Personal data protection in Turkey: An information technology framework indented for privacy risk management

Abstract

Privacy has become an important value and right in and of itself where society has recognized the necessity of protecting citizens from its invasion. As a result of the significance of privacy, many disciplines including law, social-psychology, philosophy, economy and technology has approached the notion of privacy in their own areas where information technology used the term personal data protection in order to fulfill the confidentiality, integrity, availability, reliability, quality requirements of data owned by an individual. Previous researches in Turkey analyzed the privacy rights from a public administration and law perspective and technical data protection mechanisms from a computer security perspective. In this study, current situation of data protection in Turkey, technical and non-technical aspects for a secure environment are investigated. An information technology framework is proposed in order to assure an end-to-end privacy during the full life cycle of personal data. The proposed solution is divided into three major domains; government, organizational and data owner domains. Consequently technology which is developed to protect privacy of data against the changing aspects of security concerns is described. Requirements engineering, risk management, incident calculation, compensation modeling, maturity modeling, privacy impact assessment are used in the framework analysis. In this study it is shown that, technology originated threats on privacy can also be avoided by privacy enhancing technologies with a risk management approach. The proposed framework includes the starting point of a national wide privacy protection environment and detailed guidelines for companies, institutions and individuals. Gizlilik ve mahremiyetin kendisi için bir değer ve bir hak olduğu ortaya çıktıkça toplumun kendi halkını koruma ihtiyacı ortaya çıkmıştır. Gizlilik ve mahremiyet öneminin bir sonucu olarak, hukuk, sosyal psikoloji, felsefe, ekonomi ve teknoloji gibi birçok disiplin kendi alanlarındaki bakış açısıyla konuya yaklaşmış, bilişim teknolojisi ise bir bireye ait bilginin gizlilik, bütünlük, erişilebilirlik, güvenilirlik ve kalite ihtiyaçlarını karşılamak için kişisel verilerin korunması terimini kullanmıştır. Türkiye'de önceki araştırmalar mahremiyet haklarını kamu yönetimi ve hukuk perspektif incelerken, veri koruma mekanizmalarını bilgisayar güvenliği perspektifinden incelemiştir. Bu çalışmada Türkiye'deki mevcut veri koruma durumu, güvenli bir ortam sağlamak için teknik ve teknik olmayan yönleri araştırılmıştır. Kişisel bilgilerin tüm yaşam döngüsü boyunca uçtan uca gizliliğinin sağlanması için bir bilgi teknolojileri çerçevesi önerilmiştir. Önerilen çözüm üç ana alana ayrılmıştır; devlet, organizasyon ve veri sahibi. Dolayısıyla güvenlik kaygılarına, bu kaygıların değişen yönlerine ve verinin mahremiyetini korumak için geliştirilen teknoloji incelenmiştir. Çerçevenin analizinde ihtiyaç mühendisliği, risk yönetimi, olayı hesaplama ve tazminat modelleme, kurumsal olgunluk modelleme, mahremiyet etki analizi teknikleri kullanılmıştır. Bu çalışmada, teknoloji kaynaklı mahremiyet tehditlerinin, yine mahremiyet arttırıcı teknolojiler ile risk yönetimi yaklaşımı ile önlenebileceği gösterilmiştir. Önerilen çerçeve, ulusal çapta mahremiyet koruma için bir başlangıç noktası ve şirketler, kurumlar ve bireyler için detaylı kılavuzlar içermektedir