Giriş
5202 sayılı Savunma Sanayi Güvenliği Kanunu,
“Gizlilik dereceli bilgi, belge, proje veya malzemeye nüfuz edebilmeyi veya bunların bulunduğu yer ve tesislere giriş iznini sağlayan belgeyi” Kişi Güvenlik Belgesi,
“Bir tesiste bulunan veya bulunabilecek gizlilik dereceli bilgi, belge, proje ve malzemenin fiziki güvenliklerinin sağlanması için, tesisin bulunduğu yer ve çevre şartları ile maruz kalabileceği dış ve iç tehditler göz önüne alınarak projelendirilmiş olan koruma önlemlerinin uygun bulunduğunu belirten belgeyi” Tesis Güvenlik Belgesi olarak tanımlar.
Bu belgeler, şirketler tarafından alınan bilgi güvenliği ve fiziki koruma önlemlerinin tam olarak alınıp alınmadığının Milli Savunma Bakanlığı ve bazı durumlarda NATO tarafından denetlenmesi sonucunda verilir. Bu sayede milli güvenliği ve milli savunmayı ilgilendiren projelerde iç ve dış tehditlere karşı tam bir koruma sağlandığı belgelendirilmiş olur.
27601 sayılı Savunma Sanayii Güvenliği Yönetmeliği ile bu denetlemelerin hangi kapsamda ve kimin tarafından yapılacağı düzenlenmiş, MSY 317-2 (C) Millî Savunma Bakanlığı Savunma Sanayii Güvenliği Yönergesi ile hangi konuların denetleneceği ve şirketlerdeki asgari fiziki koşulların neler olacağı belirtilmiştir.
5202 sayılı Savunma Sanayii Güvenliği Kanunu ve Kişisel Veri
Öncelikle belirtmek gerekir ki, 5202 sayılı Savunma Sanayii Güvenliği Kanunu ve ikincil mevzuat kapsamında alınan güvenlik önlemlerinin, kişisel verilerin korunması konusunda da faydalı olduğu değerlendirilmektedir. Özellikle tesislere izinsiz girişleri önleyecek tedbirler, bilgi sistemleri alanındaki zorunluluklar değerlendirildiğinde, Kişisel Verileri Koruma Kurulu tarafından açıklanan idari ve teknik tedbirlerden daha üst seviyede koruma gerektiren bir altyapı kurulması zorunluluğu ortaya çıkmaktadır.
5202 sayılı Savunma Sanayii Güvenliği Kanunu ışığında yapılan değerlendirmede, tesis güvenlik belgesine sahip şirketlerin; Milli Savunma Bakanlığı, Emniyet Genel Müdürlüğü gibi birçok resmi kuruluşa veri aktarması gerekmektedir. Bu aktarımın KVK politikalarında ve aydınlatma metinlerinde mutlaka detaylı olarak bulunması zorunludur.
Ek olarak, 5202 sayılı Savunma Sanayii Güvenliği Kanunu 12`inci maddesine istinaden belirlenen güvenlik tedbirlerine uymayanlar hakkında eylemleri başka bir suç teşkil etmediği takdirde altı aydan bir yıla kadar ceza mahkumiyeti verilebilmektedir.
27601 sayılı Savunma Sanayii Güvenliği Yönetmeliği ve Kişisel Veri
Bu yönetmelik, savunma sanayi şirketlerinde bulunan her türlü gizlilik dereceli bilgi, belge, proje, malzemenin ve görülen hizmetlerin ve bunlarla ilgili yerlerin güvenliğinin ve korunmasının sağlanmasına ilişkin usul ve esasları düzenlemektedir.
Özellikle milli istihbaratı ve milli güvenliği ilgilendiren konularda alınacak tedbirlerin sıralandığı bu yönetmelikte 6698 sayılı Kişisel Verilerin Korunması Kanunu ışığında yapılan faaliyetlerde şu hususlara özel ehemmiyet gösterilmelidir:
1. Kişi güvenlik belgesinin içeriği, bu kapsamda kuruluşlara aktarılacak kişisel verilerin tespiti,
2. Arşiv araştırması ve güvenlik soruşturmaları, bu kapsamda kuruluşlara aktarılacak kişisel verilerin tespiti,
3. Bilgi sistem altyapısı geliştirmeleri,
4. Fiziki altyapı geliştirmeleri ve alınan güvenlik önlemlerinin veri koruma hukukundaki yeri, ölçülülük prensibine göre değerlendirme yapılması zorunluluğu,
5. Ziyaretçilerin kimliklerinin ilgili yerlere bildiriminin yapılması ve saklama hususları,
6. Olası yurtdışına aktarım durumlarının tespiti ve NATO`ya yapılacak aktarımların veri koruma hukukundaki statüsü.
MSY 317-2 (C) Millî Savunma Bakanlığı Savunma Sanayii Güvenliği Yönergesi ve Kişisel Veri
5201 sayılı Harp Araç Ve Gereçleri İle Silâh, Mühimmat Ve Patlayıcı Madde Üreten Sanayi Kuruluşlarının Denetimi Hakkında Kanun, 5202 sayılı Savunma Sanayii Güvenliği Kanunu ve ikincil mevzuat ışığında hazırlanan bu yönergede veri koruma alanında değerlendirilmesi gereken birçok husus bulunmaktadır.
1. Gizlilik dereceleri bilgilerin tasnifi ve bu belgelerdeki veri aktarım gerektiren hususlar ve imha
2. Proje uygulamaları kapsamında 3. kişilerle olan ilişkiler ve veri güvenliği standartlarının veri koruma hukukuna uyumu,
3. Kişi ve tesis güvenlik belgeleri kapsamında aktarılacak verilerin hukuki statüsü, veri envanteri pozisyonu ve KVK politika prosedürlerine eklenmesi,
4. Ziyaretçilerin kimliklerinin ilgili yerlere bildiriminin yapılması ve saklama hususları,
5. Hazırlanacak formlarda işlenecek kişisel verilerin KVK politika – prosedürlerine ve aydınlatma metinlerine eklenmesi.
Sonuç
6698 sayılı Kişisel Verilerin Korunması Kanunu uyumlaştırma sürecinde, savunma sanayi şirketlerinin 5201 sayılı Harp Araç Ve Gereçleri İle Silâh, Mühimmat Ve Patlayıcı Madde Üreten Sanayi Kuruluşlarının Denetimi Hakkında Kanun, 5202 sayılı Savunma Sanayii Güvenliği Kanunu ve ikincil mevzuat nedeniyle özellikle dikkat etmesi gereken kurallar mevcuttur. Milli güvenlik ve kişi hak ve hürriyetleri dengesinin kurulması ve iş süreçleri içerisinde privacy-by-design düsturuna dikkat edilmesi bu şirketler için elzemdir. Önümüzdeki süreçte bu dengenin kurulması için Kişisel Verilerin Korunması Kurumunun alacağı kararlar merakla beklenmektedir.
KAYNAKÇA
1. 5202 sayılı Savunma Sanayi Güvenliği Kanunu
2. 27601 sayılı Savunma Sanayii Güvenliği Yönetmeliği
3. MSY 317-2 (C) Millî Savunma Bakanlığı Savunma Sanayii Güvenliği Yönergesi
YAZAR
Murat Gülgün
Comentarios