- Giris ve Yönetici Özeti
Ulusal Siber Güvenlik Stratejisi ve Eylem Plani (2020-2023), Ulastirma ve Altyapi Bakanligi tarafindan 29 Aralik 2020 tarihinde yayinlandi. Kritik altyapilar ile ilgili bu altyapilarin korunmasi ve mukavemetin artirilmasi ile ilgili olarak yapilacak çalismalarda yurt içinde üretilen verilerin yurt içinde kalmasi gibi konularin kilit bir rol oynayacagi vurgulandi.
Öte yandan, verilerin Türkiye'de depolanmasi yükümlülükleri açisindan 2019/12 sayili Bilgi ve Iletisim Güvenligi Tedbirleri konulu Cumhurbaskanligi Genelgesi ("Genelge") 6 Temmuz 2019 tarihinde Resmi Gazete'de yayimlanarak yürürlüge girmisti. Genelge ile de bilginin dijitallesme sürecinde meydana gelebilecek ciddi güvenlik risklerinin azaltilmasi ve etkisiz kilinmasi ile özellikle kritik türdeki verilerin güvenliginin saglanmasi amaçlanmisti. Genelge ile düzenlenen en önemli konulardan biri, nüfus, saglik ve iletisim kayit bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin Türkiye içinde güvenli bir sekilde depolanmasi yükümlülügüdür. Bu bir aktarim yasagi olarak degerlendirilmemekte, daha çok erisilebilirligi temin etmek için ilgili verilerin yedeginin Türkiye'de de bulunmasi (depolama) gerekliligi olarak da yorumlanmaktadir.
Her ne kadar Genelge kamu kurum ve kuruluslari ile kritik altyapi niteliginde hizmet veren isletmelere yönelik olsa da etkisibu kurum ve isletmelere hizmet veren özel hukuk tüzel kisilerini de kapsayacak sekilde uygulama alani bulacaktir. Dolayisiyla, Genelge'nin verilerin yurt içinde depolanmasina iliskin yükümlülükleri, kamu kurum ve kuruluslari ile kritik altyapi niteliginde hizmet veren isletmelerin tedarikçileri ve is ortaklari açisindan da dolayli olarak uygulanmaktadir. Örnegin, Genelge'nin 3. maddesi uyarinca kamu kurum ve kuruluslarina ait verilerin, kurumlarin kendi özel sistemleri veya kurum kontrolündeki yerli hizmet saglayicilar hariç bulut depolama hizmetlerinde saklanmamasi gerekmektedir. Bu kapsamda, Genelge uyarinca herhangi bir kamu kurumuna hizmet sunan özel hukuk kisilerinin bu kuruma sunabilecegi bulut hizmetleri açisindan yurt içinde bir sunucu bulundurmasinin sart oldugu sonucuna ulasilabilmektedir. Ayrica Genelge'nin 6. Maddesi uyarinca sosyal medya ve haberlesme uygulamalarina ait yerli uygulamalarin kullanimi tercih edilmesi de düzenlenmistir.
Bununla birlikte, Genelge'nin uygulanabilirligi ve niteligi hakkinda tartismalar da mevcuttur. Genelge'nin ve Genelge'de belirtilen ilgili tedbirlerin uygulama seklini ortaya koymak üzere Cumhurbaskanligi Dijital Dönüsüm Ofisi ("DDO") tarafindan hazirlanan Bilgi ve Iletisim Güvenligi Rehberi'nin ("Rehber") güvenlik standartlari açisindan bir kilavuz niteligi tasidigi ve baglayici olmadigi da degerlendirilebilmektedir.
Ulusal Siber Güvenlik Stratejisi ve Eylem Plani (2020-2023) çerçevesinde verilerin yurt içinde tutulmasi ve aktariminin sinirlandirilmasina yönelik ek düzenlemelerin de gündeme gelebilecegi konusulmaktadir. Bir yandan da Kisisel Verileri Koruma Kurumu'nun kisisel veriler özelinde Kisisel Verilerin Korunmasi Kanunu'nun yurt disi aktarimini Avrupa Veri Koruma Tüzügü'ne kiyasen daha agir sartlarda sinirlandiran 9. maddesi özelinde çalisma yaptigi da duyulmaktadir. Kurumun Kanun'da düzenlenmeyen ancak kuruma verilen yetki kapsaminda Türkiye'de de kabul edilen baglayici sirket kurallari gibi mekanizmalar ve alternatifler üretebilmesi de mümkün olabilir.
Belirli sektörler bakimindan verinin yurt içinde depolanmasi yönündeki mevzuatin yaninda, Genelge ile daha genel olarak veri kategorileri bazinda getirilen yükümlülük bu yönde özel bir korumanin saglanmak istendigine isaret etmektedir. Veri aktarimi, lokalizasyon ve verinin ikameti ile ilgili gelismelerin Türkiye'de ne yöne evrilecegi büyük bir merak konusu.
- Bilgi Güvenligi'nde Güncel Gelismeler: Bilgi ve Iletisim Güvenligi Rehberi
Genelge'de kamu kurum ve kuruluslari ile kritik altyapi niteliginde hizmet veren isletmelerde uygulanmak üzere farkli güvenlik seviyeleri içeren Rehber'in DDO Baskanligi koordinasyonunda hazirlanacagi ve yayinlanacagi belirtilmektedir. Bu kapsamda, Rehber, 24.07.2020 tarihinde onaylanmis ve DDO internet sitesinde yayinlanmistir.
Rehber, verilerin güvenligini saglamak için alinmasi gereken detayli eylem ve önlemlerden olusan kapsamli bir kilavuz olmasinin yani sira sirketlerin uyum çalismalari sirasinda kullanabilecekleri çesitli ekler ve ayrintili sablonlara da yer vermektedir. Öte yandan, Rehber'de bahsedilen çogu husus, sektörden aldigimiz geri bildirimler çerçevesinde genellikle bilinen teknik konular ve idari önlemlerle ilgilidir. Yine de basta kapsamdaki kurum ve isletmecilerin, dolayli olarak da bu kurum ve isletmecilere hizmet veren üçüncü kisilerin Rehber'de öngörülen zaman çizelgesini göz önüne almasi ve iç süreçlerini mümkün mertebede Rehber'e paralel sekilde düzenlemesi önerilmektedir.
Rehber'de yer alan zaman çizelgesinin takip edilmesi açisindan Rehber'in yayim tarihinden itibaren 6 ay içerisinde isletmelerin bünyeleri dâhilindeki varlik gruplarini belirlemeleri ve kritiklik derecelendirme ve bosluk analizlerini gerçeklestirmeleri gerekmektedir. Bu analiz sonrasinda Rehber'e uyumlu hale gelmek adina izlenmesi gereken adimlarin yer alacagi uygulama yol haritasi da yine ilk 6 aylik süre içinde hazirlanmalidir. Bu süre, kamu kurum ve kuruluslari ile kritik altyapi niteliginde hizmet veren isletmeler açisindan 31.01.2021 tarihinde sona ermistir.
Alti aylik sürenin ardindan kritiklik derecesi 1 olarak belirlenen varlik gruplarina iliskin tedbirlerin kritiklik derecelendirme ve bosluk analizinden itibaren en geç 12 ay içerisinde (Rehber'in yayin tarihinden itibaren en geç 18 ay içerisinde), kritiklik derecesi 2 olarak belirlenen varlik gruplarina iliskin tedbirlerin ise kritiklik derecelendirme ve bosluk analizinden itibaren en geç 15 ay içerisinde (Rehber'in yayin tarihinden itibaren en geç 21 ay içerisinde) ve kritiklik derecesi 3 olarak belirlenen varlik gruplarina iliskin tedbirlerin ise kritiklik derecelendirme ve bosluk analizinden itibaren en geç 18 ay içerisinde (Rehber'in yayin tarihinden itibaren en geç 24 ay içerisinde) uygulamaya konulmasi gerekmektedir. Tedbirler ve ne sekilde uygulanacagi konusunda da Rehber'de detayli düzenlemeler bulunmaktadir.
Genelge'ye ek olarak Rehber'de de verilerin yurt içinde depolanmasi ve aktarimina temas eden düzenlemeler de bulunmaktadir. Örnegin, Genelge'de kamu kurum ve kuruluslarina yönelik olarak bulut hizmeti kullaniminda 'kamu kurum ve kuruluslarina ait veriler, kurumlarin kendi özel sistemleri veya kurum kontrolündeki yerli hizmet saglayicilar hariç bulut depolama hizmetlerinde saklanmayacaktir' düzenlemesi yurt disina veri aktarimina engel olarak da yorumlanabilirken Rehber'de de bulut hizmeti kullaniminda 'kritik verilerin yurt içinde depolandigi ve yurt disinda barindirilmayacaginin garanti altina alinmasi' gerekliliginden bahsedilmistir. Bu kamu kurum ve kuruluslarina hizmet veren tedarikçiler açisindan sonuçlari olabilecek bir düzenlemedir. Yine operatörler açisindan da yurt içi iletisim trafiginin ülke sinirlari içerisinde kalmasinin saglanmasi, bu trafigin ve abone kayitlarinin yurt disina çikarilarak tekrar yurt içine yönlendirilmesinin engellenmesi ile bulut ortami güvenligini temin etmek üzere sunuculara erisimde trafigin yurt içinde kalmasina yönelik tedbirlerin uygulanmasi gerektigi vurgulanmaktadir.
Genelge, ayrica kurum ve kuruluslarin, Rehber'in uygulanmasina iliskin denetim mekanizmalarini olusturmasini ve yilda en az bir defa uygulamayi denetleyemesini öngörmektedir. Denetim sonuçlan ile yapilan düzeltici ve önleyici faaliyetler, Rehber'de belirtilen usul ve esaslara göre bir rapor halinde DDO'ne iletilmelidir. Ne var ki, yayinlanan Rehber'de bahsi geçen denetim faaliyetlerinin DDO'nin internet sitesinde yayinlanacak Bilgi ve Iletisim Güvenligi Denetim Rehberi esas alinarak yürütülecegi belirtilmis, ancak henüz bir denetim rehberi yayinlanmamistir.
- Aykirilik Halinde Uygulanabilecek Yaptirimlar
Genelge'de tüm kamu kurum ve kuruluslari ile kritik altyapi hizmeti veren isletmelerde yeni kurulacak bilgi sistemlerinin Rehber'e uygun olmasi zorunlulugundan bahsedilmistir. Ayrica DDO, söz konusu tedbirlere uyulmamasi nedeniyle bir zafiyet olusmasi durumunda hâlihazirda ilgili mevzuatta belirlenen yaptirimlarin geçerli oldugunu belirtmektedir. Genelge ve Rehber, özel olarak ayri bir yaptirim öngörmemektedir, zaten bu sekilde bir yaptirimin düzenlenmesi de hukuken beklenmemektedir.
Kamu kurum ve kuruluslarinda çalisan memurlar açisindan Türkiye Cumhuriyeti Anayasasi'nin, 657 sayili Devlet Memurlari Kanunu'nun uygulama alani bulabilecegi açiktir. Memurlarin ve kamu görevlilerinin bu kapsamda hem devlete hem de kisilere karsi sorumluluklari olabilir. Bu husus, kamu ve kurumlarinin iç süreçlerini organize etmelerini ve alacagi hizmetlere yönelik olarak tedarikçilerden bekleyebilecegi taahhütleri etkileyebilir.
Kritik altyapi isletmeleri özelinde ise tabi olduklari mevzuat kapsaminda bilgi güvenligi ile ilgili yaptirimlar uygulanabilir. Dolayisiyla düzenleyici ve denetleyici kurumlarin, bilgi güvenligi konusunda Genelge ve Rehber'i dikkate alarak ikincil mevzuatlarinda bazi degisiklikler yapabilmesi de gündeme gelebilir. Bunun yaninda Genelge ve Rehber'e uyuma yönelik yaptirimlar genel olarak da ayrica düzenlenebilir. Ilgili kritik sektörün düzenlenmesi ve denetlenmesinden sorumlu düzenleyici ve denetleyici yetkili kurumlar veya DDO tarafindan gerçeklestirilebilecek bir denetimde Genelge ve Rehber'e bir aykiriligin söz konusu olmasi halinde ilgili kurumlarca hazirlanmis bilgi güvenligine iliskin yönetmelikler ve diger ilgili mevzuat hükümleri uyarinca idari yaptirimlar uygulanabileceginin de alti çizilmelidir.
Ayrica, Genelge'de Rehber'in ihtiyaçlar, gelisen teknoloji, degisen sartlar ile ulusal siber güvenlik stratejisi ve eylem planlarinda yapilabilecek degisiklikler göz önünde bulundurularak güncellenebilecegi de belirtilmektedir.
Bazi kritik sektörler açisindan ise Genelge ve Rehber'de düzenlenen hususlar yeni degildir. Örnegin, elektronik haberlesme operatörlerinin tabi oldugu mevzuat açisindan olasi yaptirimlara dayanak teskil edebilecek hükümler 5809 sayili Elektronik Haberlesme Kanunu, Bilgi Teknolojileri ve Iletisim Kurumu Idari Yaptirimlar Yönetmeligi ve Kamu Kurum ve Kuruluslari ile Gerçek ve Tüzel Kisilerin Elektronik Haberlesme Hizmeti Içinde Kodlu veya Kriptolu Haberlesme Yapma Usul ve Esaslari Hakkinda Yönetmelik içerisinde yer alabilmektedir ve bu düzenlemeler ile Bilgi Teknolojileri ve Iletisim Kurumu'nun diger ikincil düzenlemeleri de Genelge ve Rehber'e paralel ya da benzer veri güvenligi önlemlerinin alinmasini zorunlu kulmaktadir. Bu bakis açisiyla, elektronik haberlesme isletmelerinin mevcut uygulamalari da genellikle Genelge ve Rehber'in öngördügü tedbirlere uygundur. Yine de gelismelerin takip edilmesi yararli olacaktir. Örnegin, Elektronik Haberlesme Sektöründe Kisisel Verilerin Islenmesi ve Gizliligin Korunmasina Iliskin Yönetmelik 4 Haziran 2021 tarihinde yürürlüge girecek sekilde degistirilmistir. Yeni yönetmelik, eski yönetmeligin aksine kisisel verilerin kural olarak yurtdisina aktarimini engellememektedir ve açik riza ile aktarimi mümkün kilmaktadir. Genelge'de haberlesme hizmeti saglamak üzere yetkilendirilmis isletmecilerin Türkiye'de internet degisim noktasi kurmakla yükümlülügü oldugu belirtilmekte yurt içinde degistirilmesi gereken yurt içi iletisim trafiginin yurtdisina çikarilmamasina yönelik tedbirler alinacagi düzenlenmektedir. Bu düzenleme, kritik veriler ile ilgili olan yurt içinde depolama yükümlülügünün ötesinde yurt disina aktarimi da sinirlandiran bir düzenleme olarak görülebilmektedir. Öte yandan yeni Elektronik Haberlesme Sektöründe Kisisel Verilerin Islenmesi ve Gizliligin Korunmasina Iliskin Yönetmelik'te milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt disina çikarilmamasinin esas oldugu belirtilse de trafik ve konum verilerinin dahi yurt disina aktariminin söz konusu olabilecegi durumlar da yok sayilmamistir. Isletmecilerin trafik ve konum verilerinin üçüncü taraflara aktariminin söz konusu oldugu durumlar için ilgili üçüncü tarafin yurt disinda olmasi halinde verinin aktarilacagi ülkenin adini da abonelere açiklayarak abonenin açik rizasi ile verileri yurt disina da aktarabilecegi düzenlenmektedir. Elektronik haberlesme isletmecilerinin Genelge ve Rehber'in kapsaminda oldugu açiktir, bu çerçevede Genelge ve Rehber'in bu isletmeciler özelinde Elektronik Haberlesme Sektöründe Kisisel Verilerin Islenmesi ve Gizliligin Korunmasina Iliskin Yönetmelik ile birlikte nasil uygulanacagi da yakin sekilde takip edilmelidir.
Yine kritik sektör olarak belirlenmis bir diger sektör olan finans sektöründe de bilgi güvenligi açisindan Genelge ve Rehber'e uygun bir güvenlik düzeyinin temin edilmedigi durumlarda gerek Bankacilik Düzenleme ve Denetleme Kurumu'nun Bankalarin Iç Sistemleri ve Içsel Sermaye Yeterliligi Degerlendirme Süreci Hakkinda Yönetmelik ve Bankalarin Bilgi Sistemleri ve Elektronik Bankacilik Hizmetleri Hakkinda Yönetmelik gerekse de Finansal Kiralama, Faktoring ve Finansman Sirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine Iliskin Teblig, ilgili isletmelere uygulanabilir. Nitekim diger kritik sektörler olan enerji, ulastirma ve su yönetimi sektörleri açisindan da bakanliklar ve ilgili düzenleyici kurum ve kuruluslar nezdinde bu sektörlerde hizmet veren yetkili özel hukuk kisilerinin de Genelge ve Rehber'e uygun olarak bilgi güvenligi süreçlerini düzenlemeleri yararli olacaktir. Zira, bu sektörlerde de genel olarak bilgi ve veri ile altyapi güvenligine yönelik ikincil düzenlemeler Genelge ve Rehber'e aykiriliklari halinde yaptirim uygulanmasina neden olacak sekilde yorumlanabilir.
Son olarak, her ne kadar hem Genelge'nin hem de Rehber'in kamu kurumlari tarafindan uygulanip uygulanmadigi konusunda bazi süpheler olsa da bakanliklarin konudan haberdar oldugu ve kamu kurumlarinin tedarikçilerinin bu düzenlemeye uyumunu saglamaya yönelik bazi önlemler alabildikleri görülmektedir. Örnegin, Genelge ve Rehber'in dogrudan uygulanmadigi özel hukuk tüzel kisileri de kamu ve kuruluslarina verdikleri hizmetler kapsaminda bu tedbirlere uyumlarini taahhüt ettikleri sözlesmesel yükümlülükler altina girebilmektedir. Yaygin bir uygulamaya basladigini gözlemledigimiz üzere böyle bir taahhüdün ihale süreçleri içerisinde verilmesi, kritik altyapi niteliginde hizmet vermeseler dahi özel hukuk kisilerinin ve sirketlerin Genelge ve Rehber'e uygun hareket etmedikleri mal ve hizmet tedariki süreçlerinde ihalelerden yasaklanmasi sonucunu dahi dogurabilecegi için ciddi bir zarara yol açabilir.
Sonuç
Genelge ve Rehber'in özel hukuk kisileri üzerindeki baglayiciligi ise uygulama ve doktrinde oldukça tartismalidir. Genel olarak genelgeler, idare tarafindan, alt idari birimlere ya da idare edilenlere yönelik olarak, üst hukuk kuralinin nasil yorumlanabilecegini ya da üst hukuk kuralinin ne sekilde uygulanmasi gerektigini ifade eden düzenlemelerdir. Çesitli Danistay kararlarinda da ifade edildigi üzere genelgelerin hukuk âlemine yeni bir unsur katmamasi, mevcut kurallari açiklayici nitelik tasimasi ve en önemlisi de ilgililerin sübjektif haklarini, menfaatlerini ihlal etmemesi daha uygundur.
Genelge ve Rehber'in veri lokalizasyonu ya da veri aktarimini sinirlandiracak sekilde genis kapsamli olarak uygulanmasi bu çerçevede farkli tartismalara da yol açabilecektir. Örnegin, kanun mertebesindeki bir düzenleme olan Kisisel Verilerin Korunmasi Kanunu kapsaminda yurtdisi aktarimi belirli sartlarin varligi halinde ya da her durumda kisisel verisi islenen kisinin açik rizasi ile mümkünken bu düzenlemenin sagladigi imkanlarin Genelge ya da Rehber'in uygulanmasi yoluyla sinirlandirilmasi, Genelge ve Rehber'in geçerliligini ve yine bu kapsamda uygulanabilecek yaptirimlarin hukuka uygun olup olmadigini da tartismaya açacaktir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
