezliği Sözleşmeli Bilişim Personeli İstihdamı İç Denetim Mekanizması Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Yetki ve Sorumlulukların Belirlenmesi Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Bilgi Güvenliği Politika Belgesinin Kurum Personeline Duyurulması Bilgi Güvenliği Politikasının Güncellenmesi Yedekleme Politikası İş Sürekliliği Dokümanı Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Paylaşılan Bilgilere İlişkin Sorgu Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik ONUNCU BÖLÜM SOSYAL GÜVENLİK KURUMU KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Veri Toplama ve İşlemeye İlişkin Mevzuat Veri Tabanları ve Veri Varlıkları Veri Tabanlarında Yer Alan Veriler Veri Ambarı Biyometrik Kimlik Doğrulama Sisteminden Elde Edilen Veriler Verilerin Paylaşımı Genel Sağlık Sigortası Verilerinin Paylaşımı Veri Taleplerine Başvuru ve Veri Taleplerinin Karşılanması Sözleşme Kapsamındaki Veri Taleplerinin Karşılanması

13 Devlet Denetleme Kurulu Denetleme Raporu XII Usul ve Esaslar Veri Paylaşımı Kurulu Sosyal Sigorta Verilerinin Paylaşımı TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler Veri Paylaşımı Kurulu Kararları Sosyal Sigorta Verilerinin Paylaşımına İlişkin Veri Paylaşımı Kurulu Kararları Genel Sağlık Sigortası Verilerinin Paylaşımı ve Veri Paylaşımı Kurulu Kararları Çağrı Merkezi (Alo 170) Kurum Dışından Alınan Verilerin Güvenliği Veri Paylaşımına Yönelik Belirlenen Usul ve Esaslardan Önce Yapılan Protokoller Sayıştay Sürekli Denetim Sistemi Çevrimdışı Veri Paylaşımı İç Denetim Faaliyetleri KPS Geri İzleme Erişim Kayıt (Log) Bilgileri Sözleşmeli Bilişim Personeli ve Hizmet Alınan Firmalara Bağımlılık Uygulamalara İlişkin Erişim Kayıtları (Log) Medula Uygulamaları Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Bilgi Güvenliği Politika Belgesinin Kurum Personeline Duyurulması Yedekleme Politikası İş Sürekliliği Dokümanı Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma Veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları ve Gizlilik Anlaşmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Paylaşılan Bilgilere İlişkin Sorgu Kayıtları Kaynak Kodu Erişim Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik ON BİRİNCİ BÖLÜM SAĞLIK BAKANLIĞI KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Sağlık Bilgi Sistemleri Genel Müdürlüğü Sağlık Sektöründeki Aktörler Sağlık Hizmeti Sunanlar Sağlık Hizmeti Alanlar Sağlık Hizmetini Finanse Edenler Hizmet Sunumunda Mal ve Hizmet Tedarik Edenler Veri Toplama ve İşlemeye İlişkin Mevzuat

14 Devlet Denetleme Kurulu Denetleme Raporu XIII sayılı KHK ile Verilen Yetkiler Sağlık Hizmetleri Temel Kanunu Aile Hekimliği Mevzuatı Hasta Hakları Yönetmeliği /61 sayılı Genelge Hastane Bilgi Yönetim Sistemleri Alım Kılavuzu Diğer Mevzuat Veri Tabanları ve Veri Varlıkları Ulusal Sağlık Veri Seti Ulusal Sağlık Veri Setinde Listelenen Verilerin Toplanması Ulusal Sağlık Veri Seti İçeriği TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler Yönetmelik ve Diğer Alt Düzenlemeler Hassas Verilere Erişim Yetkisi Olanların Verilere Erişim Kayıtları İç Denetim Faaliyetleri Bilgi Sistemi Tedarikçileri İle İlgili Denetimler Veri Kayıt Elemanları İç Kontrol Biriminin İşler Hale Getirilmesi Kişisel Verilerin Korunması Açısından Bilinçlendirme Çalışmaları Tüm Sağlık Kuruluşlarında Merkezi Yazılım Kullanılması Denetim Formlarında Yer Alan Bilgiler Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Yetki ve Sorumlulukların Belirlenmesi Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Bilgi Güvenliği Politika Belgesinin Kurum Personeline Duyurulması Bilgi Güvenliği Politikasının Güncellenmesi Yedekleme Politikası İş Sürekliliği Dokümanı Temiz Masa Temiz Ekran Politikası Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma Veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları ve Gizlilik Anlaşmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Kaynak Kodu Erişim Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik ON İKİNCİ BÖLÜM ADALET BAKANLIĞI KURUMSAL-HUKUKİ YAPI VE BİLGİ SİSTEMLERİ Kurumsal Yapı Bakanlık Bünyesindeki Projelere İlişkin Bilgiler

15 Devlet Denetleme Kurulu Denetleme Raporu XIV Ulusal Yargı Ağı Projesi (UYAP) Ses ve Görüntü Bilişim Sistemi (SEGBİS) Veri Toplama ve İşlemeye İlişkin Mevzuat Kanunlar Ceza Muhakemesi Kanunu Çek Kanunu Hâkimler ve Savcılar Yüksek Kurulu Kanunu Hukuk Muhakemeleri Kanunu Yönetmelik ve Genelgeler Veri Tabanları ve Veri Varlıkları Verilerin Paylaşımı Çevrimiçi Veri Paylaşımı Alınan Veriler Diğer Kurumlara Verilen Veriler Çevrimdışı Veri Paylaşımı TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler Kurumun Hizmet Aldığı Firmalara Bağımlılığı Bilgi Güvenliği Konusunda Son Kullanıcıların Bilincinin Artırılması Bilgi Güvenliği Şube Müdürlüğünün Yapısı İç Denetim Mekanizması Adalet Bakanlığı Personel Bilgilerinin Güvenliği UYAP ve Kişisel Bilgilere Erişim UYAP Portal Giriş Ekranı UYAP Ağ Yapısı Bilgi Güvenliği Yönetim Sistemi Kapsamındaki Tespit ve Öneriler İdari Hususlar Yetki ve Sorumlulukların Belirlenmesi Bilgi Güvenliği Sorumlusunun Atanması Bilgi Güvenliği Politikası Bilgi Güvenliği Politika Belgesinin Kurum Personeline Duyurulması Bilgi Güvenliği Politikasının Güncellenmesi Yedekleme Politikası İş Sürekliliği Dokümanı Personel ve Hizmet Sunucusu Firmalara İlişkin Hususlar İşten Ayrılma Veya İşe Ara Verme Süreci Yüklenici Firma Gizlilik Anlaşmaları Yüklenici Firma Personeli Güvenlik Araştırmaları ve Gizlilik Anlaşmaları Teknik Hususlar Güvenlik Testleri Parola Politikası Merkezi Kimlik Yönetim Sistemi Yama Yönetim Süreci Paylaşılan Bilgilere İlişkin Sorgu Kayıtları Merkezi Kayıt Yönetim Yazılımı Kullanım Dışı Kalan Her Türlü Kayıt Ortamının İmhası Fiziksel Güvenlik ON ÜÇÜNCÜ BÖLÜM GENEL DEĞERLENDİRME VE ÖNERİLER GENEL DEĞERLENDİRME

16 Devlet Denetleme Kurulu Denetleme Raporu XV TESPİT VE ÖNERİLER Genel Nitelikli Tespit ve Öneriler Mevzuata İlişkin Tespit ve Öneriler Kişisel Verilerin Korunması Hakkında Kanun Çalışmalarına İlişkin Tespit ve Öneriler Kurumsal Yapıya İlişkin Tespit ve Öneriler Kişisel Veri Paylaşımına İlişkin Tespit ve Öneriler Bilgi Güvenliği Yönetim Sistemlerine İlişkin Tespit ve Öneriler İç Kontrol ve İç Denetim Sistemi İle Diğer Denetimlere İlişkin Tespit ve Öneriler SONUÇ KAYNAKÇA...818

17 Devlet Denetleme Kurulu Denetleme Raporu 778 SONUÇ Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü veri olarak tanımlanmaktadır. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Kişisel verilerin korunması hakkı, temel insan hak ve özgürlükleri arasında yer almakta olup, insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahiptir. Kişisel veriler dâhil, özel hayatın anayasal güvence ile koruma altına alınmasında temel amaç, insan kişiliğinin serbestçe gelişmesine imkân vermek, kişiye kendisi ve yakınları ile baş başa kalabileceği, devlet veya başkaları tarafından rahatsız edilemeyeceği özerk bir alan sağlamaktır. Kişisel verilerin korunması hakkı son kırk yılda büyük önem kazanmıştır. Bunda, bilgi ve iletişim teknolojilerinin gelişmesiyle birlikte veri toplama ve bunları otomatik olarak işleme kapasitelerindeki artış ile bu artışa dayalı olarak kişilerin özel hayat mahremiyet alanının daha savunmasız hale gelmesi önemli bir etkendir. Özellikle, bilişim teknolojilerindeki gelişmeler sonucunda; Geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi, Daha önce dağınık yapılarca toplanan ve birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilmesi, Verilerin ileri teknolojik imkânlarla ve veri eşleştirme (data matching) ve veri madenciliği (data mining) gibi tekniklerle analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması, Verilere erişim, paylaşım ve transferin kolaylaşması ve maliyetinin düşmesi, Kişisel verilerin ticari işletmeler için kıymetli bir varlık ve ticari meta niteliği kazanması neticesinde özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşmış olması, Yabancı ülke istihbarat birimlerinin, terör ve suç örgütlerinin kişisel verileri ele geçirme veya bu sistemlere zarar verme yönündeki faaliyet ve saldırılarının artması,

18 Devlet Denetleme Kurulu Denetleme Raporu 779 Banka ve kredi kartı dolandırıcılıkları başta olmak üzere, kişisel verileri hedef alan veya bunlar kullanılmak suretiyle işlenen suç olaylarının artması gibi hususlar kişilerin mahremiyet alanını önemli derecede daraltmış ve kişisel verilerin korunması ihtiyacını en üst noktaya taşımıştır. Teknolojik ve demokratik gelişmişlik seviyelerine bağlı olarak ülkeler, 1970 lerden itibaren kişisel verilerin korunmasına yönelik kanuni düzenleme ve kurumsal yapıları oluşturma yönünde önemli adımlar atmaya başlamışlardır. Kişisel verilerin korunması alanındaki öncü düzenleme İsveç tarafında yapılmıştır. İsveç Veri Kanunu 1973 tarihlidir. Günümüzde kişisel veri koruma kanununa sahip ülke sayısı 99 a ulaşmıştır. Kişisel verilerin korunmasına ilişkin ulusal düzeydeki düzenlemelerin artması, özellikle kişisel verilerin korunması alanında yeterli düzenlemesi bulunmayan ülkelerle veri paylaşımı ve verilerin sınır ötesine aktarılmasında sorunlar yaşanmasına neden olmuştur. Ülkeler arasında veri paylaşımında yaşanan sıkıntılar ve sınırlamalar, uluslararası ticaretten vergilemeye, polisiye ve adli nitelikteki alanlara kadar pek çok işbirliği alanını olumsuz etkilemektedir. Bu nedenle, ülke düzeyinde kişisel hak ve özgürlükler alanının korunması kaygısının hâkim olduğu kişisel verilerin korunmasına yönelik düzenlemeler, uluslararası sistemin işlerliği için ülkelerin kişisel verilerin korunması sistemlerini uyumlaştırmalarını bir gereklilik haline getirmiştir. Dolayısıyla kişisel verilerin korunmasına ilişkin uluslararası düzenlemelere yönelik adımlarda, gelişen teknoloji ile birlikte artan kişisel verilerin korunması ihtiyacı yanında, uluslararası veri paylaşımı için ülke mevzuatlarının uyumlaştırılması ihtiyacı da önemli bir faktör olmuştur. Uluslararası düzeyde Avrupa Konseyi, Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD), Birleşmiş Milletler başta olmak üzere çeşitli uluslararası kuruluşlar kişisel veriler konusunda uluslararası nitelikte bağlayıcı olan veya olmayan sözleşme ve benzeri metinler üretmeye başlamıştır. Avrupa Birliği de, üye ülke mevzuat ve uygulamalarını uyumlaştırmaya yönelik olarak düzenlemeler yapmıştır. Kişisel verilerin korunması alanındaki ulusal ve uluslararası düzenlemelerin köşe taşlarını; kişisel verilerin korunması hakkının anayasal güvenceye kavuşturulması, kişisel verilerin temel ilkelere uygun olarak işlenmesi, kişisel verisi işlenen kişilerin haklarının kanun düzeyinde belirlenmesi, kişisel veri kütüğü sahiplerinin görev ve sorumlulukları ile kişisel verilerin korunması konusunda etkin rol alacak bağımsız, tarafsız ve teknik olarak yeterli veri koruma otoritesinin hayata geçirilmesi oluşturmaktadır. Kişisel verilerin işlenmesine ilişkin ilkeler, konunun nirengi noktasını oluşturmaktadır. Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin genel ilkeler aşağıdaki gibi sıralanabilir:

19 Devlet Denetleme Kurulu Denetleme Raporu 780 Hukuka ve dürüstlük kurallarına uygunluk, Veri minimizasyonu veya asgarilik, Amacın belirliliği, Verilerin doğru ve güncel olması, veri kalitesi, Verisi işlenen kişinin veriler üzerinde kontrolünün bulunması, Kişisel verilerin paylaşımının sınırlandırılması, Bilgi güvenliği ve sorumluluk, Hassas veriler için özel önlemler öngörülmesi. Kişisel verilerin korunması hakkı, demokratikleşme alanında mesafe alma çabaları, etkin kişisel veri koruma ortamının bulunmamasının uluslararası alanda bilgi değişiminde ortaya çıkardığı sorunlar, Avrupa Birliği ne uyum sürecinde İlerleme Raporlarında sürekli eleştiri konusu yapılması gibi nedenlerle Türkiye nin uzun yıllardır gündeminde bulunan bir konudur. Türkiye, kişisel verilerin korunması alanında ilk uluslararası belge olan Avrupa Konseyinin tarihinde imzaya açtığı 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşmeyi imzaya açıldığı gün imzalayan ilk ülkelerden birisidir. Günümüz itibariyle ise San Marino Sözleşmeyi imzalamayan, Türkiye ise imzalamasına rağmen onay sürecini işletmemiş tek ülke konumundadır. Sözleşmenin tarafların yükümlülüklerinin belirtildiği 4. maddesinde, taraflar kişisel verilerin korunmasına ilişkin temel prensiplerin iç hukukta uygulanmasını sağlayacak önlemleri bu Sözleşmenin ülkede yürürlüğe girmesinden önce almakla yükümlü tutulmuşlardır. Bu madde uyarınca, Sözleşmenin onaylanarak yürürlüğe konulabilmesi için, öncelikle Sözleşmenin İkinci Bölümünde yer alan temel prensiplerin iç hukukta uygulanmasını sağlayacak uygun önlemlerin alınması gerekmektedir. Bu kapsamdaki en önemli önlem, kişisel verilerin korunması alanını düzenleyen çerçeve bir kanuna sahip olunmasıdır. Türkiye de kişisel verilerin korunması alanını düzenleyen çerçeve bir kanun bulunmamaktadır yılından itibaren sürdürülen kişisel verilerin korunmasına ilişkin kanun hazırlama çalışmaları halen devam etmekte olup henüz kanun tasarısı, taslak halindedir tarihli ve 5237 sayılı Türk Ceza Kanunu nda kişisel verilerin korunmasına ilişkin hükümlere yer verilmiştir. Ancak, kişisel verilerin korunmasına yönelik çerçeve bir kanunun bulunmaması 5237 sayılı Kanun la getirilen ceza müeyyidesine bağlı korumaların hayata geçirilmesindeki etkiyi azaltmıştır.

20 Devlet Denetleme Kurulu Denetleme Raporu 781 Kişisel verilerin korunması hakkı tarihinde yapılan Anayasa Referandumu sonucunda kabul edilen tarih ve 5982 sayılı Kanun un 2. maddesi ile Anayasanın Kişinin Hakları ve Ödevleri başlıklı İkinci Bölümünde yer alan Özel hayatın gizliliği başlıklı 20. maddesine eklenen son fıkra ile Anayasa da güvence altına alınmıştır. Söz konusu fıkra hükmü, kişisel verilerin korunması hakkına ilişkin uluslararası belgelerde yer alan temel unsurları bünyesinde barındırması itibariyle önemli olup aşağıdaki gibidir: Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Söz konusu düzenleme, kişisel verilerin korunması hakkının temel ilkelerini ve kişilerin haklarını açıkça belirtmesi açısından önemlidir. Ancak, Anayasa ile güvence altına alınan bu hakkın etkin bir şekilde korunması açısından; kişisel veri, açık rıza ve benzeri tanımların, kişisel verilerin işlenmesinin genel ilke ve esaslarının, kişilerin haklarını korumalarına yardımcı olacak mekanizmaların ve ilgili kurum ve kuruluşların kişisel verilerin işlenmesi sırasında bu hakkın korunmasına aykırı davranışta bulunmamalarını sağlamak amacıyla gerekli ikincil düzenlemeleri ve denetimleri yapacak, şikâyetleri değerlendirecek, idari yaptırım uygulama yetkisine sahip kurumsal yapılanmanın ne şekilde olacağını belirleyen çerçeve bir kanunun bir an önce hukuk sistemimize kazandırılması ihtiyacı bulunmaktadır. Türkiye de kişisel verilerin korunması konusunun önem kazanması ve bu konuda bilgi sistemlerinin güvenliğinin öneminin ortaya çıkması ile birlikte, gerek mevzuat gerekse uygulama alanında yaşanan eksiklik ve aksaklıkların değerlendirilmesi ve alınması gerekli önlemlerin tespiti amacıyla; kamuya ait bilgi sistemlerinin bilgi güvenliği ve kişisel veri mahremiyeti açısından incelenmesi, bu kapsamda iç kontrol sistemlerinin yeterliliğinin denetimi görevi Cumhurbaşkanlığı Yüce Katı tarafından Devlet Denetleme Kuruluna tevdi edilmiştir. Bu görevlendirme kapsamında; yerli ve yabancı literatür taraması, ilgili kamu kurumlarından bilgi ve görüş alınması, seçilen bazı bilgi sistemleri üzerinde yerinde yürütülen denetim çalışmaları sonucunda işbu Rapor hazırlanmıştır. Raporda temel eksen kişisel verilerin korunmasıdır. Ancak kişisel verilerin korunması açısından önemli bir faktör olan bilgi güvenliği konusu da bu temel eksen çerçevesinde inceleme konusu yapılmıştır. Raporda öncelikle kavramsal ve teorik çerçeve üzerinde durulmuştur. Daha sonra Türkiye de bu alanda yürütülen çalışmalara da ışık tutması amacıyla, konuya ilişkin uluslararası