Makale
Gelişen drone teknolojileri, özel hayatın gizliliği ve kişisel verilerin korunması bakımından yeni riskler barındırmaktadır. Drone uçuşlarında elde edilen verilerin güvenliğinin sağlanması, veri sorumlusu ve veri işleyen konumundaki kişi ile kurumların KVKK uyarınca alması gereken teknik ve idari tedbirler hukuki bir zorunluluktur.
Sivil Drone İşlemlerinde KVKK Kapsamında Veri Güvenliği
Günümüzde drone teknolojisinin gelişmesi ve ticari, bireysel kullanımların artması, havacılık güvenliğinin ötesinde veri güvenliği alanında da yepyeni hukuki tartışmaları beraberinde getirmektedir. Dronlar, donanımlarında yer alan yüksek çözünürlüklü kameralar, termal sensörler ve konum izleme sistemleri gibi ileri teknoloji ekipmanlar vasıtasıyla, uçuş sırasında oldukça kapsamlı veriler toplayabilmektedir. Toplanan bu verilerin büyük bir kısmı, kişilerin kimliğini belirli veya belirlenebilir kıldığı için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri niteliği taşımaktadır. Hal böyle olunca, söz konusu araçların kontrolsüzce kullanılması veya kaydedilen verilerin güvenliğinin yeterince sağlanamaması, siber saldırılara maruz kalması gibi ihtimaller, özel hayatın gizliliğinin ihlali boyutunda ciddi sonuçlar doğurmaktadır. Drone uçuşu faaliyeti yürüten kişi ve şirketlerin, verinin elde edilmesinden depolanmasına ve imhasına kadar geçen tüm aşamalarda, ilgili mevzuatın getirdiği veri güvenliğini sağlama yükümlülüklerine harfiyen uymaları elzemdir. Bu hukuki gereklilik, hem ihlallerin önüne geçmek hem de teknolojik faaliyetlerin hukuka uygun şekilde sürdürülebilmesini sağlamak adına büyük önem taşır.
Drone Faaliyetlerinde Veri Sorumlusu ve Veri İşleyenin Yükümlülükleri
Drone operasyonları yürütülürken kişisel verilerin toplanması, kaydedilmesi ve muhafaza edilmesi süreçlerinde sorumluluk dağılımı büyük önem arz eder. KVKK düzenlemeleri uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, aynı zamanda veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişiler veri sorumlusu sıfatını haizdir. Bu kapsamda, bir emlak şirketinin çekim yapması için drone firmasıyla anlaşması senaryosunda, veriyi ne amaçla kullanacağını belirleyen emlak şirketi veri sorumlusu iken; onun adına doğrudan uçuşu ve kayıt işlemini gerçekleştiren drone şirketi veri işleyen statüsündedir. Her iki tarafın da, elde edilen görsel ve işitsel verilerin hukuka aykırı erişime maruz kalmasını engellemek amacıyla gerekli adımları atması kanuni bir zorunluluktur.
KVKK Kapsamında Alınması Gereken Güvenlik Tedbirleri
Veri sorumlusu ve veri işleyenler, teknolojik altyapıya sahip dronlar ile uçuş yaparken veri güvenliğini sağlama yükümlülüklerine tabi olurlar. İlgili kanun maddesi, veri sorumlularına uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri alma mecburiyeti getirir. Drone ile yapılan kayıtlar, donanım üzerinde veya bulut tabanlı bir depolama alanında muhafaza edilebilir. Eğer bu bağlantılara yetkisiz siber erişim sağlanırsa, veri güvenliği büyük ölçüde tehlikeye girer. Bu kapsamda özen yükümlülüğünün yerine getirilebilmesi için alınması gereken başlıca tedbirler şunlardır:
- Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek adına siber güvenlik protokollerinin güncel tutulması.
- Verilerin muhafazasını sağlamak amacıyla cihazlardaki hafıza bileşenlerinin yetkisiz fiziksel erişimlere karşı korunması.
- Kurum içi ve dışı periyodik denetim mekanizmalarının oluşturulması ve aktif olarak işletilmesi.
- Olası bir kanun dışı erişim veya siber saldırı durumunun en kısa sürede Kişisel Verileri Koruma Kuruluna bildirilmesi.
Dronların Teknik Özelliklerinden Kaynaklanan Veri Güvenliği Riskleri
Dronlar, yapıları gereği dış ortamdan kablosuz ağlar, radyo frekansları veya uydu bağlantıları gibi sinyallerle kontrol edilen açık sistemlerdir. Bu durum, veri aktarımı sırasında araya girme, sinyal kesme veya sistemin doğrudan ele geçirilmesi gibi güvenlik zafiyetlerine zemin hazırlayabilir. Hukuki açıdan, drone operatörlerinin veya üreticilerinin cihaz üzerindeki veriyi koruyabilmesi için kriptografik şifreleme yöntemleri gibi ileri düzey teknik önlemlere başvurmaları, olası sızıntıları önlemede kritik bir rol oynar. Drone kullanımına bağlı siber güvenlik risklerinin minimize edilmesi ve veri ihlallerinin önüne geçilmesi, yalnızca sistemin yazılımsal olarak korunmasıyla değil, pilotun cihazın fiziksel güvenliğini sağlamasıyla da mümkündür. Zira, drone'un kaybolması ya da çalınması durumunda, cihazda depolanan tüm görüntüler kolayca kötü niyetli üçüncü kişilerin eline geçebilmektedir. Dolayısıyla, uçuş planlamasından operasyonun sonlandırılmasına kadarki süreçte objektif özen yükümlülüğünün harfiyen yerine getirilmesi gerekmektedir.