Altyapı ve veri kopyalama
Geçtiğimiz hafta mazbatasını alan Ekrem İmamoğlu adil yönetim, şeffaflık ve benzeri pozitif kelimelerle belediyeye girdi. Ancak belediyedeki icraatının ilk birkaç gününde en ses getiren olay ise belediyenin tüm “altyapı ve verilerinin” yedeklerini almak üzere harekete geçmesi idi.
Normal bir bilgi işlem yönetiminde sistemlerin birkaç yedeği vardır. Birincisi “Yedek Sistem”dir. Bu sistem ana sistemde bir sorun oluşur ise çoğunlukla otomatik şekilde devreye girer. İkincisi Felaket Kurtarma Merkezi’dir. Bu sistem çoğunlukla ana sistemlerden uzak bir konumda bulunur, deprem ve benzeri durumlarda dahi ayakta kalması hesap edilir. Bu iki canlı sistemin dışında, sistemlerin verilerinin yedekleri çeşitli harici disk, teyp ve benzeri ortamlara soğuk yedek olarak alınır. Bu sistemlerin ve yedeklerin tamamı da kurum binaları içerisinde tutulur.
İstanbul Büyükşehir Belediyesi gibi kesintisiz çalışması beklenen ve veri kaybının kabullenilemeyeceği kurumlarda elbette bu şekilde yedek sistemler ve yedekleme altyapıları vardır.
Bunca sisteme rağmen veritabanı ve altyapıyı kopyalamaya bir takım kurum dışı çalışanların görevlendirilmesinin kurumun dosyalarının bir yedeğinin daha tutulması anlamına gelmediği açıktır.
Eğer konu sadece oradaki verilerin ve işlerin incelenmesi ise, verilerin ve altyapıların kopyalanması neden gerekmektedir? Hali hazırdaki yerinde de bu inceleme yapılabilir.
Eğer görev başlama anında geçmiş verilerin o anki halleri ile bir kopyası geriye dönük bakılmak üzere isteniyorsa peki hala bilgi işlem birimlerine bu konuda emir verilebilirdi. Veriler değil de sadece sayısal imzası muhafaza edilerek bilgi işlemin bu verilere müdahale etmeyeceği garanti altına alınabilirdi.
Neden kurum dışından 3 kişi? Bu verilerin değiştirilmediği ya da bunlara veri eklenmediğinden nasıl emin olunabilir? Belediye görevlisi müfettişler bunu anlayabilecek yetkinlikte midir?
Bu noktada bir soru da kurum personeli gibi kurum ile bir sorumluluk ilişkisi içinde bulunmayan kişilerle, bu verilere erişimleri öncesinde Kişisel Verilerin Korunması Kanunu (KVKK) öğelerini de içeren bir Gizlilik Sözleşmesi yapılıp yapılmadığı olacaktır.
Bu verilere erişenlerin kaydı tutulmakta mıdır?
Kopyaların kopyasının alınmaması nasıl sağlanacaktır?
Bizler de mahkemenin istediği savunmaya İBB tarafından verilecek cevap ile aydınlanabileceğiz. Şeffaflıksa belediyenin bu konuda da şeffaf olması gerekir, kendine oy veren ve vermeyen herkese karşı.
Birer vatandaş olarak bilmeliyiz ki, herhangi bir kamu kurumunun veri seti içerisinde vatandaş olarak bizlerle ilgili de bilgiler olacaktır. Kurum bu verilerle uğraşırken umursamaz şekilde hareket edemez ve paylaşamaz. Diğer yandan verinin sahibi yöneticisi değil, kurumdur. Büyükşehir belediyesi gibi kurumların ana organı ise belediye meclisidir. Başkan verilmiş yetkiler çerçevesinde icra ve temsil görevlerini yerine getirir.
Veriler söz konusu olduğunda KVKK oldukça bağlayıcıdır. Kurumun dahi rahat hareket edemeyeceği bir mevzuat ortamında, kurum yöneticisinin umursamaz şekilde hareket edemeyeceği de barizdir. Birçok kurum yöneticisinin devlet dışında kişi, çete ve örgütlere aidiyetinin dahi ortaya çıktığı ülkemizde ise bu çok daha önemlidir.
Bu ve benzeri durumların başka kurumlarda oluşmaması için Kişisel Verileri Koruma Kurulu, Cumhurbaşkanlığı E-Dönüşüm Ofisi ve Danıştay tarafından bu konulardaki temel hareket yöntemleri belirlenmelidir. Bu hareket yöntemleri kurum yöneticilerini de bağlayıcı nitelikteki mevzuat ile uygulanmalıdır.