İnternet ve veri güvenliğine yönelik bazı yasalar nelerdir?

İnternet yasası nedir?

Bazen siber yasa olarak da adlandırılan İnternet yasası, İnternet kullanımını yöneten yasal ilkeleri ve düzenlemeleri ifade eder. İnternet yasaları aşağıdakilere bağlı olarak her zaman açık ve anlaması kolay değildir:

• İnternet nispeten yeni olduğundan ve gelişmeye devam ettiğinden, yasal çerçeveler buna ayak uydurmakta zorlanabilir.
• İnternet yasaları sıklıkla, gizlilik yasaları ya da sözleşme yasaları gibi farklı alanlardan ilkeleri alıp uygular. Bunlar İnternetten daha eski tarihlidir ve yoruma açık olabilirler.
• Çevrimiçi gizliliği düzenleyen tek bir yasa yoktur. Bunun yerine bir yığın federal ve eyalet düzeyinde yasa geçerlidir. Ayrıca dünyanın farklı yerlerindeki farklı yargı bölgeleri, İnternet gizliliği yasalarının nasıl uygulanacağını farklı yorumlayabilir.

Avrupa Birliği'nin GDPR – Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) olarak bilinen kapsayıcı bir veri güvenliği yasası vardır. Buna karşın, ABD'de merkezi federal düzeyde bir İnternet güvenliği yasası yoktur. Bunun yerine, farklı eyaletlerde birkaç dikey odaklı federal gizlilik yasası ve birkaç tüketici odaklı gizlilik yasası bulunur. Bu genel bakışta, bilmeniz gereken bazı kritik İnternet güvenliği yasaları incelenmiştir.

1974 ABD Güvenlik Yasası (US Privacy Act of 1974)

1974 Güvenlik Yasası, İnternet'ten önce çıkarılmış olsa da, ABD'de veri ve İnternet gizliliğin kapsayan birçok yasanın temeli olduğu tartışmasızdır. Yasa, ABD hükümeti kurumlarının bilgisayar veri tabanlarında tutulan kişisel veri miktarı dikkate alınarak yürürlüğe koyuldu. Yasa şunları kapsıyordu:

• ABD vatandaşlarının hükümet kurumları tarafından tutulan verilere erişme ve bu verilerin kopyasına sahip olma hakkı.
• Vatandaşların tüm bilgi hatalarını düzeltme hakkı.
• Kurumların yalnızca amaca ulaşmak için ilgili ve gerekli olan minimum bilgi miktarını toplaması gereği.
• Verilere erişimin "bilinmesi gerekenler" temelinde kısıtlanması.
• Federal (ve federal olmayan) kurumlar arası bilgi paylaşımının kısıtlanması (ör. buna yalnızca belirli koşullarda izin verilmesi).

Ancak İnternetin icat edilmesiyle gizlilik tanımı değişti ve elektronik iletişimlerle ilgili yeni veri güvenliği yasalarının yürürlüğe konması gerekti.

Federal Ticaret Komisyonu Yasası (Federal Trade Commission Act)

1914 Federal Ticaret Komisyonu Yasası, ABD Federal Ticaret Komisyonunun kurulmasını sağladı ve adil olmayan rekabet yöntemlerini ve ticareti etkileyen adil olmayan uygulamaları yasa kapsamı dışında tutmak üzere tasarlandı.

GünümüzdeFTC, web sitelerinin gizlilik ilkelerine eklenmesi gereken bilgileri açık şekilde düzenlemese de, yetkisini kullanarak düzenlemeler çıkarır, gizlilik yasaları uygulamaya koyar ve tüketicileri korur. Örneğin FTC, aşağıdakileri yapan kuruluşlara karşı harekete geçebilir:

• Yayınlanan bir gizlilik ilkesini uygulamama.
• Gizlilik ilkesinde gerekli şekilde belirtilmemiş bir yolla kişisel bilgileri aktarma.
• Tüketicilere karşı ve gizlilik ilkelerinde, doğru olmayan gizlilik ve güvenlik beyanlarında bulunma. 
• Uygun güvenlik önlemleri uygulamaya koymama ve bunları sürdürmeme.
• Kuruluşun sektörü için geçerli olabilecek öz denetim ilkelerini uygulamama.

FTC, İnternet düzenlemesinde rol oynar ve özellikle önde gelen teknoloji ve sosyal medya şirketlerinin topladıkları tüketici verileriyle ilgili yanıltıcı temsilleri inceler. Örneğin, daha önce FTC Facebook'un tüketici verilerini kullandığına ilişkin şikayetleri incelemiştir.

Çocukların Çevrimiçi Gizliliğini Koruma Yasası

COPPA olarak da bilinen 1998 Çocukların Çevrimiçi Gizliliğini Koruma Yasası bir ABD federal yasasıdır. Amacı, küçük çocuklarından çevrimiçi ortamda toplanan bilgilerin kontrolünü ebeveynlere vermektir. COPPA, çocuklardan kişisel bilgi toplayan 13 yaş altındaki çocuklara yönelik ticari web sitesi ve çevrimiçi hizmet operatörleri (mobil uygulamalar ve Nesnelerin İnterneti cihazları gibi) için geçerlidir.

COPPA'nın temel gereksinimlerinden bazıları şunlardır:

• 13 yaş altındaki çocuklara yönelik web siteleri, uygulamalar ve çevrimiçi araçların, çocuklardan bilgi toplamadan önce bilgilendirme yapması ve ebeveynlerin onayını alması gerekir.
• Açık ve kapsamlı bir gizlilik ilkesine sahip olmaları gerekir.
• Çocuklardan aldıkları tüm bilgileri güvende tutmaları gerekir.

Yasanın çıkışı İnternet'in ilk zamanlarına dayansa da, özellikle sosyal medya ve programatik reklamlar çağında daha önemli hale gelmiştir. COPPA'da temel soru, bir sitenin 13 yaş altındaki çocuklara "yönelik" olma derecesinin ne olduğuna yanıt vermektir. ABD'de Federal Ticaret Komisyonu, siteleri aşağıdakiler gibi çeşitli kriterleri temel alarak değerlendirir:

• Konu
• İçerik
• Animasyonlu karakterlerin kullanılması
• Çocuklara yönelik etkinliklerin veya teşviklerin kullanılması
• Modellerin yaşı
• Çocuk ünlülerin veya çocukların ilgisini çeken ünlü kişilerin varlığı
• Sitelerde çocuklara yönelik reklamlar

Bazı web siteleri veya hizmetler, COPPA düzenlemelerine uymaktan kaçınmak için kullanıcılarını yaşlarına göre eler. Örneğin, iş modelleri kullanıcı verilerini toplamaya ve bundan gelir sağlamaya dayanan birçok sosyal ağ, kayıtlı kullanıcılar için minimum yaşı 13 olarak belirlemiştir.

COPPA'nın yanıtlanmasını istediği bir diğer soru da, "kişisel bilgilerin toplanmasına" yöneliktir. Adların, adreslerin ve fotoğrafların toplanması bu kategoriye girer. Ancak web siteleri ve uygulamalarda kullanıcı davranışlarını izleyen (COPPA altında bu da kişisel bilgi toplama olarak değerlendirilir) davranış reklamlarının durumu o kadar açık değildir. Bu davranış reklamlarına üçüncü taraf bir sağlayıcı hizmet veriyor da olsa bunlar çocukları hedef alan bir web sitesinde görüntüleniyorsa bu reklamlardan web sitesi sahibi sorumludur. Davranış reklamları İnternet ekosisteminin çok büyük bir kısmını oluşturduğundan, bunun çocukları hedef alan web siteleri için çok önemli sonuçları olduğu açıktır.

Kaliforniya Tüketici Gizliliği Yasası

Kaliforniya Tüketici Gizliliği Yasası ya da CCPA, 2018 yılında yasalaştırıldı. Amacı, Kaliforniya'da ikamet eden tüketicilerin gizliliğini sağlamak üzere, İnternette tüketici gizliliği korumasının kapsamını artırmaktı. ABD'de en kapsamlı İnternet odaklı veri gizlilik yasası olarak değerlendirilen CCPA'nın federal düzeyde bir eşdeğeri bulunmamaktadır.

AB'nin GDPR'si gibi, tüketicilere verilerine erişme hakkı vermesinin yanı sıra, istedikleri zaman verilerini silme ve bunların işlenmesine izin vermekten vazgeçme hakkı da verir. Ancak CCPA, GDPR'den farklı olarak tüketicilere hatalı kişisel verilerini düzeltme hakkı vermez. GDPR ek olarak tüketicilerin kendi verilerini teslim ettiği noktada açık onay vermesini de gerektirir. Bundan farklı olarak CCPA, yalnızca web sitelerinde tüketicileri belirli verilerin toplanmasına izin vermeme hakları olduğu konusunda bilgilendiren bir gizlilik beyanı bulunmasını gerektirir. CCPA'nın diğer unsurları şunları içerir:

• Tüketiciler, veri sahibi erişim talebi aracılığıyla verilerine erişme hakkına sahiptir.
• İşletmeler web bildirimi sağlamadan ve izin vermeme imkanı sunmadan tüketicilerin kişisel bilgilerini satamaz.
• Tüketiciler veri ihlali saldırısına maruz kalmaları halinde kısıtlı dava açma hakkına sahiptir.
• Eyalet Adalet Bakanlığı'nın eyalet sakinleri adına şirketleri dava etmeye yönelik daha kapsamlı bir yetkisi bulunur.

CCPA'nın kişisel bilgi tanımı geniştir: "Belirli bir tüketiciyi veya haneyi doğrudan ya da dolaylı olarak tanımlayan ya da bunlarla ilgili olan, özdeşleştirilebilecek olan, ilişkilendirilebilecek olan veya makul ölçüde bağ kurulabilecek olan bilgiler". Bu, GDPR'nin kişisel verileri kapsamlı şekilde ele alma şekliyle benzerdir.

Genel Veri Koruma Yönetmeliği

AB'nin Genel Veri Koruma Yönetmeliği olan GDPR, 2018'de yürürlüğe girmiştir. Avrupa Birliği'nde yaşayan kişilerden kişisel bilgilerin toplanmasına ve işlenmesine yönelik kuralları belirleyen yasal bir çerçevedir. GDPR'nin kapsamı web sitelerinin merkezinin neresi olduğunu dikkate almaz, yani Avrupalı ziyaretçileri çeken tüm siteler bu yasaya uymak zorundadır. GDPR dünyadaki en katı veri güvenliği yasalarından biri olarak görülür.

GDPR, web sitesi kullanıcılarının sitenin topladığı veriler hakkında bilgilendirilmesi gerektiğini ve kullanıcıların, bu verilerin toplanması konusunda açık onay vermesi gerektiğini belirtir. Bu yüzden birçok web sitesinde, kullanıcıların çerezleri (site ayarları ve tercihler gibi kişisel verileri saklayan küçük dosyalar) onaylayıp onaylamadığını soran açılır pencereler bulunur.

GDPR'nin temel özellikleri şunları içerir:

• Tüketiciler, verilerinin nasıl toplanıp kullanıldığını bilme hakkına sahiptir.
• Tüketiciler, haklarında toplanan bilgilerin ne olduğunu web sitelerine sorabilir (ücret ödemeden).
• Tüketici verilerinde hata olması halinde, bunların düzeltilmesini talep edebilirler.
• Tüketiciler, verilerinin kayıtlardan silinmesini talep edebilir.
• Tüketiciler, verilerinin işlenmesini (örneğin pazarlama amacıyla) reddetme hakkında sahiptir.
• Siteler kullanıcıları verilerinin ele geçirilmesi ya da ihlal edilmesi durumunda bilgilendirmelidir.

Avrupa Komisyonu, resmi web sitesinde GDPR'yi ayrıntılı şekilde açıklamaktadır. Büyük şirketlere, GDPR ihlallerine bağlı ciddi cezaların verildiği olaylar olmuştur. Bunlardan biri, kullanıcılardan yeni Android telefonlarını kurarken bazı önemli bilgilerin gizlenmesi (ve sonucunda kullanıcıların kabul ettikleri veri toplama ilkelerinden haberdar olmaması) yüzünden Google'a verilen 57 milyon dolarlık cezadır. Diğeri ise bir saldırı sonucunda 500.000 müşterinin rezervasyon kaydının çalınması yüzünden British Airways'e verilen 28 milyon dolarlık cezadır.

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (Health Insurance Portability and Accountability Act)

1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası ya da HIPAA, veri güvenliği ve güvenlik bölümleri de dahil, sağlık sigortasının düzenlemesine odaklanan bir ABD federal yasasıdır. Sağlık hizmeti çalışanlarının, işletmelerin ve bünyelerinde çalışan kişilerin, tüketicilerin sağlık bilgilerini izinlerini almadan açıklamasını engeller.

İnsanlar HIPAA hakkında konuştuklarında, genellikle 2003 yılında yürürlüğe giren Gizlilik Kanunu hükmüne atıfta bulunurlar. Bu kanunun yürürlüğe koyulmasının bir nedeni, ABD Kongresi'nin İnternetin sağlık gizliliği ihlallerinin gerçekleşmesi ihtimalini artırdığını kabul etmesiydi. HIPAA'nın Gizlilik Kanunu, tüketicilere sağlık bilgilerinin açıklanmasını kontrol etme hakkı tanır ve böylece tüketicilerin sağlık hizmetleri sağlayıcılarının paylaşabileceği bilgilerini belirleme imkanı sunar.

Ancak HIPAA, yalnızca belirli sağlık hizmetleri sağlayıcılarının sakladığı sağlık hizmetleri bilgilerini korur. Örneğin HIPAA, genellikle fitness izleyicinizdeki sağlık hizmetleri bilgilerini kapsamaz. Ancestry.com gibi web sitelerinde girdiğiniz genetik veriler de HIPAA'ya dahil değildir. Bu bilgilerin korunması, diğer yasaların ya da sözleşmelerin (uygulamalar için gerekli olan gizlilik açıklamaları gibi) kapsamında olabilir ancak HIPAA'nın kapsamında değildir.

Gramm-Leach-Bliley Yasası

1999 Finansal Hizmetler Modernizasyon Yasası olarak da bilinen Gramm-Leach-Bliley Yasası (GLBA), veri gizliliği ve güvenliği unsurları içeren bir bankacılık ve finans yasasıdır. Yasanın kişisel bilgileri koruma temeli, Adil Kredi Raporlama Yasası (FCRA) gibi daha eski tüketici finansal veri yasalarına dayanır.

GLBA temelde "finansal bir ürün veya hizmetle ilgili olarak bir kişiden toplanan ve herhangi bir yerde herkese açık olarak paylaşılmayan bilgiler" olarak tanımlanan, kamuya açık olmayan kişisel bilgileri korur. "Kamuya açık" ile kastedilen, mülkiyet kayıtları veya kamuya açık kayıtlarda bulunabilecek belirli mortgage bilgileridir.

GLBA Tedbir Kanunu, veri toplayıcılarının kişisel bilgileri korumasını ve uygun boyutlu veri güvenliği sistemleri oluşturmasını gerektirir. Diğer bir deyişle, büyük ulusal bankaların bir mahalle kredi birliğine kıyasla daha sofistike tedbirlere ihtiyacı vardır.

Kanun, işletmelerin düzenli olarak test etmesini gerektirir. Ayrıca günlük faaliyetlerinde, çalışan geçmişi kontrolleri gerçekleştirmek ve saldırı durumunda ihlal eylem planları uygulamaya koymak gibi güvenlik önlemleri uygulamaları gerekir.

GLBA pretexting'i yasa dışı hale getirir. Pretexting, birinin kamuya açık olmayan bilgilere uygunsuz şekilde erişim sağlamasına denir. Bu terim sıklıkla sosyal mühendislik saldırılarıyla ilişkilendirilir. Örneğin birinin kendisini yönetici ya da emniyet gücü olarak göstermesi bu kapsamda değerlendirilir. Bazen insanları özel bilgilerini açıklamaları için kandıran sahte web siteleri kurmayı da içeren kimlik avı dolandırıcılıkları da bir başka pretexting örneğidir. GLBA, finansal kurumların güvenlik planlarının bir parçası olarak pretexting'i engelleyen önlemler almasını gerektirir.

İnternet gizliliği yasaları: Sonuç

Dünyanın farklı yerlerindeki farklı yargı bölgelerinin kendi İnternet gizliliği veri güvenliği yasaları bulunur. Örneğin Brezilya'daki Lei Geral de Proteção de Dados (Genel Kişisel Veri Koruma Yasası - LGPD) yasası ve Kanada'daki Tüketici Gizliliği Koruma Yasası (CPPA) da kapsam açısından AB'nin GDPR yasasına ya da Kaliforniya'nın CCPA yasasına benzerdir.

ABD'de, veri gizliliğine yönelik kapsamlı bir federal yasa yoktur. İnternet düzenlemeleri; telekomünikasyonu, sağlık bilgilerini, kredi bilgilerini, finansal kurumları ve pazarlamayı ele alan yasaları ve düzenlemeleri de içeren, sektöre ve alana özel karmaşık bir yasa yığınından oluşur. 

Çevrimiçi gizliliğinizi ve veri güvenliğinizi korumanın en iyi yollarından biri, kapsamlı bir antivirüs çözümü kullanmaktır. Kaspersky Total Security gibi bir ürün; virüsler, kötü amaçlı yazılımlar, fidye yazılımları, casus uygulamalar gibi sık rastlanan karmaşık tehditleri ve en yeni korsan etkinliklerini engeller.

İlgili makaleler:

• Veri gizliliği nedir? Kendinizi nasıl korursunuz?
• İnternet güvenliği nedir? Kendinizi çevrimiçi ortamda nasıl korursunuz?
• İş amaçlı ve kişisel kullanım birleştikçe çevrimiçi gizliliğinizi nasıl koruyabilirsiniz?
• IP adresinizi nasıl gizleyebilirsiniz?