6698 Sayılı Kişisel Verilerin Korunması Kanununun 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü ve bu yükümlülük çerçevesinde nelerin yer alacağı ortaya koyulmuştur. Buna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veri sahibi ilgili kişiye; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle mükelleftir. İlgili sürece uygun olarak bir aydınlatma metni hazırlanması gerekmektedir.
Kanun çerçevesinde açık rıza ise, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır. Açık rızanın bu anlamda, rıza veren kişinin olumlu irade beyanını içermesi gerekmektedir. Açık rızanın, yazılı şekilde alınmasına gerek olmamakla beraber elektronik ortam ve çağrı merkezi gibi yollarla alınması da mümkündür.
Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerekmekte olup bu süreçlerin yerine getirildiğinin ispat yükümlülüğü ise veri sorumlusuna aittir. Bu nedenle KVKK uygulamasında, veri sorumlusunun ispatını sağlayacak mekanizmaların kurulması önem arz etmektedir.
Zaman Damgası Nedir?
Zaman damgası, meydana gelen herhangi bir olayın, gerçekleştiği tarih ve zaman belirtilerek tanımlanmasıdır. Zaman damgaları, çevrimiçi ortamda bilgi alışverişi yapıldığında, oluşturulduğunda veya silindiğinde kayıt tutmak açısından önemlidir. Ayrıca belgelerin sağlıklı saklanmasını ve hangi tarihte oluşturulduğunu ya da değiştirildiğini ispatlayacak bir çözümdür.
5070 sayılı Elektronik İmza Kanunu'nda zaman damgası "Bir elektronik verinin üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı” olarak tanımlanmıştır.
Zaman Damgasının Amacı Nedir?
Zaman damgasının asıl amacı veri doğrulamadır. Ve günümüz teknoloji dünyasında elektronik verinin doğruluğunu, bütünlüğünü ve değiştirilmediğini kanıtlayabilmek için geliştirilmiştir.
Bir sözleşmenin imzalandığı, paranın transfer edildiği, başvurunun yapıldığı tarih ve saati kanıtlama ihtiyacı, günümüz e-ticaret, e-devlet uygulamaları için önem taşımaktadır. Diğer bir yandan bir çizim, fotoğraf, araştırma, formül, algoritma gibi eserler üretilirken değerleri ve bu değerlerin fikri ve mülkiyet haklarını kanıtlamak ve doğrulamak için de kullanılmaktadır.
Bunun yanı sıra, siber saldırıdan sonra ortaya çıkartılabilecek delillerin ve adli bilişim çalışmalarının daha verimli kullanılabilmesi için de zaman damgaları sıklıkla kullanılır. Siber suçluların sistemlere erişimlerde kullandıkları yöntemler, sistemlere sızdıklarında elde ettikleri veriler ve işlenen suçun ortaya çıkartılması için loglama kayıtları önem taşımaktadır. Bu log kayıtlarının doğruluğunu, bütünlüğünü ve siber suçluların ortaya çıkartılabilmesi için elde edilen delillerin kanıt olarak sunulabilmesi için log kayıtları da zaman damgası ile güvene alınmalıdır.
Zaman Damgası Nasıl Çalışır?
Zaman damgası, iki prensibe göre çalışmaktadır. Bunlardan ilki, kullanıcının zaman damgası istemci programıyla zaman damgası eklemek istediği dosyayı seçmesidir. İkincisi ise zaman damgası programı ile dosyanın özetinin üretilip Kamu Sertifika Merkezi Zaman Damgası sunucusuna gönderilmesidir.
TÜBİTAK Zaman Damgası Sunucusu Saati, uydu kaynaklarıyla senkronizedir. Sunucu, dosya özetiyle zaman bilgisini birleştirerek bir veri oluşturur. Oluşturulan veri, Zaman Damgası Sunucusuna ait özel anahtar ile imzalanır. Zaman Damgası Sunucusu, damgayı istemci bilgisayarına gönderir ve zaman damgası istemci programı da damgayı bilgisayara kaydeder.
Bu şekilde eğer ileri bir zamanda dosyada değişlik yaparsanız, imzalanmış olan özet değeri, dosyanın kendisiyle eşleşmeyeceğinden dosyanın değiştirildiği anlaşılabilecektir.
Zaman Damgasının Delil Niteliği?
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’in 5. maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Kişisel Verileri Koruma Kurumu’nun 30 Ocak 2018 tarihli Açık Rıza isimli kitapçığında ise açık rızanın yazılı olmasının şart olmadığı ancak rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu belirtilmiştir.
İspat yükü ise Hukuk Muhakemeleri Kanunu’nun 190. maddesinde Türk Medeni Kanunu’nun 6. maddesine paralel şekilde düzenlenmiş olup, iddia edilen vakıaya bağlanan hukuki sonuçtan lehine hak elde eden taraf ispatla yükümlüdür. HMK 194. maddede de vakıaları somutlaştırma yükü getirilmiştir. Buna göre taraflar, dayandıkları vakıaları ispata elverişli şekilde somutlaştırmalıdırlar. Elektronik İmza Kanunu ile tanımlanan ve yasal geçerliliği bulunan bir zaman bilgisi elde etmeye yarayan Zaman Damgalarının kullanılması ile ileride doğabilecek hukuki ihtilaflarda veri sorumlusunun ispat külfeti kalmamaktadır.
KVK Uyum Yazılımlarında Zaman Damgası
Piyasada loglama ve zaman damgası üzerinde geliştirilen yazılımlar bulunmaktadır. Geliştirilen bu uygulamaların 5070 Sayılı Elektronik İmza Kanunu kapsamında Bilgi Teknolojileri ve İletişim Kurumu’ndan tarafından yetkilendirilen Elektronik Sertifika Hizmet Sağlayıcısı olarak hizmet veren kurumlar üzerinden imzalanması gerekmektedir.
Kamu SM üzerinde resmi olarak damgalanmadan kripto veyahut benzeri bir işlemle güvene alındığı iddia edilen sistemlerin resmi geçerliliği bulunmamaktadır. Bu noktada loglama hizmeti sunan veya sunduğunu iddia eden güvenlik ve loglama ürünleri ile KVK Uyum Yazılımları’nın resmi olarak yetkili kurumlarla bu işlemi gerçekleştirdiğinden emin olunması gerekmektedir.
BTK tarafından onaylanan mevcut Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise; TUBİTAK-UEKAE (Kamu Sertifikasyon Merkezi), Elektronik Bilgi Güvenliği A.Ş. (E-Güven), TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş, EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.(E-Tugra), Emniyet Genel Müdürlüğü Sertifikasyon Merkezi (EGMSM), E-İmza Bilgi Güvenliği Hizmetleri A.Ş.(e-İmzaTR)’dir.
İzah etmeye çalıştığımız üzere, meslektaşlarımızın veya VERBİS’e kayıt zorunluluğu olan gerçek ve tüzel kişilerin bir KVK Uyum Yazılımı ile çalışmak istediklerinde, belirttiğimiz niteliklere haiz yazılımları tercih etmeleri önemlidir. Bu şekilde, alınan tüm rıza beyanları ve beyana konu olan evrakların zaman damgası ile damgalanmasıyla kullanıcı onayı şüpheye yer bırakmayacak şekilde kayıt altına alındığından, taraflar ispat külfetinden de kurtulacaklardır.
Av. Nagihan Merve AKASLAN
İstanbul Barosu