Uyuma Yönelik İşletme Kılavuzu

Transkript

U y u m a Yö n e l i k İ ş l e t m e K ı l av u z u
Elektronik Veri Yönetimini
Şimdiden Planlayın
&
Geleiekteki YasalleriçinÖnlemAlın
Yazan: Cynthia L. Jackson
BakerMcKenzie Guide_PRINT.indd 1
2008-06-11 16:27:39
2008-06-11 16:27:39
Cynthia L. Jackson
Partner, Baker & McKenzie LLP
Cynthia L. Jackson, 38 ülkede bulunan ofisleriyle dünyanın
en büyük hukuk firması olan Baker & McKenzie’nin Palo
Alto Kaliforniya’daki ofisinin bir ortağıdır. Bayan Jackson,
iş liderlerini geniş çapta uyumluluk sorunlarıyla, devlet
genelgeleriyle ve e-keşif gereksinimleriyle ilgili olarak
eğitmek için tasarlanan “Uyuma Yönelik İşletme Kılavuzu”
adlı kitapçığın yazarıdır. Jackson, Chicago ofisindeki ortağı
John Raudabaugh’a, 9 Şubat 2007’de Ulusal Emek İlişkileri
Kurulu ’na sunduğu The Guard Publishing Company
and Eugene Newspaper Guild’deki mahkeme fahri
müşaviri olarak yaptığı konuşmadan alınan ve istihdam
izleme bölümlerinde kullanılan katkılarından dolayı
teşekkürlerini sunuyor.
Bayan Jackson, hukuki davalarda şirketleri temsil
etmekte ve ayrımcılık ve taciz, personel politikaları
ve uygulama, istihdam ve işten çıkarma sözleşmeleri,
iş gücünde azaltma, iş adabı ilkeleri, gizlilik sorunları,
kurumsal sosyal sorumluluk, gizli bilgilerin ve ticari
sırların korunması, şirket birleşmelerinin ve şirket
satınalmalarının istihdam açısından sonuçlarını da
içeren istihdamla ilgili çeşitli ulusal ve uluslararası
konularda danışmanlık yapmaktadır.
Bayan Jackson, “Best Lawyers in America” (Amerika’nın
En İyi Avukatları) listesindeki avukatlardan biri
seçilmesinin yanı sıra defalarca kez “Northern California
Super Lawyer” (Kuzey Kaliforniya Üstün Avukat) sıfatına
layık görüldü. Bayan Jackson, hem Stanford Üniversitesi,
hem de Teksas Üniversitesi Hukuk Fakültesi’nden onur
derecesiyle mezun oldu.
Cynthia L. Jackson, Avukat
Baker & McKenzie LLP
660 Hansen Way, Palo Alto, California 94304, ABD
Tel +1 650-856-5572 Faks +1 650-856-9299
[email protected]
2008-06-11 16:27:39
2008-06-11 16:27:39
İçindekiler
7
Bütün Bu Karışıklığın Nedeni Ne?
13
Kim İlgileniyor veya Kimin İlgilenmesi Gerekir?
17
Elektronik Kayıtların Saklanmasıyla İlgili Yasal
Gereklilikler
27
Huzurlu Bir Çalışma Ortamı
31
Şirket Başarısının Temelini Fikri Mülkiyetin
Korunması Oluşturur
33
Gizlilik: Fazla Bilginin Göz Çıkardığı Anlar
37
Şifreleme
41
Uluslararası Sorunlar: Veri Uyumluluğu Dünyaları
Çakıştığında
45
En İyi Uygulama İpuçları
2008-06-11 16:27:39
2008-06-11 16:27:39
Bütün Bu Karışıklığın Nedeni Ne?
Elektronik veri kullanımının hızla arttığı bir dünyada,
uyumluluk risklerini verimli bir şekilde kontrol
edebilmek için verilerini yönetmek için yöntemler
bulması gerekmektedir. Elektronik verilerin çoğalması
hem şaşırtıcı hem de bunaltıcıdır. Günümüzde ortalama
bilgisayarların saklama gücünü düşünürsek, en
mütevazı aile işletmeleri bile dört çekmeceli 2.000 dosya
dolabına eşdeğer bir elektronik saklama alanına sahip
olabilmektedir.1 Elektronik verileri yönetme görevi,
verilerin artık yalnızca somut kağıtlar üzerinde olmayıp
farklı kişiler ve kaynaklar tarafından sürekli olarak
düzeltilen, değiştirilen ve güncellenen bilgi baytları
biçiminde olmasıyla daha da karmaşık hale gelmektedir.
Elektronik verilerin düzgün arşivlenmesi, korunması,
izlenmesi, filtrelenmesi ve şifrelenmesi artık isteğe bağlı
bir seçenek değildir: Bunlar birer zorunluluktur.
Elektronik verilerin
düzgün arşivlenmesi,
korunması, izlenmesi,
filtrelenmesi
ve şifrelenmesi
artık isteğe bağlı
bir seçenek değildir:
birer zorunluluktur.
Elektronik veri sistemleri makineleri kontrol ve idare
eder, mali verileri işler, envanteri yönetir, siparişleri
verir, resimleri ve dokümanları iletir. Sözlü ve sözsüz
iletişimin hızında ölçülemez bir artış sağlar. E-posta,
elektronik iletişimin en çok bilinen biçimidir, ancak
iletişim bileşenleri arasında online yayınlar (“web
günlükleri” veya “blog’lar”), anında mesajlaşma
(IM) (kullanıcılar gerçek zamanlı, online “sohbetler”
gerçekleştirir), web kameralarıyla konferanslar, doküman
ve video aktarımları ve geniş banttan ses hizmetleri
de yer alır. Bununla birlikte, bu tür sistemler kötüye
kullanılabilir ve böylece bir işletmeye zarar verebilir.
Kişiler, çalışanlara, yöneticilere ve üçüncü taraflara taciz
1
Jason Krause, E-Discovery Gets Real, ABA JOURNAL, Şubat 2007; not George L. Paul ve Bruce H. Nearon, The Discovery Revolution:
A Guide to the E-Discovery Amendments to the Federal Rules of Civil Procedure, BİLİM ve TEKNOLOJİ YASASININ ABA BÖLÜMÜ.
7
2008-06-11 16:27:39
2005’te, şirketlerin
% 24’ü e-postalar
nedeniyle mahkemeye
çağrıldı ve yalnızca
bir çalışanın e-posta
nedeniyle açılan dava
sayısı ise % 15 oldu.
edici ve tehditler içeren iletiler gönderebilir; şirketlerin
veya üçüncü tarafların fikri mülkiyetindeki ürünleri
indirebilir (“çalabilir”); şirketi, ürünlerini ve hizmetlerini,
müşterilerini ve rakiplerini kötüleyebilir veya çaldıkları
verileri gizlice uzak yerlere aktarabilir veya şirketin
sağladığı bellekte saklayabilirler. Kullanıcılar,
mahkemelerin taciz edici ve yasadışı olduğuna karar
verdiği malzemeleri görüntüleyebilir veya dağıtabilir,
İnternet sitelerinde ve blog’larda karalayıcı malzemeler,
oluşturabilir ve gönderebilir ve suç niteliğinde
eylemler planlayabilir ve hatta bunları yürütebilirler ve
bunların tümünü şirketin donanımını gizlice kullanarak
işyerlerinden gerçekleştirebilirler.2
Bu nedenle, Şirket Danışmanları Birliği’nin (ACC)
gerçekleştirdiği bir ankette Genel Danışmanların
% 86’sının temel endişelerinin başında “şirketin yasal
sorunlara neden olabilecek etkinliklerinin izlenmesinin”
gelmesi şaşırtıcı değildir.3 2005’e kadar, şirketlerin % 24’ü
e-postalar nedeniyle mahkemeye çağrıldı; yalnızca
çalışanların e-postaları nedeniyle açılan dava sayısı ise
% 15 oldu. Aynı ankete göre, işyerindeki e-postaların
% 10’u cinsel, romantik veya pornografik içeriğe sahipti.4
1 Aralık 2006’da yürürlüğe giren Federal Medeni
Usul Hukuku Kuralları’ndaki (FRCP) elektronik keşif
kurallarından önce de şirketlerin beşte birinden fazlası,
2004’te dava sırasında veya bir devlet incelemesi sırasında
mahkeme çağrısı gelmesine neden olan elektronik iletişime
2 Electronic Workplace: Is Your Company’s Work Blogging Down? FEDERAL EMPLOYMENT LAW INSIDER, 2 Eylül 2006; Michael R. Phillips,
Inappropriate Use of Email by Employees and System Configuration Management Weaknesses Are Creating Security Risks, Treasury Inspector
General for Tax Administration, 31 Temmuz 2006.
3 ACC & SERENGETI, MANAGING OUTSIDE COUNSEL SURVEY REPORT, 23 Ekim 2006.
4 2006 Workplace E-mail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-mail, IM & Blog Violators, AMA, 11 Temmuz 2006,
http://www.amanet.org/press/amanews/2006/blogs_2006.htm.
5 AMA/ePolicyInstitute Research, 2004 Workplace E-mail and Instant Messaging Survey Summary, at 1.
8
2008-06-11 16:27:40
sahipti.5 Bu oran, 2001’de bildirilen yüzde oranının
iki katından fazladır.6 Aslında, Amerikan şirketleri
2005’te dış elektronik keşif hizmetlerine 1,2 milyar
Dolar harcamıştır.7 Bu rakamın 2006’da 1,9 milyar
Dolar olması beklenmektedir.8 FRCP elektronik keşif
kurallarının yürürlüğe girmesiyle, bu istatistiklerin
kısa sürede gölgede kalacağı beklenebilir. Ancak, FRCP
değişikliklerinin yürürlük tarihinden yalnızca iki ay
önce yapılan bir ankette, şaşırtıcı bir şekilde, kurumsal
danışmanların yalnızca % 7’si şirketlerinin değiştirilen
Kurallara hazır olduğunu belirtmiştir; bu danışmanların
% 54’ünün ise değişikliklerin Aralık 2006’da yürürlüğe
gireceğinden haberdar bile olmadıkları belirtilmiştir.9
Amerikan firmaları
2005’te dış elektronik
keşif hizmetlerine
1,2 milyar Dolar
harcadılar. Bu rakamın,
2006’da 1,9 milyar
Dolar olacağı
tahmin ediliyor.
Şirketler, elektronik iletişimi düzenleyen ve sayıları artan
diğer yasalara ve çok sayıdaki yeni yasa tekliflerine de
uymak zorundadırlar.10 Çoğu düzenleme, hassas kişisel
bilgilerin korunmasıyla ilgilidir. Bunlara örnek olarak
şunlar gösterilebilir: Elektronik İletişim Mahremiyet
Yasası Bildirisi (1986)11; Sağlık Sigortasının Taşınabilirliği
ve Mali Sorumluluk Yasası (1996)12; Çocukların
Online Mahremiyetlerini Koruma Yasası (1998)13;
Gramm-Leach-Bliley Yasası (1999)14; İstenmeyen
Pornografi ve Pazarlama Saldırılarını Denetleme Yasası
(2003)15; Kaliforniya Güvenlik İhlali Bildirimi Yasası
(2002)16; Kaliforniya Kişisel Bilgi Güvenliği Yasası
(2004)17 ve çok sayıdaki diğer ulusal ve yabancı yasalar
ve düzenlemeler.18
6
Id.
Sacha Consulting, Ramon Nunez, Metal INCS, Gregory McCurdy, Microsoft Corp, ABA Digital Evidence Project, The National Law Journal/
www. NLJ.com, 19 Eylül 2005.
8 Id.
9 Lexis Nexis® Applied Discovery®, Ekim 2006’daki ACC 2006 Yıllık Toplantısı’nda tamamlanan anket.
10 Data Security: Federal and State Laws, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 3 Şubat 2006; Data Security:
Federal Legislative Approaches, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 9 Şubat 2006; Obscenity and Indecency:
Constitutional Principles and Federal Statutes, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 25 Haziran 2003.
11 18 U.S.C. § 101 ve devamı.
12 42 U.S.C. § 201 ve devamı.
13 15 U.S.C. § 6501 ve devamı.
14 15 U.S.C. §§ 6801-6809.
15 15 U.S.C. §§ 7701-7713.
16 Kal. S.B. 1386 (2002) (Kal. Med. Huk. §§ 1798.82 ve 1798.29’un bölümleri).
17 Kal. Med. Huk. § 1798.81.5 (Kal. A.B. 1950 (2004)).
18 Allan Holmes, The Global State of Information Security 2006, CIO MAGAZINE, 15 Eylül 2006.
7
9
2008-06-11 16:27:40
İstenmeyen e-postalar,
gelen tüm e-postaların
% 93’ünü oluşturuyor.
Dokümanların imhasını ve saklanmasını düzenleyen
yasalara ek olarak, şirketlerin artan bir şekilde
kendilerini korsanlara ve elektronik yollarla değerli fikri
mülkiyetin kaybına karşı korumaları da gerekmektedir.19
İnternet, şirketin en değerli kaynaklarını üçüncü
taraflara sunabilir. 2004’te, istenmeyen e-postalar gelen
toplam e-postaların % 73’ünü oluşturuyordu; bu
rakam, 2006’ya kadar % 93’e yükseldi.20 Bunların çoğu
rahatsızlık verici veya yalnızca zaman kaybı olmakla
birlikte, virüsler, solucanlar, indirme programları, truva
atları, spam, bağlantı spam’i, phishing ve pharming
gibi kötü amaçlı yazılımlar veya kötü amaçlı mantık,
şirket ağını, işletme bilgilerini ve burada barındırılan
fikri mülkiyeti tehlikeye atmaktadır.21 Dış taraflar,
şirketin ticari sırlarına ve gizli bilgilerine “saldırabilir”,
şifreleri çalabilir ve kullanıcıları, indirme sitelerine
yönlendirebilirler. Bu saldırılardan % 33’ünün şirket
içindeki kullanıcılardan geldiği bildirilmiştir.22
Yeni yapılan National Center for Supercomputing
Applications (Ulusal Süper Bilgi İşlem Uygulamaları
Merkezi) (NCSA) anketine katılanların % 40’ı işteyken
sosyal ağ oluşturma sitelerini ziyaret ettiklerini
söylemişlerdir. Dolayısıyla bu kişiler, işverenlerinin
ağını korsanlara açık duruma getirmektedirler.23
(Anket yapılan şirketlerin % 68’i, 2004’te elektronik
suçla karşı karşıya kaldıklarını bildirmişlerdir; bu
şirketlerin % 43’ünün bilgilerine, sistemlerine veya
ağlarına yetkisiz erişim olduğu ve % 14’ünün bir IP
hırsızlığıyla karşılaştıkları bildirilmiştir.)24 Aslında,yakın
zamandaki kapanmamış dava evraklarında, DuPont’ta
19
İnternet: An Overview of Key Technology Policy Issues Affecting Its Use and Growth, CRS REPORT FOR CONGRESS, 13 Nisan 2005.
AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004); Wireless Privacy and Spam: Issues for Congress,
CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 22 Aralık 2004; ‘Junk E-mail’: An Overview of Issues and Legislation Concerning Unsolicited Commercial Electronic Mail (“Spam”), CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS,
15 Nisan 2003; Cybercrooks Deliver Trouble, WASHINGTON POST, 27 Aralık 2006, D1.
21 Pharming, WEBSENSE, INC. (2006); The Economic Impact of Cyber-Attacks, CONGRESSIONAL RESEARCH SERVICE REPORT FOR
CONGRESS, 1 Nisan 2004.
22 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 Eylül 2005
23 CA/NCSA Social Networking Study Report, RUSSELLRESEARCH.COM, at 4, http://staysafeonline.org/features/SocialNetworkingReport.ppt.
24 2005 E-Crime Watch Survey—Survey Results, CSO MAGAZINE, U.S. SECRET SERVICE, CERT COORDINATION CENTER.,
http://www.csoonline.com/info/ecrimesurvey05.pdf.
20
10
2008-06-11 16:27:40
üst düzeyde çalışan bir bilim insanının, beş aydan
kısa bir sürede 22.000 hassas dokümanı indirdiği ve 180
DuPont dokümanını bir dizüstü bilgisayara ve daha
sonra, yeni işverenine aktardığı; Dupont’un 400 milyon
Dolar değerindeki “araştırma ve geliştirme aşamasında
bulunan yeni ve gelişmekte olan teknolojilerinin yanı
sıra başlıca teknolojilerinin ve ürün gruplarının”, içinde
bulunduğu bilgileri çaldığı açıklanmıştır.25
Yasal veya “zararsız” etkinlikler de yüksek maliyetlere
neden olabilir ve bu tür “zararsız” davranışlara yönlendirme
çabaları çok fazladır. 2004’te 840 Amerikan şirketinin
katılımıyla yapılan bir ankette, katılımcıların % 66’sı
şirket sisteminde kişisel kullanımları için günde iki saat
veya daha az süre harcadıklarını, % 24’ü bu sürenin
iki ile üç saat arasında olduğunu ve diğer bir % 10, dört
saatten daha fazla harcadığını söylemiştir.26 Aynı ankette
çalışanların % 75’inin günde 10 veya daha az kişisel
e-posta alıp gönderdiği bildirilmiştir.27 Çalışanların
% 90’ı, anında mesajlaşmayı kişisel amaçlarla 90
dakikaya kadar kullanırken, bunların % 19’u metin
iletilerine ek eklemekte, % 16’sı şakaları, dedikoduları veya
kötüleyici yorumları dağıtmakta, % 9’u gizli bilgileri
göndermekte ve % 6’sı iletilerinde cinsel, romantik veya
pornografik metin içermektedir.28
Hem zorunlu yasal gereksinimlerinin hem de isteğe
bağlı en iyi uygulama korumasının sonucu olarak
şirketler, bir yasal kriz ortaya çıkmadan önce plan,
uygulama yapmalı ve eğitim vermelidir. Az sayıda
şirket, bir dava açıldıktan, fikri mülkiyet ürünleri
25
David Kauffman, How Safe Is Your Data?, HR HERO LINE, 9 Mart 2007.
AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004).
27 Id.
28 Id.
26
11
2008-06-11 16:27:40
“kapının dışına çıktıktan”, özel bilgiler serbest kaldıktan
veya muhalif bir çalışma ortamı oluşturulduktan
sonra olacaklar konusunda önceden düşünüp eyleme
geçme lüksüne sahip olacaktır. Kuruluşlar için önceden
plan yapmak büyük önem taşır. İlk olarak, şirketlerin
iletişimin saklanması, arşivlenmesi ve izlenmesine ilişkin
plan yapmaları gerekir. İkinci olarak, şifreleme süreçleri
ve uygun erişim kısıtlamaları oluşturmalıdırlar. Üçüncü
olarak, süreçleri ve politikalarıyla ilgili sürekli eğitim
vermeli ve denetim yapmalıdırlar.
12
2008-06-11 16:27:40
Kim İlgileniyor veya Kimin İlgilenmesi
Gerekir?
Elektronik verilerin yönetimi bir şirketteki hemen
hemen herkesi etkiler: Genel Danışman’ın ofisi, Uyum
Memurları, İç Denetçiler, Finans, BT Yöneticileri, İnsan
Kaynakları ve Sosyal Yardımlar Personeli, Fikri Mülkiyet
ve Lisans Personeli, Tedarik Zinciri Yöneticileri, İhracat
Kontrolü, Satış ve İşletme Personeli.
Örneğin, A.B.D.’deki halka açık şirketlerin, SarbanesOxley (SOX) ve Yabancı Ülkelerde Yolsuzluk
Uygulamaları Yasası’ndaki kayıt saklama ve hesap verme
yükümlülüklerinin sonucunda, raporlama, denetim
ve saydamlık için birer ana makinesi vardır. Federal
mahkemede hukuki ihtilafa düşen veya yalnızca bu tür
bir ihtilafla “dava açılacağı bildirilen” şirketlerin de ilgili
elektronik olarak saklanan verileri korumak için eyleme
hazır olmaları gerekir. Bankacılık ve finans veya sağlık
sektörlerinde faaliyet gösteren şirketler bilgi toplama,
kullanma, erişme ve yayma yönetimiyle ilgili ayrıntılı
yasalara ve yönetmeliklere uymak durumundadır.
Uluslararası çapta faaliyet gösteren veya donanım/
yazılım ürünleri ihraç eden şirketler, kendilerini,
şifreleme de dahil olmak üzere verilerini karmaşık ve
bazen çelişkili şekillerde yönetme zorunluluğu altında
bulacaklardır.
Federal mahkemede
hukuki ihtilafa düşen
veya yalnızca bu tür bir
ihtilafla “dava açılacağı
bildirilen” şirketlerin
de ilgili elektronik
olarak saklanan verileri
korumak için eyleme
hazır olmaları gerekir.
Ancak, dava açılmış veya açılacağı bildirilen davalarla
yüz yüze kalmış, özellikle yönetmeliklerle düzenlenmiş
sektörlerle temas halinde olan veya uluslararası
pazarda faaliyet gösteren, halka açık olmayan şirketler
için bile elektronik veri çağı, zorlukları beraberinde
13
2008-06-11 16:27:40
Hiçbir şirket bundan
muaf değildir. Küçük
ve orta ölçekli şirketler
de geleceği düşünmeli
ve hemen sistemler
uygulamalıdır.
getirmektedir. Çalışmalar, veri hırsızlıklarının üçte
birinin var olan çalışanlar tarafından gerçekleştirildiğini
ve dava edilebilir kötüleme, ayrımcılık ve taciz
suçlamalarının büyük bir kısmının yetkili çalışanlardan
geldiğini ortaya çıkarmıştır.29 Hiçbir şirket bundan
muaf değildir. Küçük ve orta ölçekli şirketler de geleceği
düşünmeli ve fikri mülkiyet ürünlerini “hırsızlıktan”,
çalışanlarını muhalif çalışma ortamı iddialarından
korumak veya dava açılacağı bildirilen davalarda
doküman imhasına engel olmak için hazırlıklı olmalarını
sağlayacak sistemleri hemen uygulamalıdır.
İronik bir şekilde, verilerin neden olduğu baş ağrılarını
oluşturan teknolojiler, ilgili yasalar ve hukuk düzenleri
tarafından ortaya koyulan yasal gereksinimlere uymak
üzere iyi tasarlanmış ve hazırlanmış elektronik veri
yönetimi sistemleri, bu duruma bir çözüm sunabilir.
Bu tür elektronik sistemler, doküman saklama
ve arşivleme özelliklerine sahip, veri imhasını
önleyen, gerektiğinde şifreleme erişimi kısıtlamaları
uygulayabilen, izleme yapabilen ve izin verildiğinde web
filtreleme olanaklarını kullanabilen yazılım sistemlerini
içermelidir. Bu tür bir sistemin kurulumuna ek olarak,
uygun yasal parametrelerin tanımlanması ve personelin,
bir yasal kriz ortaya çıkmadan, genel olarak bu tür
verilerin işletmede uygun bir şekilde nasıl yönetileceğiyle
ilgili eğitilmesi bir zorunluluktur. Böylece, yasal
ihtiyaçlar ortaya çıktığında, elektronik veriler hızlı,
uygun ve kolay bir şekilde yakalanıp belirlenebilir.
Elektronik veri yönetimi sistemlerinin seçilmesi ve
uygulanması, politikaların oluşturulması ve uygulanması
ve yasal bir kriz ortaya çıkmadan önce sistemin gerçekten
çalıştığından emin olmak için devam eden personel
29
Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 Eylül 2005.
14
2008-06-11 16:27:40
eğitimi ile denetimlerin tümü, Genel Danışmanlık,
İK ofisi veya başka bir yerde olsun şirket personelinin
koordinasyon içinde ve özenli bir ortak çalışmasını
gerektirir.
Elektronik
veri yönetimi
sistemlerinin seçilmesi
ve uygulanması,
politikaların
oluşturulması
ve uygulanması
ve yasal bir kriz ortaya
çıkmadan önce sistemin
gerçekten çalıştığından
emin olmak için devam
eden personel eğitimi
ile denetimlerin tümü
şirket personelinin
koordinasyon içinde
ve özenli bir ortak
çalışmasını gerektirir.
15
2008-06-11 16:27:40
2008-06-11 16:27:40
Elektronik Kayıtların Saklanmasıyla
İlgili Yasal Gereklilikler
Federal Hükümlerini
bilmemek pahalıya
malolabilir.
Bir “dava durumu” olmaması durumunda, elektronik
olarak saklanan verilerin (veya diğer kayıtların)
korunması için, vergi, istihdam ve çeşitli federal veya
eyalet yasalarının zorunlulukları gibi belirli kayıt
türlerinin dışında, genel olarak herhangi bir yükümlülük
yoktur. Diğer yandan, bir “hukuki ihtilaf durumunda”,
şirketin normal doküman imha süreçlerine engel
olmasını gerektiren, bilgi koruma yükümlülükleri devreye
girer. FRCP’de yapılan yeni değişiklikler, şirketin, hukuki
ihtilafın tahminin bulunacağına inandığı dokümanları
“dava nedeniyle koruma altına alma” ihtiyacını
düzenlemektedir. “Dava nedeniyle koruma altına alma”
durumu, gerçek bir mahkeme dosyası açılmadan çok
önce başlatılabilir. Şirket, bir “yöneticisiyle” ilgili bir iç
şikayet alabilir, bir olası taraftan veya avukattan ileride
dava açılacağı için dokümanların korunmasını isteyen
bir yazı, bir devlet kurumunun bir inceleme bildirimi,
mahkeme çağrısı veya resmi bilgi talebi gelebilir veya
bir yönetim cezası verilebilir. Bir “dava durumu” ortaya
çıktıktan sonra, tüm sıradan doküman imhası işlemlerini
hemen askıya almak ve geçerli kanıtların bulunması için
uygun olduğu düşünülen veya eylemle ilgili elektronik
verileri ve olasılıkla içindeki meta verileri de içeren
tüm kayıtları korumak gibi olumlu adımları atmak
değişikliklere göre şirketin görevidir.
FRCP’de yapılan yeni değişikliklerden önce de
mahkemeler, yaklaşan yasal sorunları bilen veya bilmesi
gereken, ancak verilerini koruyamayan şirketlere karşı
17
2008-06-11 16:27:40
ve ilgili dokümanları,
şirket içi çalışanın cinsel
taciz davranışıyla ilgili
şikayetinden itibaren
koruyamadığı için,
şirketin mahkeme
maliyetlerini
ve davacının avukat
ücretlerini ödemesine
karar verildi.
çok az müsamaha gösteriyordu. Broccoli ile Echostar
Communications Corp arasındaki davada, 229 F.R.D. 506
(D.C. Md. 2005), mahkeme, işverenin davacı/çalışanın
işine son vermeden önce 11 aylık elektronik dokümanları
koruma yükümlülüğünü olduğunu belirtti. Bu tür
yükümlülükler, gelecekteki davacının, işverenin sözlü
ve e-posta yoluyla cinsel taciz davranışında bulunduğu
iddiası nedeniyle ortaya çıkmıştı. Şirket, e-posta
ve veri imha politikasını askıya alamadığı ve ilgili
dokümanları, şirket içi çalışanın cinsel taciz davranışıyla
ilgili şikayetinden itibaren koruyamadığı için, şirketin
mahkeme maliyetlerini ve davacının avukat ücretlerini
ödemesine karar verildi.
Zubulake ile UBS Warburg LLS arasındaki bir dizi
davada, 220 FRD 212 (S.D. N.Y. 2004), 229 F.R.D. 422
(S.D. N.Y. 20 Temmuz 2004 Zubulake II) ve 231 FRD 159
(S.D.N.Y. 3 Şubat 2005 Zubulake III), mahkeme, davacı
dört ay önce dava açtığında şirketin elektronik dokümanları
koruma yükümlülüğü olduğuna (ve 10 ay önce aynı
davacı bir federal mahkemede şirkete dava açmıştı)
ve doküman imha politikasının, ilgili dokümanların
imhasına yol açacağını bildiğine veya bilmesi gerektiğine
karar vermiş ve şirketi ayrımcılık nedeniyle para cezasına
çarptırmıştı. Zubulake davasında, mahkeme, savunmacının
ağının bantları yedeklediğini ve bu kayıtların ilgili kanıt
olabileceğini, ancak hukuk bölümü dışındaki çalışanların
ilgili dokümanları sildiklerini bulmuştu; savunmacı, daha
sonra pahalı meta veri kurtarma yöntemleriyle bilgileri
kurtarmıştı.
Wiginton ile CB Richard Ellis arasında görülen davada,
229 F.R.D. 568 (N.D. Ill. 2003), mahkeme, dava
18
2008-06-11 16:27:41
açılmasından günler sonra davacının avukatından
dokümanları ve birden çok tacizciyi tanımlayan
bir mektupla şirkete “kolektif dava” bildiriminde
bulunulduğuna karar verdi. Mahkeme, özellikle şirketin,
cinsel tacizle suçlanan veya davayla ilgili kişilerin
bilgisayar sabit disk sürücülerini, e-posta hesaplarını
ve İnternet kayıtlarını koruması gerektiğine karar
verdi. Buna ek olarak, mahkeme, davacının kendisiyle
ilgili elektronik verilerin saklanamamasıyla ve şirketin
yedek bantlarında ilgili eksik elektronik dokümanlar
bulunursa konuyla ilgili olarak yeniden dava açılabilmesine
izin verdi. Consolidated Aluminum Corp ile Alcoa, Inc.
arasındaki davada, 2006 U.S. Dist. LEXIS 66642 at
*18 (M.D.La. 2006), Alcoa, kendi rutin doküman
imha politikasını askıya almadan önce Consolidated
Aluminum’a talep mektubunu gönderdikten sonra
yaklaşık iki buçuk yıl beklediğinden mahkeme,
Alcoa’nın tüm “önemli kişilerin” tekrar vermeleri
gereken yeminli ifadelerin, mahkemenin ve eksikliklerin
araştırılmasının yol açtığı masraf ve ücretlerin Alcoa
tarafından ödenmesine karar verdi. Samsung Elecs. Co.
ile Rambus, Inc., 2006 U.S. Dist. LEXIS 50007 (E.D.Va.
2006) davasında, davalı ve karşı davacı Rambus, “imha
gününü” başlatmadan önce en olası dava hedefini,
yararlanabileceği hukuki teorileri ve saklanacak ve yok
edilecek ilgili dokümanları tanımlayarak dava açma
ihtimalini değerlendirdi. Rambus’un önemli verileri
uygunsuz bir şekilde imha ettiği sonucuna varan
mahkeme, bulgu yaptırımları uygulanmasına karar verdi.
Rambus, mahkeme tarafından yaptırım uygulanmadan
karşı davasını gönüllü olarak geri çekti.
Bilgi imha sistemlerinin göz ardı edilmesinin ve dava
19
2008-06-11 16:27:41
için hemen bir koruma altına alma başlatılmamasının
sonuçları şaşırtıcı. Zubulake’de, Mahkeme, davalının
bulgumaliyetlerini ödemesine karar vermesinin yanı
sıra, jüriye bir “aleyhte sonuç çıkarma talimatı” verdi.
Herhangi bir dava açılmadan on ay önce verilen EEOC
cezası tarihinden sonra dokümanların saklanmaması
nedeniyle mahkeme, imha edilen dokümanların
jüri tarafından davacıların ayrımcılık iddialarını
güçlendirmek için kullanılabileceğine karar verdi.
Bu nedenle jüri, davalıya 29 milyon Dolar tutarında
ceza verdi. Amerika Birleşik Devletleri ve Philip Morris
USA Inc., 327 F. Supp. 2d 21 (D.D.C. 2004) davasında,
mahkeme, Phillip Morris’e, yaptırım tutarı olan 250.000
ABD Doları’nın şirketin kayıt saklama politikalarına
aykırı hareket eden on bir yöneticiyle çarpımından elde
edilen 2,75 milyon Dolarlık yaptırım uyguladı. Ayrıca,
mahkeme, saklama politikasına aykırı hareket eden on
bir yöneticinin, duruşmada iddialara yanıt vermesine
izin vermedi. Krumwiede ve Brighton Associates LLC,
2006 U.S. Dist. LEXIS 31669 (N.D. Ill. 2006) davasında,
mahkeme, davalı/karşı davacı bir diz üstü bilgisayarı
dava için koruma altına almayıp, diz üstü bilgisayarı
sorgu hakimine teslim etmeden önce dosyaları silmeye,
değiştirmeye ve dosyalara erişmeye devam ettiği ve
meta veriler tümüyle silinmese bile kullanıma devam
edilmesi nedeniyle değiştirildiği için gıyapta karar verdi.
Dempsey ve Pfizer, 813 S.W. 2d 205 (1991) davasında,
Teksas mahkemesi, dokümanların imhası için 42.000.000
Dolarlık yaptırım iddiasını reddetti.30
30
Tümü FRCP değişikliklerinden sonra karara bağlanan bu davalar anormal değildir. Quintus Corp. ile Avaya, Inc. 2006 Bank.LEXIS 2912
(Bank. D. De. 2006) arasındaki davada, mahkeme davalının düzenlemelere uygun olarak ve dava ihtimaline karşı saklaması gereken delili
kasıtlı ve önyargılı olarak imha etmesi nedeniyle 1,88 milyon Dolar tutarında ceza hükmü verdi. 3M Innovation Properties C. ile Tomar Electronics, Inc. arasındaki davada, 2006 U.S. Dist. LEXIS 80571 (D. Minn 2006), mahkeme, davalı dava nedeniyle koruma altına alma başlatmadığı
için aleyhte karar verdi. In Re Napster, 462 F.Supp.2d 1060, 1077-78 (N.D. Kal. 2006) davasında, davalı zamanında dava nedeniyle koruma altına
almayı başlatamadığı için, mahkeme aleyhte karar verdi. NTL, Inc. Sec. Litig. 2007 U.S. Dist LEXIS 9110 (S.D.N.Y. 2007) davasında, mahkeme
iflas sonrasında yeni kurulan şirketin dokümanları saklamaması nedeniyle, aleyhte karar ile para cezası verdi. Aralık 2006’da, National Association of Securities Dealers (NASD – Ulusal Borsacılar Derneği) Morgan Stanley şirketinin Dünya Ticaret Merkezi 9/11 saldırısında milyonlarca
e-posta kaybedilmiş gibi gösterdiğini iddia etti. Dava hala devam ediyor.
20
2008-06-11 16:27:41
Yukarıdaki davalarda görüldüğü gibi, maddi yaptırımlara
ve aleyhte sonuç çıkarma talimatlarına ek olarak,
mahkemeler, kanıtların yok edilmesi ve cezai yaptırımlar
için haksız fiil sorumluluğuna hükmetti. Daha önce
Credit Suisse First Boston’da ileri teknoloji yatırım
bankacısı olan Frank Quattrone, güvenlik sektöründen
kalıcı olarak men edildi ve NASD tarafından 30.000
Dolar tutarında cezaya çarptırıldı. Daha önce, adaletin
işlemesine engel olmakla suçlanmış, grubundaki diğer
üyelere bir SEC soruşturması sırasında “dosyalarını
temizlemelerini” isteyen bir e-posta gönderdiği için
18 ay hapis cezasına mahkum edilmişti.
Maddi yaptırımlara
ek olarak, mahkemeler,
kanıtların yok
edilmesi ve cezai
yaptırımlar için haksız
fiil sorumluluğuna
hükmetti.
Yukarıdaki davalarda açıkça görüldüğü gibi, FRCP,
pek çok federal mahkemenin31 ve bazı eyalet
mahkemelerinin uzun yıllardır verdiği hükümlerin
bir derlemesi niteliğindedir. Ancak, FRCP üzerinde
yapılan değişikliklerin de davacılar üzerinde iki temel
etkisi vardır: 1) elektronik keşif özelliğine yöneliktir ve
tarafların ve avukatlarının elektronik veri konularında
araştırma yapmasını, elektronik verileri korumasını
ve üretmesini ve gerekli yanıtları vermesini zorunlu
kılarak elektronik verilerde oynanmış olabileceğine
dair tüm soru işaretlerini ortadan kaldırır ve 2) karşı
tarafların, davanın başından sonuna kadar elektronik
veriler konusundagörüş alışverişinde bulunmasını
ve birbirleriyle işbirliği yapmalarını zorunlu kılar.
Taraflar, genellikle davanın ilk birkaç ayında “bir araya
gelmek” ve keşfedilebilir bilgiler, elektronik bilgilerin
ne şekilde üretileceği (örneğin, PDF, Tagged Image File
Format (TIFF), “yerel” biçim, kağıt, vb.), bir tarafın
31Ağustos
2006’da, eyalet hakimleri yasal konferansında “Elektronik olarak Saklanan Bilgilerin Bulunmasına yönelik Eyalet Asliye Mahkemeleri Yönetmeliği” onaylandı. Ancak bu yönetmelik eyaletler tarafından kabul edilmedikçe bağlayıcı etkiye sahip değil. Bugüne kadar Eyalet
Yönetmeliğini kabul etmeyi düşünen eyaletler arasında Massachusetts ve N. Carolina bulunuyor. Buna karşılık, 1 Eylül 2006’da, New Jersey
FRCP’den alınan eyalet elektronik bulma kanunlarını kabul etti. Arizona, Florida, Idaho, Maryland ve New Hampshire eyaletlerinde
de değiştirilmiş FRCP’ye benzer kanunlar üzerinde düşünülüyor. Benzer ancak farklı elektronik bulma kanunlarının ortaya çıkması elektronik
veri yönetimi sistemlerinin hem geniş oranda kabul edilmiş elektronik bulma kanunlarını hem de aradaki ince farkları kapsayacak şekilde
incelikli olması gereğini vurguluyor.
21
2008-06-11 16:27:41
FRCP karşıt tarafların
davanın başından
sonuna kadar
elektronik veriler
hakkında birbirleriyle
açıkça tartışmasını
ve işbirliği yapmasını
zorunlu kılar.
verilere “erişilemeyeceğine” karar verip veremeyeceği”
ve “maliyetleri aşırı yüksek veya külfetli” veri alma
işlemleriyle nasıl başa çıkılacağı ve Hüküm 16 (b) ve
26 uyarınca kasıtsız olarak üretilmiş elektronik veya
kağıt dokümanlarda yer alan avukat-müvekkil, ticari
sır veya diğer ayrıcalıklı veya gizli bilgilerin gizli
tutulması konularında “görüş alışverişinde bulunmak”
zorundadır. Bir dava açılmadan önce taraflardan biri
doküman saklama politikalarını ve uygulamalarını
gerçekleştirmediyse veya anlamadıysa, önceden
planlama yapan ve kendileri için hangi tekliflerin daha
yararlı olacağını önceden planlayan taraflar karşısında
zorunlu “bir araya gelme ve görüş alışverişinde bulunma”
toplantısı nedeniyle dezavantajlı duruma düşer.
Değiştirilen Yasalar’da da, tarafların yazılı soruları
(sorgular) cevaplaması veya fiziksel olarak doküman
hazırlaması gereken durumlarda elektronik verilerin rolü
açık bir şekilde ele alınmaktadır. Örneğin, FRCP 33 (d)
hükmü, (i) yanıtlar söz konusu kayıtlardan alınabiliyorsa,
(ii) bu bilgileri alma sorumluluğu iki taraf için de eşitse
ve (iii) kayıtlar belirlendiyse, yanıt veren tarafın cevap
niteliğindeki bilgilerin “elektronik olarak saklanan
bilgiler dahil, iş bilgileri” olduğunu belirtmesine olanak
tanır. Değiştirilen FRCP 34, artık, ortada bir sözleşme
veya mahkeme kararı olmadığında bile tarafların istenen
elektronik bilgi (kağıt veya elektronik) üretimi yöntemini
açıkça belirtmesine izin vermektedir. Değiştirilen yasalar,
saklanan verilerin “normalde korunduğu” biçimdeveya
makul olarak kullanılabilir bir biçimde üretilmesini
öngörmektedir.
Elektronik üretim biçiminin günümüzde ve gelecek
yıllarda çok tartışılacağını söyleyebiliriz. Kimilerine
22
2008-06-11 16:27:41
göre, elektronik verilerin “normal saklanma biçimi”,
“yerel dosya” üretimini gerektirecektir. Kimileriyse,
“yerel biçim”, ayrıcalıklı veya korunan bilgilerin kolayca
kaldırılmasına veya üretilen doküman sayısının
kontrol altında tutulmasına izin vermeyeceği için
buna karşı çıkmaktadır. Bazı mahkemeler ve taraflar,
dokümanların tüm meta verileriyle üretilmesi gerektiğini
düşünmektedir. Williams ve Sprint/United Management
Company, 230 FRD 640 (D. Kan. 2005); D.E. Tech
v. Dell Inc., 2006 U.S. Dist. LEXIS 87902 (W.D. Va. 2006);
Nova Measuring Instruments ve Nanometrics Inc. 2006
U.S. Dist. LEXIS 49156 (N.D. Kal. 2006); Re Payment
Card Interchange Fee and Merchant Discount Antitrust
Litigation, 2007 U.S. Dist. LEXIS 2650 (E.D. N.Y. 2007).
Öte yandan, mahkemeler ve diğer taraflar arasında,
hukuki varsayımın meta verilerin üretimine karşı
olması gerektiği görüşü hızla yayılmaktadır. Kentucky
Speedway ve National Association of Stock Car Auto
Racing Inc., 2006 U.S. Dist. LEXIS 92028 (E.D. Ky.
2006); Wyeth ve Impax Laboratories Inc., 2006 U.S.
Dist. LEXIS 79761 (D. Del. 2006); The Ponka Tribe of
Indians of Oklahoma ve Continental Carbon Co., 2006
U.S. Dist. LEXIS 74225 (W.D. Okla. 2006). Aslında, ABA
2006’da 06-442 sayılı resmi kararıyla bu sorumluluğu
olası koruma altındaki meta verileri, meta verilerin
“temizlenmesi” amacıyla gönderen veya ayrıcalıklı veya
başka bir şekilde koruma altındaki meta verilerin kasıtsız
olarak üretilmesi olasılığını önlemek üzere, dokümanın
meta verileri içermeyen farklı bir sürümünü gönderen
avukata vermiştir. Florida ve Marylan Eyalet Baroları,
benzer şekilde dava vekili için üretimden önce koruma
altındaki meta verilerin “temizlenmesi” gereğini zorunlu
kılmıştır. Mahkemeler ve Eyalet Baroları meta veri
Elektronik üretim
biçiminin günümüzde
ve gelecek yıllarda
çok tartışılacağını
söyleyebiliriz.
23
2008-06-11 16:27:41
sorununu nasıl çözerlerse çözsünler, bir şey kesindir:
Şirketlerin ve avukatlarının, üretimden önce elektronik
bilgilerinin ne şekilde saklandığını ve varsa bu bilgilere
dahil olan meta verileri bilmesi gerekir. Ayrıca, şirketlere
ve avukatlara, federal mahkeme tarafından şart koşulan
“bir araya gelme ve görüş alışverişinde bulunma”
toplantısından önce bu tür konuları ele alabilmek için
hazırlıklı olmaları önerilir.
Düzeltilmiş Hüküm 37 de söz konusu veriler elektronik
bilgi sisteminin olağan ve iyi niyetli işleyişi sonucu
kaybolması durumunda, elektronik olarak saklanan
verilerin üretilememesi nedeniyle verilen bulgu
yaptırımları için sınırlı bir “güvenli liman” sağlar.
Yukarıda belirtildiği gibi, taraflardan biri zamanında
“dava nedeniyle koruma altına alma”eylemini
gerçekleştiremezse, mahkeme iyi niyet olduğuna
hükmetmeyecektir. Koruma altına alma konuları
yedek bantlar, sabit diskler, dizüstü bilgisayarlar
ve diğer elektronik saklama alanlarını içerecek
şekilde ana sistemin dışına çıkar. Bu tür konular ilk
bakışta göründüğü kadar açık olmayabilir. Şirketiniz
BlackBerry’ler gibi PDA’lar (elektronik ajandalar)
kullanıyor mu? Bazı e-postalar yalnızca PDA’larda
saklanıyor ve şirketinizin sunucularında bulunmuyor
mu? Çalışanlar, dokümanlar düzenli olarak elektronik
ortamda temizleniyor olduğu halde bunların basılı
kopyalarını alıyor saklıyor mu? Siz bu kopyaların
nerede saklandığını biliyor musunuz? Çalışanlarınız
iş saatlerinde, şirketinizin elektronik olarak yönetilen
sisteminde bunların bir kopyasını sakladığı e-posta
bültenlerine, Anlık İleti programlarına veya kişisel
e-posta hesaplarına erişebiliyor mu? Şirketiniz elektronik
24
2008-06-11 16:27:41
verilerin ne sıklıkta imha edildiğini veya bu verilerin
üzerine ne sıklıkta yazıldığını izliyor mu? Bu sistemler
aranan kelimelere (örneğin, olası bir davacının adı, iş
ünvanı veya satın alınan bir ürün) göre belirli türdeki
veriler için duraklatılabiliyor mu? Şirketiniz hangi
e-postaların şirket bilgisayarlarındaki kişisel klasörlerde
saklanacağı konusunda açık ve net politikalara sahip
mi ve çalışanlarınız bu politikaları düzenli bir şekilde
izliyor mu? Şirketiniz bilgisayarlarında ne tür meta
verilerin bulunduğunu biliyor mu?
Etkin bir veri yönetimi sistemi herhangi bir davadan
önce bu konuların her birini ayrıntılı olarak kapsamalıdır
ve bir “dava durumu” ortaya çıktığında, şirket ilgili
tüm verileri hemen belirleyip gereken biçimlerde
saklayabilmelidir.32 Dava için koruma altına alınan tüm
elektronik veriler, yalnızca olası davanın odaklanacağı
kişi veya olası benzersiz muamele ayrımcılığı veya
kolektif dava durumunda benzer durumdaki kişiler
tarafından oluşturulan dokümanlarla sınırlı kalmayıp,
söz konusu kişiyle ilgili veya bu kişiye gönderilen tüm
dokümanları da içermelidir.
32
Etkin bir veri yönetimi
sistemi herhangi
bir davadan önce
bu konuların her
birini ayrıntılı olarak
kapsamalıdır ve bir
“dava durumu” ortaya
çıktığında, şirket
ilgili tüm verileri
hemen belirleyip
gereken biçimlerde
saklayabilmelidir.
Allen Smith, Amended Federal Rules Define Duty to Preserve Work E-mails, HR NEWS, 1 Aralık 2006.
25
2008-06-11 16:27:41
2008-06-11 16:27:41
HuzurluÇalışma Ortamı
Amerika Birleşik Devletleri’nde,33 negatif çalışma
ortamı davalarını engellemek için en iyi uygulamanın
uygun filtreler kullanılması ve çalışanların izlenmesi
olduğu kabul edilmiştir. “Sorumluluğu önlemek için
filtrelerin kullanımının gerektiği yaygın olarak kabul
edilmiştir”.34 “Filtreler kullanılmış olsaydı, söz konusu
e-postalar gönderilemeyeceğinden birçok e-posta taciz
davası önlenecekti”.35
Birçok e-posta
taciz davası filtreler
kullanılmış olsaydı,
söz konusu e-postalar
gönderilemeyeceğinden,
önlenebilecekti.
İstatistiklerin ve en yüzeysel negatif çalışma ortamı
incelemelerinin bile gösterdiği gibi, elektronik posta
sistemleri sayısız ayırımcılık ve taciz davasının kaynağı
olmuştur. EEOC ile Freddie Mac arasındaki davada
Med. No. 97-1157-A, 3-4 (E.D. Va. 24 Temmuz,
1997) (iş ortamında “ebonics” (zenciler tarafından
konuşulan İngilizce) hakkında aşağılayıcı elektronik
postaların gönderimiyle ilgili en az üç sene önce açılmış
ve süren dava. İşverenin meseleyi kökünden çözecek
eylemi zamanında yapması gerekiyordu”.) Olivant
ile Dept. of Environmental Protection arasındaki
dava, 1999 WL 430770 (N.J. Yönetici 12 Nisan)
(cinsiyet ayırımına dayalı “mizahın” elektronik posta
sistemlerinde dağıtımı cinsel taciz oluşturur.); Trout
ile City of Akron arasındaki dava (Dava dilekçesi No.
CV-97-115879 (dosya tarihi 17 Kasım 1997); Karar,
no. (15 Aralık 1998)); Çalışanların bilgisayarlarında
pornografik malzemeler görüntülemesi nedeniyle City
260.000 Dolar cezaya çarptırıldı. Bunun aksine, Delfino
ile Agilent arasındaki davada 145 Kal. App.4th 790 (6th
Dist., 2006), mahkeme çalışanın İnternet üzerinden tehdit
33
Uluslararası bazda, izleme çeşitli kısıtlamalara ve yasaklara tabidir. Bu makale esas olarak ABD’deki uygulamaları açıklamaktadır; ancak
aşağıda Bölüm VIII’de belirtildiği gibi, çok sayıda ABD dışı yasal gereksinimlerle uyumu sağlamak için daha da ayrıntılı veri yönetimi gerekmektedir.
34 Eugene Volokh, UCLA Hukuk Profesörü, Freedom of Speech, Cyberspace: Harassment Law and the Clinton Administration, 63 LAW
& CONTEMP. PROBS. 299 (2000).
35 Wendy R. Leibowitz, Avoiding E-mail Horror Stories: Policies and Filters the Best Defense, N.Y. L.J., December 15, 1998, at 5.
27
2008-06-11 16:27:41
içerikli iletiler göndermek üzere işverenin bilgisayarını
kullanması konusunda, işveren bu suistimali öğrenir
öğrenmez gerekli önlemi aldığı için, işverenin bir
sorumluluğu olmadığına karar verdi. Buna ek olarak,
federal kanunlar kaçakçılık kabul edilen çocuk
pornosunu düzenleyerek” 18 USC 2251 ve diğerleri ile
söz konusu içeriğin kullanılmasını, bulundurulmasını,
dağıtılmasını vb. yasadışı ilan etmiştir. Aslında, şirketler
bu tür malzemelerin kullanımından haberdar olmaları
durumunda bunu FBI’ya bildirmekle yükümlüdür. Bu
durumu bildirmemeleri çocuk pornografisi kanunlarını
ihlal etmiş kabul edilemelerine neden olabilir.
Suistimale karşı koruma için, ABD’de gün geçtikçe
daha fazla sayıda şirket izleme cihazları veya filtreler
kullanıyor. ABD’de bir işverenin şirket donanımınları
aracılığıyla gerçekleşen elektronik iletişimi izleyememesi
ciddi ölçüde sorumluluk altında kalmasına neden olur.
Buna göre, ABD’deki işverenlerABD’deki çalışanlarına
bilgisayarların işverenin mülkiyetinde olduğunu,
iletişimin sürekli izlendiğini ve çalışanların işle ilgili
bilgisayarlarını kullanırken gizlilik beklentisi içinde
olmamaları gerektiğini bildirmelidir.36
Ayrıca, mahkemeler gün geçtikçe kişileri sakıncalı
İnternet içeriğinden korumak için en az kısıtlayıcı
yöntem olan filtrelemeden daha memnun olmaktadır.
Örneğin, 22 Mart 2007’de bir Pennsylvania’daki bir
federal mahkeme Çocukları Online Koruma Yasası37’yi
kısmen anayasaya aykırı buldu. Bunun nedeni filtrelerin
çocukları İnternet üzerindeki sakıncalı içerikten
korumak için Kongre yasalarının gerektirdiği derecede
kısıtlayıcı bir önlem olmamasıydı.38 Mahkeme filtrelerin
36 Monitoring
Employee E-mail: Efficient Workplaces vs. Employee Privacy, 2001 DUKE L. & TECH. REV. 0026 (2001).
47 U.S.C. § 231.
38 ACLU v. Gonzales, No. 98-5591 (E.D. Pa. 22 Mart 2007).
37
28
2008-06-11 16:27:41
“uygunsuz cinsel içeriğin % 95” ini engellediğine ve39
ayrıca “tamamen özelleştirilebilir ve farklı yaş grupları ve
farklı içerik kategorileri için ayarlanabilir veya tamamen
devre dışı bırakılabilir…” olduklarına karar verdi.40
Düzenlemeler, hukuki ihtilaflar ve önlenebilecek
hataların maliyetlerinin artması nedeniyle, şirketler
verimi yönetmek, kaynaklarını korumak ve çalışanların
uyumluluğunu teşvik etmek için teknolojiye ek olarak
işyeri politikaları kullanmaktadırlar. Resmi kaynaklara
göre, ABD’deki şirketlerin % 80 veya daha fazlası
çalışanlarına içerik, tuşa basımları ve klavyede geçirilen
zamanı izlediğini bildiriyor; % 76’sı çalışanlarının web
sitesi etkinliklerini izliyor; % 65’i uygun olmayan web
sitelerine erişimi engelliyor; % 82’si şirketin bilgisayardaki
dosyaları sakladığını ve incelediğini açıklıyor; % 86’sı
çalışanlarını e-postaların izlendiği konusunda uyarıyor
ve % 89’u çalışanlarına web kullanımlarının izlendiğini
bildiriyor.41 2005’te, resmi kaynaklara göre ABD
şirketlerinin % 84’ü kişisel e-posta kullanımını yöneten
politikalar uygulamaya başladı, % 42’si kişisel anlık ileti
gönderimiyle ilgili politikalara sahip, % 34’ü iş saatlerinde
kişisel web sitelerinin kullanımına yönelik önlemler aldı,
% 23’ü kuruluş blog’larına gönderimde bulunmayla
ilgili politikalara sahipti ve kuruluş politikalarının
% 20’si iş saatlerinde kişisel blog’larla çalışmaya kısıtlama
getirdi.42 Aynı yıl, işverenlerin % 26’sı çalışanlarını
İnternet’i kötüye kullanma nedeniyle işten çıkardığını
bildirdi ve % 25’i e-postaları kötüye kullanma nedeniyle
işten çıkardı.43
39
Düzenlemeler,
hukuki ihtilaflar
ve önlenebilecek
hataların maliyetlerinin
artması nedeniyle,
şirketler verimi
yönetmek, kaynaklarını
korumak ve çalışanların
uyumluluğunu
teşvik etmek için
teknolojiye ek olarak
işyeri politikaları
kullanmaktadırlar.
Id.
40 Id.
26
AMA/ePolicy Institute Araştırması, 2004 Workplace E-mail and Instant Messaging Survey (2004).
42 Id.
43 Id.
29
2008-06-11 16:27:42
2008-06-11 16:27:42
Şirket Başarısının TemeliniFikri
Mülkiyetin Korunması Oluşturur
E-posta hacmi senede % 30oranında artıyor ve % 80
oranında şirketlerin fikri mülkiyetlerini içeriyor.44
Felaket olasılığı artık teoriden ibaret değil. Sonoco
Products ile Johnson arasındaki davada, 23 P.3d 1287
(Co. App. 2001), eski çalışan ve yeni işverenin bir çalışan
tarafından çalınan Sonoco’nun elektronik ve fiziksel
ortamda bulunan özel bilgilerini kullanmak üzere birlik
olduğu ticari sır suistimali davasında şirkete yaklaşık
7 milyon Dolarlık ceza verildi.45
E-posta hacmi yılda
% 30 oranında artıyor
ve % 80 oranında
şirketlerin fikri
mülkiyetlerini içeriyor.
Mahkemeler yalnızca elektronik verilerle kaçan
çalışanıdeğil yeni işvereni de suçlu buldu. Shurgard
Storage ile Safeguard Self-Storage arasındaki davada,
119 F. Supp. 2d 1121 (W.D. Wash. 2000), davacı,
Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası
altında, eski çalışanın davacının bilgisayarlarını
kullanarak davalı şirkete davacının özel bilgilerini eposta ile göndermesi ve daha sonra bu şirket tarafından
işe alınması nedeniyle, yeni işverene dava açtı. Charles
Schwab ile Carter arasındaki davada, 2005 U.S. LEXIS
21348, no. 04-C-7071 (N.D. Ill. 2 Eylül7 2005), mahkeme
davacının vekaleten sorumluluk teorisiyle Bilgisayar
Sahtekarlığı ve Kötüye Kullanımı Yasası altında davacının
eski çalışanın yeni işverenine karşı açtığı davayı haklı
buldu. Çalışan davacı Schwab için çalışırken, Schwab’ın
özel bilgilerini sonraki işvereni olan Acorn’a yollamıştı.
Schwab, Acorn’un çalışanı yetkisi dışındaki Schwab
bilgisayar erişmeye zorladığını iddia etti.
44
Frank Chambers, EDD Tips for Email from the Front Line, LAW TECHNOLOGY TODAY, Mart 2007.
bkz., Sawyer v. Dept. of Air Force, MSPB 1986, 31 MSPR 193; US v. Middleton, 35 F. Supp. 2d 1189 (N.D. Kal. 1999); EF Cultural
Travel BV v. Explorica Inc., 274 F.3d 577 (1st Cir. 2001); Pacific Aerospace Electronics Inv. v. Taylor, 295 F. Supp. 2d 1188 (E.D. Wa. 2003).
45 Ayrıca
31
2008-06-11 16:27:42
Lowry’s Reports ile Legg Mason arasındaki davada,
271 F. Supp. 2d 737 (D. Md. 2003), bir çalışan telif
hakkıyla korunan malzemeyi işyerinde dağıttı ve bu
malzemenin baskısını aldı. Mahkeme, işveren çalışandan
telif hakkıyla korunan malzemeyi dağıtmayı bırakmasını
istedikten sonra, çalışanın bu hatalı davranışa devam
ettiğini bilmemesinin anlamsız olduğunu belirtti.
Jüri 20 milyon Dolarlık bir cezaya karar verdi.46
Bu davaların her biri ABD’deki şirketlerin/mağdurların
dışarıya gönderilen özel bilgileri izlediğini ve bu
tür bilgilerin yetkisiz gönderimini tespit ettiğini
veya filtrelediğini göstermektedir.Bu filtreler yıllar
süren davaların yanı sıra, başlangıçta özel bilgilerin
kaybedilmesini de önleyebilirdi. Ne de olsa, kaybedilmiş
özel bilgiler, dava açılsın ya da açılmasın, nadiren
geri alınabilir.
46 Lowry’s Reports, Inc. ile Legg Mason, Inc. arasındaki davada, yeni dava ve delil yetersizliğinden davanın düşmesi talebi reddedildi.
302 F. Supp. 2d 455, 461 (D. Md. 2004).
32
2008-06-11 16:27:42
Gizlilik: Fazla Bilginin
Göz Çıkardığı Anlar47
Avrupa Birliği (AB) ülkelerinin ve dünyadaki bazı
bölgelerde bulunan ülkelerin aksine, ABD’nin
kapsamlı bir veri gizliliği planı yoktur. ABD, veri
gizliliği sorunlarını daha çok sektör veya endüstri
bazında, kişisel gizlilik verilerinin oluşturulmasına,
saklanmasına, kullanımına ve bu verilere erişime ilişkin
gizli yasalarla ele almayı tercih etmektedir. FRCP’nin
kayıt saklamaya verdiği önemin veya güvenli olmayan
iş ortamından veya Bilgisayar Sahtekarlığı ve Kötüye
Kullanımı Yasası kapsamında açılan davalardan
çıkarılan izleme derslerinin aksine, gizlilik yasaları, bir
şirketin toplayabildiği, işleme koyabildiği, aktarabildiği,
saklayabildiği, kullanabildiği veya dağıtabildiği verileri
düzenler ve kısıtlar. Sonuçta, etkili bilgi yönetimi
sistemlerinin gerektiğinde verileri saklama ve arşivleme
ve mümkün olduğunda ABD içinde izleme yeteneği
sunmasının yanı sıraşirkete yalnızca kısıtlı ve açıkça
belirtilmiş amaçlarla verilmiş gizli bilgilerin kullanımını
ve bu bilgilere erişimi kısıtlama yeteneğine sahip olması
gerekir.
Örneğin, Gramm-Leach-Bliley Yasası, bankacılık, sigorta,
tahvilat ve hisse senedi, mali danışmanlık ve yatırım
alanlarında faaliyet gösteren işletmeler dahil olmak
üzere mali kurumların faaliyetlerini düzenler. Özel mali
bilgilerin satışına karşı sınırlı gizlilik korumaları sağlar,
sahte bahanelerle özel mali bilgileri ele geçirmeye yönelik
sahte senaryolardan (pretexting) korunmayı düzenler ve
tüketicilere sınırlı “özel kişisel bilgi” paylaşımı kapsamı
47 ABD’nin yanı sıra dünya genelindeki veri gizliliği hakkında daha fazla bilgi için Baker & McKenzie Global Privacy Handbook
(Genel Gizlilik El Kitabı) (Uluslararası Gizlilik Çalışanları Derneği) ©2006 adlı çalışmadan yararlanabilirsiniz.
33
2008-06-11 16:27:42
HIPAA, sağlık
planları, sağlık takas
büroları ve sağlık
sektöründe faaliyet
gösteren kuruluşlar
şeklinde tanımlanan
“örtülü kuruluşlar”
için sağlık bilgilerinin
toplanmasını,
kullanımını ve bu
bilgilere erişimi ele alır.
dışına çıkma hakkı verir. Ayrıca, mali kurumlara Federal
Ticaret Komisyonu’nun Müşteri Bilgilerini Koruma
Standartları gibi yetkili merciler tarafından belirlenen
belirli ölçütleri karşılayan bilgi güvenliği programlarına
sahip olma koşulu getirir.
Doğru Kredi Raporlama Yasası (ve benzeri pek çok
eyalet kanunu), temelde, “tüketici raporlarındaki”
bilgilerin çok geniş bir kapsamı olan “tüketici
raporlama kuruluşları” tarafından kullanımını ve
açıklanmasını düzenler. Tıbbi ve mali bilgilerin ve
mahkeme muamelelerine ilişkin bilgilerin toplanmasına,
kullanımına ve açıklanmasına bazı kısıtlamalar getirir;
ayrıca kimlik hırsızlığı, istihdam amaçlı tüketici raporları
ve üçüncü taraflarla “araştırma niteliğindeki tüketici
raporları” ile ilgili özel kısıtlamalar içerir. Yasa, toplanan
ve dağıtılan verilerin veri gizliliğini ve doğruluğunu
korumak amacıyla tüketici raporlama kuruluşları ve
tüketici raporlarını kullanan kişiler için ve tüketici
raporlarından elde edilen bilgilere İnternet erişimi, bu
bilgilerin kullanımı ve güvenli bir şekilde yok edilmesi
konusunda pek çok koşul getirir.
Sağlık Sigortasının Taşınabilirliği ve Mali Sorumluluk
Yasası (HIPAA), sağlık planları, sağlık takas büroları ve
sağlık sektöründe faaliyet gösteren kuruluşlar şeklinde
tanımlanan “örtülü kuruluşlar” için sağlık bilgilerinin
toplanmasını, kullanımını ve bu bilgilere erişimi ele alır.
HIPAA mevzuatıyla düzenlenen konulardan bazıları
herhangi bir biçimdeki korunan sağlık bilgilerinin
kullanımı ve açıklanmasıdır. Örtülü bir kuruluş,
HIPAA tarafından zorunlu kılınan politikalardan ve
uygulamalardan ve altı ay boyunca kayıt tutulmasından
34
2008-06-11 16:27:42
sorumlu olacak bir veri görevlisi atamalıdır. Örtülü
kuruluşlar, bunun dışında Elektronik Korumalı Sağlık
Bilgilerinin Korunması için Güvenlik Standartları’na,
45 CFR 160 ve 164 uymalıdır. Ocak 2007’de, ABD Adalet
Bakanlığı, HIPAA kapsamında Cleveland Clinic’ten
1,130 elektronik kaydın çalınmasını kapsayan ilk tıbbi kimlik
hırsızlığı ceza davasını açtı. Bir Clinic çalışanının, hasta
kayıtlarını toplayarak organize bir suç örgütüne satmak
üzere Clinic’in bilgisayar sistemini kullandığı ve söz
konusu örgütün, bu kayıtları Medicare’e $7 milyonluk
sahte fatura düzenlemek için kullandığı iddia edildi.
California’nın Tıbbi Bilgilerin Gizliliği Yasası.48
HIPAA mevzuatıyla
düzenlenen konulardan
bazıları herhangi
bir biçimdeki
korunan sağlık
bilgilerinin kullanımı
ve açıklanmasıdır.
Ayrıca pek çok eyalette, sosyal sigorta numaralarının
gizliliğini koruyan özel yasalar yürürlüktedir. Örneğin,
California Medeni Kanununun 1798.85 numaralı
bölümü, başka yasakların yanında, bağlantı güvenli
olmadığı veya sosyal güvenlik numarası şifrelenmediği
sürece bir bireyden sosyal güvenlik numarasını
aktarmasını istemeye yasak getirmiştir. California
Medeni Kanununun 1798.81.5 numaralı bölümü,
işletmelere sosyal güvenlik numaraları, kredi kartı ve
banka hesap numaraları, ehliyet numaraları ve benzeri
pek çok bilgi dahil olmak üzere çeşitli kişisel bilgilerin
korunması için makul güvenlik prosedürleri uygulama
zorunluluğu getirmektedir. New York’ta da, sosyal
güvenlik numaraları gibi kişisel bilgilerin bulunduğu
dokümanların imha edilmesini düzenleyen benzer bir
yasa yürürlüktedir.49
Şirketlerin, hızla büyüyen veri gizliliğini koruma
rejimlerine karşı elektronik veri yönetimi sistemlerini
dikkatli bir şekilde seçmeleri gerekir. Hem doktorların,
48
Yakın zamanda yapılan bir araştırmada, katılımcıların % 98,5’i tıp kuruluşlarının hastaların tıp kayıtlarının güvenliğini sağlamaktan sorumlu
olduğunu ifade ederken % 40’tan az bir bölümü sağlık hizmeti aldıkları kuruluşların tıbbi bilgilerinin güvenliğini sağladığına inandığını dile
getirdi. Katılımcıların neredeyse tamamı, hastanın izni olmadan tıp kayıtlarına erişilmesi durumunda tıp kuruluşlarının hastayı uyarmakla
yükümlü olduğuna inandığını; ancak her 10 katılımcıdan 7’si, bir güvenlik ihlalinden şüphelenildiğinde bunun hastalara bildirildiğine
inanmadığını belirtti. www.epictide.com.
49 NY CLS Gen. Bus. §399-h (2007).
35
2008-06-11 16:27:42
ABD ve eyalet veri
gizliliği yasalarının
ihlal edilmesi çoğu
zaman para cezasına
yol açmasının yanında
şirket itibarını
ve markasını lekeler.
İhlali önlemek
amacıyla önceden
planlama yapılması,
sonradan zararı tazmin
etmeye çalışmaktan
çok daha etkilidir.
hem de bankacıların, gerek tanı bilgileri, gerekse
mali bilgiler gibi gizli bilgileri korumak için şifreleme
özelliklerinden yararlanması gerekir. Yetkisiz veya
fazla erişimi önlemek amacıyla güvenlik duvarları ve
sınırlı erişim yüklenmelidir. Bir güvenlik ihlali tespit
edildiğinde zaman kaybedilmeden gerekli bildirimlerde
bulunulması ve çözüm niteliğinde işlemlerin
gerçekleştirilebilmesi için izleme yeteneği olmalıdır.
ABD ve eyalet veri gizliliği yasalarının ihlal edilmesi
çoğu zaman para cezasına yol açmasının yanında şirket
itibarını ve markasını lekeler. İhlali önlemek amacıyla
önceden planlama yapılması, sonradan zararı tazmin
etmeye çalışmaktan çok daha etkilidir.
36
2008-06-11 16:27:42
Şifreleme
Şifreleme çok gerekli olmasına karşın, çoğu
zaman yeterince yararlanılmayan bir teknolojidir.
“Veri şifreleme, aktarılan veya saklanan bilgilerin
karıştırılarak istenen alıcı dışında hiç kimse tarafından
anlaşılamamasını sağlama işlemidir”.50 Ticari sıraların
ve İnternet üzerinden gönderilebilecek diğer sırların
korunması şarttır.
Şifreleme yetenekleri olmadığında şirketlerin sırları
açıkta kalır. “Güvenlik dünyasında, 2005 yılı, veri
sızıntılarının manşet haberi haline geldiği yıl olarak
hatırlanacaktır. Bunda, müşteri verilerinin çalınması
veya kaybedilmesi durumunda halkın bilgilendirilmesini
zorunlu kılan yeni ABD yasalarının payı büyüktür”.51
Daha tehlikeli olansa, işverenlerinin gizli bilgilerine erişimi
olan çalışanların veri güvenliğine öncelik vermemesi
veya gizli verilerin nasıl kullanılacağını bilmemesidir.
Konusunda bir ilk olan “Why Johnny Can’t Encrypt”,52
(Johnny Neden Şifreleyemiyor) adlı makalede Carnegie
Mellon Üniversitesi’nden iki araştırmacı, orta halli,
eğitimli, e-posta kullanmayı bilen kullanıcıların şifreleme
teknolojisini kullanmayı bilmediğini ifade etmektedir.
Bu makalenin ardından yapılan, devam niteliğindeki
“Why Johnny Still Can’t Encrypt”53 (Johnny Neden Hala
Şifreleyemiyor) adlı çalışma bir miktar gelişme olduğunu
göstermiştir. Şirketlerin, güvenlik gereksinimlerine
uygun kullanımı kolay şifreleme sistemleri edinmek için
proaktif adımlar atması ve çalışanlarını teknolojiyi nasıl
kullanacakları konusunda eğitmesi gerekir.
50 Fred Moore, Preparing for Encryption: New Threats, Legal Requirements Boost Need for Encrypted Data, COMPUTER TECHNOLOGY
REVIEW, Ağustos-Eylül 2005.
51 Kevin Murphy, Email Security Uncovered, COMPUTER BUSINESS REVIEW ONLINE, 1 Kasım 2005 (CipherTrust üst düzey ürün
geliştirme direktörü Alex Hernandez’den alıntı).
52 Alma Whitten & J.D. Tygar, Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0, bkz. http://www.gaudior.net/alma/johnny.pdf.
53 Steve Sheng et al, Why Johnny Still Can’t Encrypt: Evaluating the Usability of Email Encryption Software, bkz. http://cups.cs.cmu.edu/
soups/2006/posters/sheng-poster_abstract.pdf.
37
2008-06-11 16:27:42
Korsanlar, orta
ölçekli şirketlerin
güvenlik ve şifreleme
için genellikle daha
az harcama yaptığını
bildiğinden verilerini
korumamaları halinde
4,000’in üzerinde
orta ölçekli şirketin
saldırılara açık olduğu
tahmin ediliyor.
Şifrelenmemiş bilgilerin saklandığı veri depolama
sistemleri, şirketleri, müşteri bilgilerinin korsanlar
tarafından çalınması riskiyle karşı karşıya getirir ve bu
durum, halkla ilişkilerde sorunlara, müşteri kayıplarına ve
maliyeti ağır davalara yol açabilir. Örneğin, Ocak 2007’de
T.J. Maxx, Marshalls, Home Goods, Bob’s Stores ve daha
başka perakende zincirlerini kapsayan TJX Companies
adlı şirket, bilgisayar sistemlerinin 2005-2006 yıllarında
saldırıya maruz kaldığını, 2002-2004 yılları arasında
kullanılan ve kişilerin adlarını, kredi ve banka kartı
numaralarını içeren 45,7 milyon ödeme kartına ilişkin
bilginin çalındığını duyurdu.54 Radioshack, Mart
2007’de, atılan 20 kutu kaydın müşterilerin kredi kartı
numaralarının bulunduğu faturaları içerdiğini öğrendi.
Teksas Başsavcısı işlem başlattı. Mart 2007’de Group
Heath Cooperative Healthcare System, yerel hastaların
ve çalışanların adlarını, adreslerini, sosyal güvenlik
numaralarını ve Group sağlık kimlik numaralarını
içeren, şirkete ait iki diz üstü bilgisayarı kaybetti.
Bu kazaların her biri şifreleme kullanılarak önlenebilirdi.
Orta halli şirketlerin saldırılara daha açık olduğu
söylenebilir. Korsanlar artık küresel bir virüs yaymış
olmanın getireceği şöhretin peşinde değil. Artık amaçları
para kazanmak. Korsanlar, orta ölçekli şirketlerin
güvenlik ve şifreleme için genellikle daha az harcama
yaptığını bildiğinden verilerini korumamaları halinde
4000 ’in üzerinde orta ölçekli şirketin saldırılara açık
olduğu tahmin ediliyor.55
Yukarıda belirtildiği gibi, kişisel bilgilerin yanlışlıkla
yayınlanması durumunda, en azından California’nın
Sosyal Güvenlik Numarasının Gizliliği Yasası uyarınca,
54
TJX, Sık Sorulan Sorular, www.tjx.com/tjx_faq.htm.
Allan Holmes, Many Mid-Market Enterprises Say They Have Neither the Time, Money nor Resources to Spend on Security. Which May Be Why
the Crooks Are Targeting Them and Turning the Mid-Market into a Bad Neighborhood, CIO, 1 Mart 2007.
55
38
2008-06-11 16:27:42
şifreleme, bir karşı cevap layihası sayılır.56 Ayrıca,
istihbarat içeren devlet yüklenicileri tarafından çeşitli
şifreleme standartlarının kullanılması gerekir.57 Bundan
başka, sağduyu, özel bilgilerin yanlışlıkla açığa çıkmasını
önlemek amacıyla şifreleme kullanmayı gerektirir.
Şirketin şifreleme hizmeti gereksinimi, BT ve hukuk
departmanları tarafından koordine edilmeli, korsanlığa,
hırsızlığa veya hukuk davalarına karşı geçerli sistemin
yeterli koruma sağlayıp sağlamadığı belirlenmelidir.
56
57
CAL. CIV. CODE §1798.29 (bu yasanın bir bölümü SB 1386 olarak da bilinir).
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Veri Şifreleme Standardı Temel Verileri, bkz. http://csrc.nist.gov/cryptval/des/des.txt.
39
2008-06-11 16:27:43
2008-06-11 16:27:43
Uluslararası Sorunlar: Veri Uyumluluğu
Dünyaları Ne Zaman Çarpışır
ABD dışındaki yargı alanlarında geçerli veri toplama,
işleme, saklama, kullanma, izleme, erişme ve imha
etme kuralları çok farklı olduğu gibi zaman zaman
ABD’de geçerli kanunlara aykırıdır. Uluslararası faaliyet
gösteren şirketlerin elektronik veriler için geçerli yerel
veri uyumunun yanı sıra sınır ötesi kuralları da bilmesi
gerekir.
Uluslararası faaliyet
gösteren şirketlerin
elektronik veriler
için geçerli yerel veri
uyumunun yanı sıra
sınır ötesi kuralları
da bilmesi gerekir.
Örneğin AB’de her ülke, AT Veri Gizliliği Direktifi
uyarınca, “kişisel bilgilerin” toplanmasına,
kaydedilmesine, düzenlenmesine, depolanmasına,
adapte edilmesine, değiştirilmesine, alınmasına,
engellenmesine, izlenmesine, kullanımına, açıklanmasına,
aktarılmasına, devredilmesine ve imha edilmesine ilişkin
yasaları ” ve bazı durumlarda “gizli kişisel bilgiler” için
daha fazla koruma uygulamıştır. ABD’nin aksine, AB’de
“kişisel bilgiler” daha geniş bir şekilde tanımlanmaktadır
ve genellikle endüstri ve sektörle sınırlanmaksızın bir
kişinin ad, adres, maaş, kazanç ve mali bilgilerini ve
sağlık, ırk, etkin köken, siyasi görüş, sendika üyeliği veya
medeni durum gibi daha “özel” bilgilerini yetkisiz bir
şekilde işlenmeye veya aktarılmaya karşı korur. Bu tür
yasalar, çalışanların yanı sıra tüketiciler için geçerlidir.
İtalya, Avusturya ve diğer birkaç ülke bir adım daha ileri
giderek şirketleri de veri gizliliği koruması kapsamına
dahil etmiştir.
ABD, AB tarafından “güvenli olmayan” bir yargı alanı
sayıldığından bu tür bilgilerin ABD-AB Safe Harbor
41
2008-06-11 16:27:43
Şirketler, hangi
verileri toplamalarına,
işlemelerine
ve uluslararası
düzeyde aktarmalarına
izin verildiğini
öğrenmeli; zaman
zaman rekabet eden,
zaman zaman çelişen
yasalarla boğuşmaya
hazır olmalıdır.
Sözleşmesi’ne katılım, AB Modeli Hükümlerinin
benimsenmesi veya onaylanmış Veri Gizliliği
politikalarının uygulanması gibi belirli önlemler
alınmadıkça ABD’ye ve diğer “güvenli olmayan yargı
alanlarına” elektronik olarak veya başka yöntemlerle
aktarılması yasalara aykırıdır. Kişisel verilerin ABD’ye
aktarımı için bu tür koruma amaçlı önlemler alınmış
olsa bile söz konusu verilerin kimliği belirsiz üçüncü
taraf işlemcilere veya Hindistan’daki veri girişi hizmetleri
gibi diğer ülkelere “ileriye dönük” aktarımına izin
verilmeyebilir. Bu konuda AB ülkeleri yalnız değildir:
Kanada, Arjantin, Japonya, Avustralya ve diğer pek
çok ülke, çeşitli düzeylerde veri gizliliği korumalarını
benimsemektedir.
Şirketler, hangi verileri toplamalarına, işlemelerine
ve uluslararası düzeyde aktarmalarına izin verildiğini
öğrenmeli; zaman zaman rekabet eden, zaman zaman
çelişen yasalarla boğuşmaya hazır olmalıdır. Örneğin,
SOX, halka açık şirketlerin mali ihlallerden veya
güvenlik ihlallerinden şüphelenildiğinde bu durumun
bildirilebileceği anonim bir ihbar hattının bulunmasını
şart koşar. SOX anonim hattının amacı, çalışanların,
kimliklerinin gizli tutulduğunu bilmenin rahatlığıyla
bir misillemeden çekinmeden ihbarda bulunmalarını
sağlamaktır. Öte yandan, AB, anonim hatların gizlilik
haklarını ihlal ettiği gerekçesiyle anonim raporlamaya
kısıtlamalar getirir. SOX’un şeffaflığı ve AB’nin gizlilik
kaygıları arasındaki bu öncelik çakışması, halka açık çok
uluslu şirketler için gözle görülür bir ikilem yaratmakta
ve ABD SOX gereksinimlerini karşılarken gereken sınırlı
saklama, erişim ve alma olanaklarının gözetilmesini
sağlamak için gelişmiş bir veri yönetimi sistemi
gerektirmektedir.58
58
Davranış Kuralları ve anonim ihbarların dünya genelinde aşırı kullanımı hakkında daha fazla bilgi için bkz. “Overreaching Global Codes of
Conduct Can Violate the Law”, Cynthia L. Jackson, LA and SF Daily Journal, 7 Haziran, 2006.
42
2008-06-11 16:27:43
Diğer ABD “en iyi uygulamaları”, uluslararası ortamda
karşılık bulamamaktadır. Örneğin, 2001 yılında
Fransa’da Anayasa Mahkemesi, bir Fransız şirketinin,
Fransız bir çalışanın şirketteki bilgisayarını izleyerek
rakip olabilecek bir şirkete gizli bilgiler içeren e-postalar
gönderdiğini tespit ettikten sonra o çalışanı işten
çıkarmasının yanlış ve anayasaya aykırı, suç teşkil eden
bir ihlal olduğu kararına varmıştır. Fransız mahkemesi,
işveren, şirket bilgisayarlarının iş dışında amaçlarla
kullanımını yasaklamış bile olsa çalışanların, çalışma
saatleri içinde ve işyerlerinde, anayasadan doğan gizlilik
hakkının bulunduğuna hükmetmiştir. Bu konuda biraz
daha yumuşak davranmakla birlikte, Almanya da,
işveren çalışanların şirket sistemini kişisel amaçlarla
kullanmasına izin veriyorsa çalışanların bilgisayarlarının
izlenmesine kısıtlama getirmiştir. AB içindeki bazı yargı
alanlarında, çalışanlar, en azından yerel veri gizliliği
yetkili organınca kaydedilip onaylandıktan sonra
izlenebilmektedir.
Dolayısıyla, elektronik veri yönetimi sistemi seçilirken,
şirketin, verilerin toplandığı, kullanıldığı veya erişime
sunulduğu yerdeki yerel hukuki gereksinimleri bilmesi
çok önemlidir. Çok uluslu şirketlerde olduğu gibi, veriler
birden çok yargı alanında toplanır veya birden çok yargı
alanına aktarılırsa, veri gizlilik politikalarına uyulması
ve gerekli, uyumlu önlemler alınmadan veri işlemlerinin,
izleme veya veri aktarımının gerçekleştirilememesi için
gerekli güvenlik duvarı ve erişim kısıtlamalarından
yararlanılması gerekir.
43
2008-06-11 16:27:43
2008-06-11 16:27:43
En İyi Uygulama İpuçları
1.
Önceden planlayın. Verilerinizi yönetmeye
başlamak için dava açılmasını, muhalif çalışma
ortamından şikayet edilmesini, ticaret sırlarının
dışarı sızmasını veya gizli bilgilerin kaybolmasını
beklemeyin.
2.
Yasal olarak nelerin gerekli olduğunu bilin.
Şirketinizin faaliyet gösterdiği sektörün ve hukuk
düzenlerinin yasal gereksinimlerini anlayın.
Örneğin, bir ülkedeki veya eyaletteki belirli bilgilerin
veri saklama yükümlülükleri nelerdir? Varsa, erişimi
veya saklamayı kısıtlayan teminatlar nelerdir?
Nelerin şifrelenmesi gerektiğini ve bir güvenlik ihlali
olması durumunda, bildirim yükümlülüklerinizi
biliyor musunuz? Filtreler, muhalif çalışma
ortamlarını önleme görevinde akıllıca çalışıyor mu
veya filtreler, gizliliğe saldırı olarak mı görülüyor?
3.
Tek beden herkese uymayabilir. Ulusal veya
uluslararası ölçekte çalışıyorsanız, bazen elektronik
veri yönetimi sisteminiz yükümlülüklerle çelişebilir.
Örneğin, izleme veya filtrelemeye izin vermeyen
bazı hukuk düzenlerinde güvenlik duvarlarını,
erişim kısıtlamalarını ve belirli işlevleri devre dışı
bırakmayı düşünebilirsiniz.
4.
Sistem yönetimiyle ilgili sorumluluk atayın.
Elektronik verilerin sağlanmasından ve
yönetilmesinden sorumlu çalışanlar atayın. Bu grup,
hukuk ve BT bölümlerinden seçilen, İK veya diğer
bölümlerden bilgi alan kişiler olabilir. Yasal talepler
ortaya çıktığında, sistemi çalıştıracak kişilere erken
haber verin.
5.
Çeşitli formları ve veri sorumlularını bulun.
Verilerin bir masada, kişisel dijital yardımcılarda
(PDA’lar), ev bilgisayarlarında, dizüstü
45
2008-06-11 16:27:43
bilgisayarlarda ve başka yerlerde saklanabileceğini
unutmayın. Yasaların şirketi sorumlu tutacağı
verileri yönetmeden önce, benimsediğiniz
sistemin hangi verileri nerede yakalayacağını
tanımlamalısınız. Sahip olduğunuz meta verileri
bilin.
6.
Esnek bir elektronik veri yönetimi sistemi seçin.
Şirketinizin, faaliyet gösterdiğiniz yargı alanlarındaki
saklama, arşivleme, izleme, filtre uygulama ve
şifreleme gereksinimlerini karşılayacak kadar
esnek bir sistem seçin. Çalışanların sistemi severek
kullanabilmesi için “kullanımı kolay” bir sistem
seçin. Değişen yasal gereksinimlere uygun olarak
değişebilecek bir sistem seçin. Meta veriler dahil
olmak üzere veri artışı için gerekli planları yapın.
7.
Çöpçü olmayın. Yalnızca teknoloji size büyük
elektronik verileri saklama olanağı verdiği için bunu
yapmanız gerekmez. Gereksiz verileri saklamak
yalnızca veri almayı karmaşıklaştırmakla kalmaz,
aynı zamanda saldırı risklerini de artırır. Örneğin,
gerekmiyorsa müşterilerin gizli mali verilerini
saklamayın. Gerekiyorsa, bu verileri şifreleyin.
8.
Politika benimseyin. Davadan önce “dava
bekletmeleri” dahil olmak üzere doküman saklama
gibi konuları ele alan, yürürlükteki yasalarla
uyumlu net ve basit politikalar benimseyin.
ABD’de, iyi tanıtılmış bir e-posta çalışan elektronik
izleme politikası benimseyin. İstenmeden açığa
çıkmalarını önlemek amacıyla gizli bilgiler için
şifreleme politikaları benimseyin. İzin verildiğinde,
çalışanlarınızın sizi ciddiye alması için disiplin
prosedürleri uygulayın.
9.
Hazırlıklı olun. Dava bekletme sürecini
uygulamaya koymak için bir duruşma olmasını,
hatta davalık bir durum ortaya çıkmasını
beklemeyin. Gerektiğinde dava bekletme
46
2008-06-11 16:27:43
işleminin hızlı bir şekilde tetiklenebilmesi için
tüm doküman imha işlemlerini geçersiz kılacak
bir süreç oluşturun. Elektronik keşif ile ilgili
herhangi bir “bir araya gelme ve görüş alışverişinde
bulunma” muamelesinden önce ödevinizi yapın.
Sahip olduklarını ve neye neden sahip olduğunu
bilen bir davacı en etkili elektronik keşif planını
görüşmek için avantajlı durumda olacaktır. Size hızlı
harekete geçme ve raporlama yeteneği kazandıracak
işlemleri gerçekleştirmek için bir güvenlik ihlaliyle
karşılaşmayı beklemeyin.
10. Eğitim, denetim, eğitim, denetim; daha fazla
eğitim, daha fazla denetim. Bir politika ve
veri yönetimi sistemi, ancak çalışanlar o sistemi
nasıl kullanacağını bilirse işe yarar. Bunun için
de dikkatli ve tutarlı bir uygulama ve bakım
gerekir. Veri yönetimi sistemi satın almak, uyum
yolunda yalnızca bir ilk sayılabilir. Yeni veriler,
yeni teknolojiler, yeni yasalar, yeni tehditler, yeni
çalışanlar… Bunların tümü, özenli bakım ve sürekli
eğitim ve denetim gerektirir.
47
2008-06-11 16:27:43
2008-06-11 16:27:43
2008-06-11 16:27:43
2008-06-11 16:27:44
2008-06-11 16:27:44
© Baker & McKenzie 2007
Postini, Inc. izniyle yeniden basılmıştır.
WP33-0705
2008-06-11 16:27:44

Uyuma Yönelik İşletme Kılavuzu

Transkript

Benzer belgeler

T.C. ANTALYA 5. SULH HUKUK MAHKEMESİ

Tatilde Sanatla Uğraşalım

Ezgi Aksoy

Hava Durumu Nasıl Tahmin Edilir?

Sunum 7 - Tolga Elbir

başvuru formunu indir

Tanrıya planlarından bahset.

Ek6 4734 Sayılı Kanunun 10 uncu Maddesine Göre Borcu Yoktur

1 GÜNLÜK BÜLTEN global.com.tr 444 0 321 Piyasa Verileri 06.02

Deney 1

şimdi bir tanıksınız - Office of Public Prosecutions

Bölüm I. Kurumsal Yönetim İlkelerine Uyum Beyanı Bölüm II

LinkedIn kullanarak erken aşamasında yatırımcılar bulmak için nasıl

Güvenli makinelere giden en iyi yol Helios Energy Europe Beaphar

Sunucu Servisleri 3

Bilgisayar Bilimcisi Gibi Düşünmek: Python İle Öğrenme

bedensel-zararlarda-zamanasiminin-baslangici

Cursor VTYS`deki cursor`ler, metin editörlerindeki cursorler ile aynı

6100 sayılı hukuk muhakemeleri kanunu`na göre ihtiyati tedbirler