Uyuma Yönelik İşletme Kılavuzu
Transkript
Uyuma Yönelik İşletme Kılavuzu
U y u m a Yö n e l i k İ ş l e t m e K ı l av u z u Elektronik Veri Yönetimini Şimdiden Planlayın & Geleiekteki YasalleriçinÖnlemAlın Yazan: Cynthia L. Jackson BakerMcKenzie Guide_PRINT.indd 1 2008-06-11 16:27:39 BakerMcKenzie Guide_PRINT.indd 2 2008-06-11 16:27:39 Cynthia L. Jackson Partner, Baker & McKenzie LLP Cynthia L. Jackson, 38 ülkede bulunan ofisleriyle dünyanın en büyük hukuk firması olan Baker & McKenzie’nin Palo Alto Kaliforniya’daki ofisinin bir ortağıdır. Bayan Jackson, iş liderlerini geniş çapta uyumluluk sorunlarıyla, devlet genelgeleriyle ve e-keşif gereksinimleriyle ilgili olarak eğitmek için tasarlanan “Uyuma Yönelik İşletme Kılavuzu” adlı kitapçığın yazarıdır. Jackson, Chicago ofisindeki ortağı John Raudabaugh’a, 9 Şubat 2007’de Ulusal Emek İlişkileri Kurulu ’na sunduğu The Guard Publishing Company and Eugene Newspaper Guild’deki mahkeme fahri müşaviri olarak yaptığı konuşmadan alınan ve istihdam izleme bölümlerinde kullanılan katkılarından dolayı teşekkürlerini sunuyor. Bayan Jackson, hukuki davalarda şirketleri temsil etmekte ve ayrımcılık ve taciz, personel politikaları ve uygulama, istihdam ve işten çıkarma sözleşmeleri, iş gücünde azaltma, iş adabı ilkeleri, gizlilik sorunları, kurumsal sosyal sorumluluk, gizli bilgilerin ve ticari sırların korunması, şirket birleşmelerinin ve şirket satınalmalarının istihdam açısından sonuçlarını da içeren istihdamla ilgili çeşitli ulusal ve uluslararası konularda danışmanlık yapmaktadır. Bayan Jackson, “Best Lawyers in America” (Amerika’nın En İyi Avukatları) listesindeki avukatlardan biri seçilmesinin yanı sıra defalarca kez “Northern California Super Lawyer” (Kuzey Kaliforniya Üstün Avukat) sıfatına layık görüldü. Bayan Jackson, hem Stanford Üniversitesi, hem de Teksas Üniversitesi Hukuk Fakültesi’nden onur derecesiyle mezun oldu. Cynthia L. Jackson, Avukat Baker & McKenzie LLP 660 Hansen Way, Palo Alto, California 94304, ABD Tel +1 650-856-5572 Faks +1 650-856-9299 cynthia.l.jackson@bakernet.com BakerMcKenzie Guide_PRINT.indd 3 2008-06-11 16:27:39 BakerMcKenzie Guide_PRINT.indd 4 2008-06-11 16:27:39 İçindekiler 7 Bütün Bu Karışıklığın Nedeni Ne? 13 Kim İlgileniyor veya Kimin İlgilenmesi Gerekir? 17 Elektronik Kayıtların Saklanmasıyla İlgili Yasal Gereklilikler 27 Huzurlu Bir Çalışma Ortamı 31 Şirket Başarısının Temelini Fikri Mülkiyetin Korunması Oluşturur 33 Gizlilik: Fazla Bilginin Göz Çıkardığı Anlar 37 Şifreleme 41 Uluslararası Sorunlar: Veri Uyumluluğu Dünyaları Çakıştığında 45 En İyi Uygulama İpuçları BakerMcKenzie Guide_PRINT.indd 5 2008-06-11 16:27:39 BakerMcKenzie Guide_PRINT.indd 6 2008-06-11 16:27:39 Bütün Bu Karışıklığın Nedeni Ne? Elektronik veri kullanımının hızla arttığı bir dünyada, uyumluluk risklerini verimli bir şekilde kontrol edebilmek için verilerini yönetmek için yöntemler bulması gerekmektedir. Elektronik verilerin çoğalması hem şaşırtıcı hem de bunaltıcıdır. Günümüzde ortalama bilgisayarların saklama gücünü düşünürsek, en mütevazı aile işletmeleri bile dört çekmeceli 2.000 dosya dolabına eşdeğer bir elektronik saklama alanına sahip olabilmektedir.1 Elektronik verileri yönetme görevi, verilerin artık yalnızca somut kağıtlar üzerinde olmayıp farklı kişiler ve kaynaklar tarafından sürekli olarak düzeltilen, değiştirilen ve güncellenen bilgi baytları biçiminde olmasıyla daha da karmaşık hale gelmektedir. Elektronik verilerin düzgün arşivlenmesi, korunması, izlenmesi, filtrelenmesi ve şifrelenmesi artık isteğe bağlı bir seçenek değildir: Bunlar birer zorunluluktur. Elektronik verilerin düzgün arşivlenmesi, korunması, izlenmesi, filtrelenmesi ve şifrelenmesi artık isteğe bağlı bir seçenek değildir: birer zorunluluktur. Elektronik veri sistemleri makineleri kontrol ve idare eder, mali verileri işler, envanteri yönetir, siparişleri verir, resimleri ve dokümanları iletir. Sözlü ve sözsüz iletişimin hızında ölçülemez bir artış sağlar. E-posta, elektronik iletişimin en çok bilinen biçimidir, ancak iletişim bileşenleri arasında online yayınlar (“web günlükleri” veya “blog’lar”), anında mesajlaşma (IM) (kullanıcılar gerçek zamanlı, online “sohbetler” gerçekleştirir), web kameralarıyla konferanslar, doküman ve video aktarımları ve geniş banttan ses hizmetleri de yer alır. Bununla birlikte, bu tür sistemler kötüye kullanılabilir ve böylece bir işletmeye zarar verebilir. Kişiler, çalışanlara, yöneticilere ve üçüncü taraflara taciz 1 Jason Krause, E-Discovery Gets Real, ABA JOURNAL, Şubat 2007; not George L. Paul ve Bruce H. Nearon, The Discovery Revolution: A Guide to the E-Discovery Amendments to the Federal Rules of Civil Procedure, BİLİM ve TEKNOLOJİ YASASININ ABA BÖLÜMÜ. 7 BakerMcKenzie Guide_PRINT.indd 7 2008-06-11 16:27:39 2005’te, şirketlerin % 24’ü e-postalar nedeniyle mahkemeye çağrıldı ve yalnızca bir çalışanın e-posta nedeniyle açılan dava sayısı ise % 15 oldu. edici ve tehditler içeren iletiler gönderebilir; şirketlerin veya üçüncü tarafların fikri mülkiyetindeki ürünleri indirebilir (“çalabilir”); şirketi, ürünlerini ve hizmetlerini, müşterilerini ve rakiplerini kötüleyebilir veya çaldıkları verileri gizlice uzak yerlere aktarabilir veya şirketin sağladığı bellekte saklayabilirler. Kullanıcılar, mahkemelerin taciz edici ve yasadışı olduğuna karar verdiği malzemeleri görüntüleyebilir veya dağıtabilir, İnternet sitelerinde ve blog’larda karalayıcı malzemeler, oluşturabilir ve gönderebilir ve suç niteliğinde eylemler planlayabilir ve hatta bunları yürütebilirler ve bunların tümünü şirketin donanımını gizlice kullanarak işyerlerinden gerçekleştirebilirler.2 Bu nedenle, Şirket Danışmanları Birliği’nin (ACC) gerçekleştirdiği bir ankette Genel Danışmanların % 86’sının temel endişelerinin başında “şirketin yasal sorunlara neden olabilecek etkinliklerinin izlenmesinin” gelmesi şaşırtıcı değildir.3 2005’e kadar, şirketlerin % 24’ü e-postalar nedeniyle mahkemeye çağrıldı; yalnızca çalışanların e-postaları nedeniyle açılan dava sayısı ise % 15 oldu. Aynı ankete göre, işyerindeki e-postaların % 10’u cinsel, romantik veya pornografik içeriğe sahipti.4 1 Aralık 2006’da yürürlüğe giren Federal Medeni Usul Hukuku Kuralları’ndaki (FRCP) elektronik keşif kurallarından önce de şirketlerin beşte birinden fazlası, 2004’te dava sırasında veya bir devlet incelemesi sırasında mahkeme çağrısı gelmesine neden olan elektronik iletişime 2 Electronic Workplace: Is Your Company’s Work Blogging Down? FEDERAL EMPLOYMENT LAW INSIDER, 2 Eylül 2006; Michael R. Phillips, Inappropriate Use of Email by Employees and System Configuration Management Weaknesses Are Creating Security Risks, Treasury Inspector General for Tax Administration, 31 Temmuz 2006. 3 ACC & SERENGETI, MANAGING OUTSIDE COUNSEL SURVEY REPORT, 23 Ekim 2006. 4 2006 Workplace E-mail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-mail, IM & Blog Violators, AMA, 11 Temmuz 2006, http://www.amanet.org/press/amanews/2006/blogs_2006.htm. 5 AMA/ePolicyInstitute Research, 2004 Workplace E-mail and Instant Messaging Survey Summary, at 1. 8 BakerMcKenzie Guide_PRINT.indd 8 2008-06-11 16:27:40 sahipti.5 Bu oran, 2001’de bildirilen yüzde oranının iki katından fazladır.6 Aslında, Amerikan şirketleri 2005’te dış elektronik keşif hizmetlerine 1,2 milyar Dolar harcamıştır.7 Bu rakamın 2006’da 1,9 milyar Dolar olması beklenmektedir.8 FRCP elektronik keşif kurallarının yürürlüğe girmesiyle, bu istatistiklerin kısa sürede gölgede kalacağı beklenebilir. Ancak, FRCP değişikliklerinin yürürlük tarihinden yalnızca iki ay önce yapılan bir ankette, şaşırtıcı bir şekilde, kurumsal danışmanların yalnızca % 7’si şirketlerinin değiştirilen Kurallara hazır olduğunu belirtmiştir; bu danışmanların % 54’ünün ise değişikliklerin Aralık 2006’da yürürlüğe gireceğinden haberdar bile olmadıkları belirtilmiştir.9 Amerikan firmaları 2005’te dış elektronik keşif hizmetlerine 1,2 milyar Dolar harcadılar. Bu rakamın, 2006’da 1,9 milyar Dolar olacağı tahmin ediliyor. Şirketler, elektronik iletişimi düzenleyen ve sayıları artan diğer yasalara ve çok sayıdaki yeni yasa tekliflerine de uymak zorundadırlar.10 Çoğu düzenleme, hassas kişisel bilgilerin korunmasıyla ilgilidir. Bunlara örnek olarak şunlar gösterilebilir: Elektronik İletişim Mahremiyet Yasası Bildirisi (1986)11; Sağlık Sigortasının Taşınabilirliği ve Mali Sorumluluk Yasası (1996)12; Çocukların Online Mahremiyetlerini Koruma Yasası (1998)13; Gramm-Leach-Bliley Yasası (1999)14; İstenmeyen Pornografi ve Pazarlama Saldırılarını Denetleme Yasası (2003)15; Kaliforniya Güvenlik İhlali Bildirimi Yasası (2002)16; Kaliforniya Kişisel Bilgi Güvenliği Yasası (2004)17 ve çok sayıdaki diğer ulusal ve yabancı yasalar ve düzenlemeler.18 6 Id. Sacha Consulting, Ramon Nunez, Metal INCS, Gregory McCurdy, Microsoft Corp, ABA Digital Evidence Project, The National Law Journal/ www. NLJ.com, 19 Eylül 2005. 8 Id. 9 Lexis Nexis® Applied Discovery®, Ekim 2006’daki ACC 2006 Yıllık Toplantısı’nda tamamlanan anket. 10 Data Security: Federal and State Laws, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 3 Şubat 2006; Data Security: Federal Legislative Approaches, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 9 Şubat 2006; Obscenity and Indecency: Constitutional Principles and Federal Statutes, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 25 Haziran 2003. 11 18 U.S.C. § 101 ve devamı. 12 42 U.S.C. § 201 ve devamı. 13 15 U.S.C. § 6501 ve devamı. 14 15 U.S.C. §§ 6801-6809. 15 15 U.S.C. §§ 7701-7713. 16 Kal. S.B. 1386 (2002) (Kal. Med. Huk. §§ 1798.82 ve 1798.29’un bölümleri). 17 Kal. Med. Huk. § 1798.81.5 (Kal. A.B. 1950 (2004)). 18 Allan Holmes, The Global State of Information Security 2006, CIO MAGAZINE, 15 Eylül 2006. 7 9 BakerMcKenzie Guide_PRINT.indd 9 2008-06-11 16:27:40 İstenmeyen e-postalar, gelen tüm e-postaların % 93’ünü oluşturuyor. Dokümanların imhasını ve saklanmasını düzenleyen yasalara ek olarak, şirketlerin artan bir şekilde kendilerini korsanlara ve elektronik yollarla değerli fikri mülkiyetin kaybına karşı korumaları da gerekmektedir.19 İnternet, şirketin en değerli kaynaklarını üçüncü taraflara sunabilir. 2004’te, istenmeyen e-postalar gelen toplam e-postaların % 73’ünü oluşturuyordu; bu rakam, 2006’ya kadar % 93’e yükseldi.20 Bunların çoğu rahatsızlık verici veya yalnızca zaman kaybı olmakla birlikte, virüsler, solucanlar, indirme programları, truva atları, spam, bağlantı spam’i, phishing ve pharming gibi kötü amaçlı yazılımlar veya kötü amaçlı mantık, şirket ağını, işletme bilgilerini ve burada barındırılan fikri mülkiyeti tehlikeye atmaktadır.21 Dış taraflar, şirketin ticari sırlarına ve gizli bilgilerine “saldırabilir”, şifreleri çalabilir ve kullanıcıları, indirme sitelerine yönlendirebilirler. Bu saldırılardan % 33’ünün şirket içindeki kullanıcılardan geldiği bildirilmiştir.22 Yeni yapılan National Center for Supercomputing Applications (Ulusal Süper Bilgi İşlem Uygulamaları Merkezi) (NCSA) anketine katılanların % 40’ı işteyken sosyal ağ oluşturma sitelerini ziyaret ettiklerini söylemişlerdir. Dolayısıyla bu kişiler, işverenlerinin ağını korsanlara açık duruma getirmektedirler.23 (Anket yapılan şirketlerin % 68’i, 2004’te elektronik suçla karşı karşıya kaldıklarını bildirmişlerdir; bu şirketlerin % 43’ünün bilgilerine, sistemlerine veya ağlarına yetkisiz erişim olduğu ve % 14’ünün bir IP hırsızlığıyla karşılaştıkları bildirilmiştir.)24 Aslında,yakın zamandaki kapanmamış dava evraklarında, DuPont’ta 19 İnternet: An Overview of Key Technology Policy Issues Affecting Its Use and Growth, CRS REPORT FOR CONGRESS, 13 Nisan 2005. AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004); Wireless Privacy and Spam: Issues for Congress, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 22 Aralık 2004; ‘Junk E-mail’: An Overview of Issues and Legislation Concerning Unsolicited Commercial Electronic Mail (“Spam”), CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 15 Nisan 2003; Cybercrooks Deliver Trouble, WASHINGTON POST, 27 Aralık 2006, D1. 21 Pharming, WEBSENSE, INC. (2006); The Economic Impact of Cyber-Attacks, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 1 Nisan 2004. 22 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 Eylül 2005 23 CA/NCSA Social Networking Study Report, RUSSELLRESEARCH.COM, at 4, http://staysafeonline.org/features/SocialNetworkingReport.ppt. 24 2005 E-Crime Watch Survey—Survey Results, CSO MAGAZINE, U.S. SECRET SERVICE, CERT COORDINATION CENTER., http://www.csoonline.com/info/ecrimesurvey05.pdf. 20 10 BakerMcKenzie Guide_PRINT.indd 10 2008-06-11 16:27:40 üst düzeyde çalışan bir bilim insanının, beş aydan kısa bir sürede 22.000 hassas dokümanı indirdiği ve 180 DuPont dokümanını bir dizüstü bilgisayara ve daha sonra, yeni işverenine aktardığı; Dupont’un 400 milyon Dolar değerindeki “araştırma ve geliştirme aşamasında bulunan yeni ve gelişmekte olan teknolojilerinin yanı sıra başlıca teknolojilerinin ve ürün gruplarının”, içinde bulunduğu bilgileri çaldığı açıklanmıştır.25 Yasal veya “zararsız” etkinlikler de yüksek maliyetlere neden olabilir ve bu tür “zararsız” davranışlara yönlendirme çabaları çok fazladır. 2004’te 840 Amerikan şirketinin katılımıyla yapılan bir ankette, katılımcıların % 66’sı şirket sisteminde kişisel kullanımları için günde iki saat veya daha az süre harcadıklarını, % 24’ü bu sürenin iki ile üç saat arasında olduğunu ve diğer bir % 10, dört saatten daha fazla harcadığını söylemiştir.26 Aynı ankette çalışanların % 75’inin günde 10 veya daha az kişisel e-posta alıp gönderdiği bildirilmiştir.27 Çalışanların % 90’ı, anında mesajlaşmayı kişisel amaçlarla 90 dakikaya kadar kullanırken, bunların % 19’u metin iletilerine ek eklemekte, % 16’sı şakaları, dedikoduları veya kötüleyici yorumları dağıtmakta, % 9’u gizli bilgileri göndermekte ve % 6’sı iletilerinde cinsel, romantik veya pornografik metin içermektedir.28 Hem zorunlu yasal gereksinimlerinin hem de isteğe bağlı en iyi uygulama korumasının sonucu olarak şirketler, bir yasal kriz ortaya çıkmadan önce plan, uygulama yapmalı ve eğitim vermelidir. Az sayıda şirket, bir dava açıldıktan, fikri mülkiyet ürünleri 25 David Kauffman, How Safe Is Your Data?, HR HERO LINE, 9 Mart 2007. AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004). 27 Id. 28 Id. 26 11 BakerMcKenzie Guide_PRINT.indd 11 2008-06-11 16:27:40 “kapının dışına çıktıktan”, özel bilgiler serbest kaldıktan veya muhalif bir çalışma ortamı oluşturulduktan sonra olacaklar konusunda önceden düşünüp eyleme geçme lüksüne sahip olacaktır. Kuruluşlar için önceden plan yapmak büyük önem taşır. İlk olarak, şirketlerin iletişimin saklanması, arşivlenmesi ve izlenmesine ilişkin plan yapmaları gerekir. İkinci olarak, şifreleme süreçleri ve uygun erişim kısıtlamaları oluşturmalıdırlar. Üçüncü olarak, süreçleri ve politikalarıyla ilgili sürekli eğitim vermeli ve denetim yapmalıdırlar. 12 BakerMcKenzie Guide_PRINT.indd 12 2008-06-11 16:27:40 Kim İlgileniyor veya Kimin İlgilenmesi Gerekir? Elektronik verilerin yönetimi bir şirketteki hemen hemen herkesi etkiler: Genel Danışman’ın ofisi, Uyum Memurları, İç Denetçiler, Finans, BT Yöneticileri, İnsan Kaynakları ve Sosyal Yardımlar Personeli, Fikri Mülkiyet ve Lisans Personeli, Tedarik Zinciri Yöneticileri, İhracat Kontrolü, Satış ve İşletme Personeli. Örneğin, A.B.D.’deki halka açık şirketlerin, SarbanesOxley (SOX) ve Yabancı Ülkelerde Yolsuzluk Uygulamaları Yasası’ndaki kayıt saklama ve hesap verme yükümlülüklerinin sonucunda, raporlama, denetim ve saydamlık için birer ana makinesi vardır. Federal mahkemede hukuki ihtilafa düşen veya yalnızca bu tür bir ihtilafla “dava açılacağı bildirilen” şirketlerin de ilgili elektronik olarak saklanan verileri korumak için eyleme hazır olmaları gerekir. Bankacılık ve finans veya sağlık sektörlerinde faaliyet gösteren şirketler bilgi toplama, kullanma, erişme ve yayma yönetimiyle ilgili ayrıntılı yasalara ve yönetmeliklere uymak durumundadır. Uluslararası çapta faaliyet gösteren veya donanım/ yazılım ürünleri ihraç eden şirketler, kendilerini, şifreleme de dahil olmak üzere verilerini karmaşık ve bazen çelişkili şekillerde yönetme zorunluluğu altında bulacaklardır. Federal mahkemede hukuki ihtilafa düşen veya yalnızca bu tür bir ihtilafla “dava açılacağı bildirilen” şirketlerin de ilgili elektronik olarak saklanan verileri korumak için eyleme hazır olmaları gerekir. Ancak, dava açılmış veya açılacağı bildirilen davalarla yüz yüze kalmış, özellikle yönetmeliklerle düzenlenmiş sektörlerle temas halinde olan veya uluslararası pazarda faaliyet gösteren, halka açık olmayan şirketler için bile elektronik veri çağı, zorlukları beraberinde 13 BakerMcKenzie Guide_PRINT.indd 13 2008-06-11 16:27:40 Hiçbir şirket bundan muaf değildir. Küçük ve orta ölçekli şirketler de geleceği düşünmeli ve hemen sistemler uygulamalıdır. getirmektedir. Çalışmalar, veri hırsızlıklarının üçte birinin var olan çalışanlar tarafından gerçekleştirildiğini ve dava edilebilir kötüleme, ayrımcılık ve taciz suçlamalarının büyük bir kısmının yetkili çalışanlardan geldiğini ortaya çıkarmıştır.29 Hiçbir şirket bundan muaf değildir. Küçük ve orta ölçekli şirketler de geleceği düşünmeli ve fikri mülkiyet ürünlerini “hırsızlıktan”, çalışanlarını muhalif çalışma ortamı iddialarından korumak veya dava açılacağı bildirilen davalarda doküman imhasına engel olmak için hazırlıklı olmalarını sağlayacak sistemleri hemen uygulamalıdır. İronik bir şekilde, verilerin neden olduğu baş ağrılarını oluşturan teknolojiler, ilgili yasalar ve hukuk düzenleri tarafından ortaya koyulan yasal gereksinimlere uymak üzere iyi tasarlanmış ve hazırlanmış elektronik veri yönetimi sistemleri, bu duruma bir çözüm sunabilir. Bu tür elektronik sistemler, doküman saklama ve arşivleme özelliklerine sahip, veri imhasını önleyen, gerektiğinde şifreleme erişimi kısıtlamaları uygulayabilen, izleme yapabilen ve izin verildiğinde web filtreleme olanaklarını kullanabilen yazılım sistemlerini içermelidir. Bu tür bir sistemin kurulumuna ek olarak, uygun yasal parametrelerin tanımlanması ve personelin, bir yasal kriz ortaya çıkmadan, genel olarak bu tür verilerin işletmede uygun bir şekilde nasıl yönetileceğiyle ilgili eğitilmesi bir zorunluluktur. Böylece, yasal ihtiyaçlar ortaya çıktığında, elektronik veriler hızlı, uygun ve kolay bir şekilde yakalanıp belirlenebilir. Elektronik veri yönetimi sistemlerinin seçilmesi ve uygulanması, politikaların oluşturulması ve uygulanması ve yasal bir kriz ortaya çıkmadan önce sistemin gerçekten çalıştığından emin olmak için devam eden personel 29 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 Eylül 2005. 14 BakerMcKenzie Guide_PRINT.indd 14 2008-06-11 16:27:40 eğitimi ile denetimlerin tümü, Genel Danışmanlık, İK ofisi veya başka bir yerde olsun şirket personelinin koordinasyon içinde ve özenli bir ortak çalışmasını gerektirir. Elektronik veri yönetimi sistemlerinin seçilmesi ve uygulanması, politikaların oluşturulması ve uygulanması ve yasal bir kriz ortaya çıkmadan önce sistemin gerçekten çalıştığından emin olmak için devam eden personel eğitimi ile denetimlerin tümü şirket personelinin koordinasyon içinde ve özenli bir ortak çalışmasını gerektirir. 15 BakerMcKenzie Guide_PRINT.indd 15 2008-06-11 16:27:40 BakerMcKenzie Guide_PRINT.indd 16 2008-06-11 16:27:40 Elektronik Kayıtların Saklanmasıyla İlgili Yasal Gereklilikler Federal Hükümlerini bilmemek pahalıya malolabilir. Bir “dava durumu” olmaması durumunda, elektronik olarak saklanan verilerin (veya diğer kayıtların) korunması için, vergi, istihdam ve çeşitli federal veya eyalet yasalarının zorunlulukları gibi belirli kayıt türlerinin dışında, genel olarak herhangi bir yükümlülük yoktur. Diğer yandan, bir “hukuki ihtilaf durumunda”, şirketin normal doküman imha süreçlerine engel olmasını gerektiren, bilgi koruma yükümlülükleri devreye girer. FRCP’de yapılan yeni değişiklikler, şirketin, hukuki ihtilafın tahminin bulunacağına inandığı dokümanları “dava nedeniyle koruma altına alma” ihtiyacını düzenlemektedir. “Dava nedeniyle koruma altına alma” durumu, gerçek bir mahkeme dosyası açılmadan çok önce başlatılabilir. Şirket, bir “yöneticisiyle” ilgili bir iç şikayet alabilir, bir olası taraftan veya avukattan ileride dava açılacağı için dokümanların korunmasını isteyen bir yazı, bir devlet kurumunun bir inceleme bildirimi, mahkeme çağrısı veya resmi bilgi talebi gelebilir veya bir yönetim cezası verilebilir. Bir “dava durumu” ortaya çıktıktan sonra, tüm sıradan doküman imhası işlemlerini hemen askıya almak ve geçerli kanıtların bulunması için uygun olduğu düşünülen veya eylemle ilgili elektronik verileri ve olasılıkla içindeki meta verileri de içeren tüm kayıtları korumak gibi olumlu adımları atmak değişikliklere göre şirketin görevidir. FRCP’de yapılan yeni değişikliklerden önce de mahkemeler, yaklaşan yasal sorunları bilen veya bilmesi gereken, ancak verilerini koruyamayan şirketlere karşı 17 BakerMcKenzie Guide_PRINT.indd 17 2008-06-11 16:27:40 ve ilgili dokümanları, şirket içi çalışanın cinsel taciz davranışıyla ilgili şikayetinden itibaren koruyamadığı için, şirketin mahkeme maliyetlerini ve davacının avukat ücretlerini ödemesine karar verildi. çok az müsamaha gösteriyordu. Broccoli ile Echostar Communications Corp arasındaki davada, 229 F.R.D. 506 (D.C. Md. 2005), mahkeme, işverenin davacı/çalışanın işine son vermeden önce 11 aylık elektronik dokümanları koruma yükümlülüğünü olduğunu belirtti. Bu tür yükümlülükler, gelecekteki davacının, işverenin sözlü ve e-posta yoluyla cinsel taciz davranışında bulunduğu iddiası nedeniyle ortaya çıkmıştı. Şirket, e-posta ve veri imha politikasını askıya alamadığı ve ilgili dokümanları, şirket içi çalışanın cinsel taciz davranışıyla ilgili şikayetinden itibaren koruyamadığı için, şirketin mahkeme maliyetlerini ve davacının avukat ücretlerini ödemesine karar verildi. Zubulake ile UBS Warburg LLS arasındaki bir dizi davada, 220 FRD 212 (S.D. N.Y. 2004), 229 F.R.D. 422 (S.D. N.Y. 20 Temmuz 2004 Zubulake II) ve 231 FRD 159 (S.D.N.Y. 3 Şubat 2005 Zubulake III), mahkeme, davacı dört ay önce dava açtığında şirketin elektronik dokümanları koruma yükümlülüğü olduğuna (ve 10 ay önce aynı davacı bir federal mahkemede şirkete dava açmıştı) ve doküman imha politikasının, ilgili dokümanların imhasına yol açacağını bildiğine veya bilmesi gerektiğine karar vermiş ve şirketi ayrımcılık nedeniyle para cezasına çarptırmıştı. Zubulake davasında, mahkeme, savunmacının ağının bantları yedeklediğini ve bu kayıtların ilgili kanıt olabileceğini, ancak hukuk bölümü dışındaki çalışanların ilgili dokümanları sildiklerini bulmuştu; savunmacı, daha sonra pahalı meta veri kurtarma yöntemleriyle bilgileri kurtarmıştı. Wiginton ile CB Richard Ellis arasında görülen davada, 229 F.R.D. 568 (N.D. Ill. 2003), mahkeme, dava 18 BakerMcKenzie Guide_PRINT.indd 18 2008-06-11 16:27:41 açılmasından günler sonra davacının avukatından dokümanları ve birden çok tacizciyi tanımlayan bir mektupla şirkete “kolektif dava” bildiriminde bulunulduğuna karar verdi. Mahkeme, özellikle şirketin, cinsel tacizle suçlanan veya davayla ilgili kişilerin bilgisayar sabit disk sürücülerini, e-posta hesaplarını ve İnternet kayıtlarını koruması gerektiğine karar verdi. Buna ek olarak, mahkeme, davacının kendisiyle ilgili elektronik verilerin saklanamamasıyla ve şirketin yedek bantlarında ilgili eksik elektronik dokümanlar bulunursa konuyla ilgili olarak yeniden dava açılabilmesine izin verdi. Consolidated Aluminum Corp ile Alcoa, Inc. arasındaki davada, 2006 U.S. Dist. LEXIS 66642 at *18 (M.D.La. 2006), Alcoa, kendi rutin doküman imha politikasını askıya almadan önce Consolidated Aluminum’a talep mektubunu gönderdikten sonra yaklaşık iki buçuk yıl beklediğinden mahkeme, Alcoa’nın tüm “önemli kişilerin” tekrar vermeleri gereken yeminli ifadelerin, mahkemenin ve eksikliklerin araştırılmasının yol açtığı masraf ve ücretlerin Alcoa tarafından ödenmesine karar verdi. Samsung Elecs. Co. ile Rambus, Inc., 2006 U.S. Dist. LEXIS 50007 (E.D.Va. 2006) davasında, davalı ve karşı davacı Rambus, “imha gününü” başlatmadan önce en olası dava hedefini, yararlanabileceği hukuki teorileri ve saklanacak ve yok edilecek ilgili dokümanları tanımlayarak dava açma ihtimalini değerlendirdi. Rambus’un önemli verileri uygunsuz bir şekilde imha ettiği sonucuna varan mahkeme, bulgu yaptırımları uygulanmasına karar verdi. Rambus, mahkeme tarafından yaptırım uygulanmadan karşı davasını gönüllü olarak geri çekti. Bilgi imha sistemlerinin göz ardı edilmesinin ve dava 19 BakerMcKenzie Guide_PRINT.indd 19 2008-06-11 16:27:41 için hemen bir koruma altına alma başlatılmamasının sonuçları şaşırtıcı. Zubulake’de, Mahkeme, davalının bulgumaliyetlerini ödemesine karar vermesinin yanı sıra, jüriye bir “aleyhte sonuç çıkarma talimatı” verdi. Herhangi bir dava açılmadan on ay önce verilen EEOC cezası tarihinden sonra dokümanların saklanmaması nedeniyle mahkeme, imha edilen dokümanların jüri tarafından davacıların ayrımcılık iddialarını güçlendirmek için kullanılabileceğine karar verdi. Bu nedenle jüri, davalıya 29 milyon Dolar tutarında ceza verdi. Amerika Birleşik Devletleri ve Philip Morris USA Inc., 327 F. Supp. 2d 21 (D.D.C. 2004) davasında, mahkeme, Phillip Morris’e, yaptırım tutarı olan 250.000 ABD Doları’nın şirketin kayıt saklama politikalarına aykırı hareket eden on bir yöneticiyle çarpımından elde edilen 2,75 milyon Dolarlık yaptırım uyguladı. Ayrıca, mahkeme, saklama politikasına aykırı hareket eden on bir yöneticinin, duruşmada iddialara yanıt vermesine izin vermedi. Krumwiede ve Brighton Associates LLC, 2006 U.S. Dist. LEXIS 31669 (N.D. Ill. 2006) davasında, mahkeme, davalı/karşı davacı bir diz üstü bilgisayarı dava için koruma altına almayıp, diz üstü bilgisayarı sorgu hakimine teslim etmeden önce dosyaları silmeye, değiştirmeye ve dosyalara erişmeye devam ettiği ve meta veriler tümüyle silinmese bile kullanıma devam edilmesi nedeniyle değiştirildiği için gıyapta karar verdi. Dempsey ve Pfizer, 813 S.W. 2d 205 (1991) davasında, Teksas mahkemesi, dokümanların imhası için 42.000.000 Dolarlık yaptırım iddiasını reddetti.30 30 Tümü FRCP değişikliklerinden sonra karara bağlanan bu davalar anormal değildir. Quintus Corp. ile Avaya, Inc. 2006 Bank.LEXIS 2912 (Bank. D. De. 2006) arasındaki davada, mahkeme davalının düzenlemelere uygun olarak ve dava ihtimaline karşı saklaması gereken delili kasıtlı ve önyargılı olarak imha etmesi nedeniyle 1,88 milyon Dolar tutarında ceza hükmü verdi. 3M Innovation Properties C. ile Tomar Electronics, Inc. arasındaki davada, 2006 U.S. Dist. LEXIS 80571 (D. Minn 2006), mahkeme, davalı dava nedeniyle koruma altına alma başlatmadığı için aleyhte karar verdi. In Re Napster, 462 F.Supp.2d 1060, 1077-78 (N.D. Kal. 2006) davasında, davalı zamanında dava nedeniyle koruma altına almayı başlatamadığı için, mahkeme aleyhte karar verdi. NTL, Inc. Sec. Litig. 2007 U.S. Dist LEXIS 9110 (S.D.N.Y. 2007) davasında, mahkeme iflas sonrasında yeni kurulan şirketin dokümanları saklamaması nedeniyle, aleyhte karar ile para cezası verdi. Aralık 2006’da, National Association of Securities Dealers (NASD – Ulusal Borsacılar Derneği) Morgan Stanley şirketinin Dünya Ticaret Merkezi 9/11 saldırısında milyonlarca e-posta kaybedilmiş gibi gösterdiğini iddia etti. Dava hala devam ediyor. 20 BakerMcKenzie Guide_PRINT.indd 20 2008-06-11 16:27:41 Yukarıdaki davalarda görüldüğü gibi, maddi yaptırımlara ve aleyhte sonuç çıkarma talimatlarına ek olarak, mahkemeler, kanıtların yok edilmesi ve cezai yaptırımlar için haksız fiil sorumluluğuna hükmetti. Daha önce Credit Suisse First Boston’da ileri teknoloji yatırım bankacısı olan Frank Quattrone, güvenlik sektöründen kalıcı olarak men edildi ve NASD tarafından 30.000 Dolar tutarında cezaya çarptırıldı. Daha önce, adaletin işlemesine engel olmakla suçlanmış, grubundaki diğer üyelere bir SEC soruşturması sırasında “dosyalarını temizlemelerini” isteyen bir e-posta gönderdiği için 18 ay hapis cezasına mahkum edilmişti. Maddi yaptırımlara ek olarak, mahkemeler, kanıtların yok edilmesi ve cezai yaptırımlar için haksız fiil sorumluluğuna hükmetti. Yukarıdaki davalarda açıkça görüldüğü gibi, FRCP, pek çok federal mahkemenin31 ve bazı eyalet mahkemelerinin uzun yıllardır verdiği hükümlerin bir derlemesi niteliğindedir. Ancak, FRCP üzerinde yapılan değişikliklerin de davacılar üzerinde iki temel etkisi vardır: 1) elektronik keşif özelliğine yöneliktir ve tarafların ve avukatlarının elektronik veri konularında araştırma yapmasını, elektronik verileri korumasını ve üretmesini ve gerekli yanıtları vermesini zorunlu kılarak elektronik verilerde oynanmış olabileceğine dair tüm soru işaretlerini ortadan kaldırır ve 2) karşı tarafların, davanın başından sonuna kadar elektronik veriler konusundagörüş alışverişinde bulunmasını ve birbirleriyle işbirliği yapmalarını zorunlu kılar. Taraflar, genellikle davanın ilk birkaç ayında “bir araya gelmek” ve keşfedilebilir bilgiler, elektronik bilgilerin ne şekilde üretileceği (örneğin, PDF, Tagged Image File Format (TIFF), “yerel” biçim, kağıt, vb.), bir tarafın 31Ağustos 2006’da, eyalet hakimleri yasal konferansında “Elektronik olarak Saklanan Bilgilerin Bulunmasına yönelik Eyalet Asliye Mahkemeleri Yönetmeliği” onaylandı. Ancak bu yönetmelik eyaletler tarafından kabul edilmedikçe bağlayıcı etkiye sahip değil. Bugüne kadar Eyalet Yönetmeliğini kabul etmeyi düşünen eyaletler arasında Massachusetts ve N. Carolina bulunuyor. Buna karşılık, 1 Eylül 2006’da, New Jersey FRCP’den alınan eyalet elektronik bulma kanunlarını kabul etti. Arizona, Florida, Idaho, Maryland ve New Hampshire eyaletlerinde de değiştirilmiş FRCP’ye benzer kanunlar üzerinde düşünülüyor. Benzer ancak farklı elektronik bulma kanunlarının ortaya çıkması elektronik veri yönetimi sistemlerinin hem geniş oranda kabul edilmiş elektronik bulma kanunlarını hem de aradaki ince farkları kapsayacak şekilde incelikli olması gereğini vurguluyor. 21 BakerMcKenzie Guide_PRINT.indd 21 2008-06-11 16:27:41 FRCP karşıt tarafların davanın başından sonuna kadar elektronik veriler hakkında birbirleriyle açıkça tartışmasını ve işbirliği yapmasını zorunlu kılar. verilere “erişilemeyeceğine” karar verip veremeyeceği” ve “maliyetleri aşırı yüksek veya külfetli” veri alma işlemleriyle nasıl başa çıkılacağı ve Hüküm 16 (b) ve 26 uyarınca kasıtsız olarak üretilmiş elektronik veya kağıt dokümanlarda yer alan avukat-müvekkil, ticari sır veya diğer ayrıcalıklı veya gizli bilgilerin gizli tutulması konularında “görüş alışverişinde bulunmak” zorundadır. Bir dava açılmadan önce taraflardan biri doküman saklama politikalarını ve uygulamalarını gerçekleştirmediyse veya anlamadıysa, önceden planlama yapan ve kendileri için hangi tekliflerin daha yararlı olacağını önceden planlayan taraflar karşısında zorunlu “bir araya gelme ve görüş alışverişinde bulunma” toplantısı nedeniyle dezavantajlı duruma düşer. Değiştirilen Yasalar’da da, tarafların yazılı soruları (sorgular) cevaplaması veya fiziksel olarak doküman hazırlaması gereken durumlarda elektronik verilerin rolü açık bir şekilde ele alınmaktadır. Örneğin, FRCP 33 (d) hükmü, (i) yanıtlar söz konusu kayıtlardan alınabiliyorsa, (ii) bu bilgileri alma sorumluluğu iki taraf için de eşitse ve (iii) kayıtlar belirlendiyse, yanıt veren tarafın cevap niteliğindeki bilgilerin “elektronik olarak saklanan bilgiler dahil, iş bilgileri” olduğunu belirtmesine olanak tanır. Değiştirilen FRCP 34, artık, ortada bir sözleşme veya mahkeme kararı olmadığında bile tarafların istenen elektronik bilgi (kağıt veya elektronik) üretimi yöntemini açıkça belirtmesine izin vermektedir. Değiştirilen yasalar, saklanan verilerin “normalde korunduğu” biçimdeveya makul olarak kullanılabilir bir biçimde üretilmesini öngörmektedir. Elektronik üretim biçiminin günümüzde ve gelecek yıllarda çok tartışılacağını söyleyebiliriz. Kimilerine 22 BakerMcKenzie Guide_PRINT.indd 22 2008-06-11 16:27:41 göre, elektronik verilerin “normal saklanma biçimi”, “yerel dosya” üretimini gerektirecektir. Kimileriyse, “yerel biçim”, ayrıcalıklı veya korunan bilgilerin kolayca kaldırılmasına veya üretilen doküman sayısının kontrol altında tutulmasına izin vermeyeceği için buna karşı çıkmaktadır. Bazı mahkemeler ve taraflar, dokümanların tüm meta verileriyle üretilmesi gerektiğini düşünmektedir. Williams ve Sprint/United Management Company, 230 FRD 640 (D. Kan. 2005); D.E. Tech v. Dell Inc., 2006 U.S. Dist. LEXIS 87902 (W.D. Va. 2006); Nova Measuring Instruments ve Nanometrics Inc. 2006 U.S. Dist. LEXIS 49156 (N.D. Kal. 2006); Re Payment Card Interchange Fee and Merchant Discount Antitrust Litigation, 2007 U.S. Dist. LEXIS 2650 (E.D. N.Y. 2007). Öte yandan, mahkemeler ve diğer taraflar arasında, hukuki varsayımın meta verilerin üretimine karşı olması gerektiği görüşü hızla yayılmaktadır. Kentucky Speedway ve National Association of Stock Car Auto Racing Inc., 2006 U.S. Dist. LEXIS 92028 (E.D. Ky. 2006); Wyeth ve Impax Laboratories Inc., 2006 U.S. Dist. LEXIS 79761 (D. Del. 2006); The Ponka Tribe of Indians of Oklahoma ve Continental Carbon Co., 2006 U.S. Dist. LEXIS 74225 (W.D. Okla. 2006). Aslında, ABA 2006’da 06-442 sayılı resmi kararıyla bu sorumluluğu olası koruma altındaki meta verileri, meta verilerin “temizlenmesi” amacıyla gönderen veya ayrıcalıklı veya başka bir şekilde koruma altındaki meta verilerin kasıtsız olarak üretilmesi olasılığını önlemek üzere, dokümanın meta verileri içermeyen farklı bir sürümünü gönderen avukata vermiştir. Florida ve Marylan Eyalet Baroları, benzer şekilde dava vekili için üretimden önce koruma altındaki meta verilerin “temizlenmesi” gereğini zorunlu kılmıştır. Mahkemeler ve Eyalet Baroları meta veri Elektronik üretim biçiminin günümüzde ve gelecek yıllarda çok tartışılacağını söyleyebiliriz. 23 BakerMcKenzie Guide_PRINT.indd 23 2008-06-11 16:27:41 sorununu nasıl çözerlerse çözsünler, bir şey kesindir: Şirketlerin ve avukatlarının, üretimden önce elektronik bilgilerinin ne şekilde saklandığını ve varsa bu bilgilere dahil olan meta verileri bilmesi gerekir. Ayrıca, şirketlere ve avukatlara, federal mahkeme tarafından şart koşulan “bir araya gelme ve görüş alışverişinde bulunma” toplantısından önce bu tür konuları ele alabilmek için hazırlıklı olmaları önerilir. Düzeltilmiş Hüküm 37 de söz konusu veriler elektronik bilgi sisteminin olağan ve iyi niyetli işleyişi sonucu kaybolması durumunda, elektronik olarak saklanan verilerin üretilememesi nedeniyle verilen bulgu yaptırımları için sınırlı bir “güvenli liman” sağlar. Yukarıda belirtildiği gibi, taraflardan biri zamanında “dava nedeniyle koruma altına alma”eylemini gerçekleştiremezse, mahkeme iyi niyet olduğuna hükmetmeyecektir. Koruma altına alma konuları yedek bantlar, sabit diskler, dizüstü bilgisayarlar ve diğer elektronik saklama alanlarını içerecek şekilde ana sistemin dışına çıkar. Bu tür konular ilk bakışta göründüğü kadar açık olmayabilir. Şirketiniz BlackBerry’ler gibi PDA’lar (elektronik ajandalar) kullanıyor mu? Bazı e-postalar yalnızca PDA’larda saklanıyor ve şirketinizin sunucularında bulunmuyor mu? Çalışanlar, dokümanlar düzenli olarak elektronik ortamda temizleniyor olduğu halde bunların basılı kopyalarını alıyor saklıyor mu? Siz bu kopyaların nerede saklandığını biliyor musunuz? Çalışanlarınız iş saatlerinde, şirketinizin elektronik olarak yönetilen sisteminde bunların bir kopyasını sakladığı e-posta bültenlerine, Anlık İleti programlarına veya kişisel e-posta hesaplarına erişebiliyor mu? Şirketiniz elektronik 24 BakerMcKenzie Guide_PRINT.indd 24 2008-06-11 16:27:41 verilerin ne sıklıkta imha edildiğini veya bu verilerin üzerine ne sıklıkta yazıldığını izliyor mu? Bu sistemler aranan kelimelere (örneğin, olası bir davacının adı, iş ünvanı veya satın alınan bir ürün) göre belirli türdeki veriler için duraklatılabiliyor mu? Şirketiniz hangi e-postaların şirket bilgisayarlarındaki kişisel klasörlerde saklanacağı konusunda açık ve net politikalara sahip mi ve çalışanlarınız bu politikaları düzenli bir şekilde izliyor mu? Şirketiniz bilgisayarlarında ne tür meta verilerin bulunduğunu biliyor mu? Etkin bir veri yönetimi sistemi herhangi bir davadan önce bu konuların her birini ayrıntılı olarak kapsamalıdır ve bir “dava durumu” ortaya çıktığında, şirket ilgili tüm verileri hemen belirleyip gereken biçimlerde saklayabilmelidir.32 Dava için koruma altına alınan tüm elektronik veriler, yalnızca olası davanın odaklanacağı kişi veya olası benzersiz muamele ayrımcılığı veya kolektif dava durumunda benzer durumdaki kişiler tarafından oluşturulan dokümanlarla sınırlı kalmayıp, söz konusu kişiyle ilgili veya bu kişiye gönderilen tüm dokümanları da içermelidir. 32 Etkin bir veri yönetimi sistemi herhangi bir davadan önce bu konuların her birini ayrıntılı olarak kapsamalıdır ve bir “dava durumu” ortaya çıktığında, şirket ilgili tüm verileri hemen belirleyip gereken biçimlerde saklayabilmelidir. Allen Smith, Amended Federal Rules Define Duty to Preserve Work E-mails, HR NEWS, 1 Aralık 2006. 25 BakerMcKenzie Guide_PRINT.indd 25 2008-06-11 16:27:41 BakerMcKenzie Guide_PRINT.indd 26 2008-06-11 16:27:41 HuzurluÇalışma Ortamı Amerika Birleşik Devletleri’nde,33 negatif çalışma ortamı davalarını engellemek için en iyi uygulamanın uygun filtreler kullanılması ve çalışanların izlenmesi olduğu kabul edilmiştir. “Sorumluluğu önlemek için filtrelerin kullanımının gerektiği yaygın olarak kabul edilmiştir”.34 “Filtreler kullanılmış olsaydı, söz konusu e-postalar gönderilemeyeceğinden birçok e-posta taciz davası önlenecekti”.35 Birçok e-posta taciz davası filtreler kullanılmış olsaydı, söz konusu e-postalar gönderilemeyeceğinden, önlenebilecekti. İstatistiklerin ve en yüzeysel negatif çalışma ortamı incelemelerinin bile gösterdiği gibi, elektronik posta sistemleri sayısız ayırımcılık ve taciz davasının kaynağı olmuştur. EEOC ile Freddie Mac arasındaki davada Med. No. 97-1157-A, 3-4 (E.D. Va. 24 Temmuz, 1997) (iş ortamında “ebonics” (zenciler tarafından konuşulan İngilizce) hakkında aşağılayıcı elektronik postaların gönderimiyle ilgili en az üç sene önce açılmış ve süren dava. İşverenin meseleyi kökünden çözecek eylemi zamanında yapması gerekiyordu”.) Olivant ile Dept. of Environmental Protection arasındaki dava, 1999 WL 430770 (N.J. Yönetici 12 Nisan) (cinsiyet ayırımına dayalı “mizahın” elektronik posta sistemlerinde dağıtımı cinsel taciz oluşturur.); Trout ile City of Akron arasındaki dava (Dava dilekçesi No. CV-97-115879 (dosya tarihi 17 Kasım 1997); Karar, no. (15 Aralık 1998)); Çalışanların bilgisayarlarında pornografik malzemeler görüntülemesi nedeniyle City 260.000 Dolar cezaya çarptırıldı. Bunun aksine, Delfino ile Agilent arasındaki davada 145 Kal. App.4th 790 (6th Dist., 2006), mahkeme çalışanın İnternet üzerinden tehdit 33 Uluslararası bazda, izleme çeşitli kısıtlamalara ve yasaklara tabidir. Bu makale esas olarak ABD’deki uygulamaları açıklamaktadır; ancak aşağıda Bölüm VIII’de belirtildiği gibi, çok sayıda ABD dışı yasal gereksinimlerle uyumu sağlamak için daha da ayrıntılı veri yönetimi gerekmektedir. 34 Eugene Volokh, UCLA Hukuk Profesörü, Freedom of Speech, Cyberspace: Harassment Law and the Clinton Administration, 63 LAW & CONTEMP. PROBS. 299 (2000). 35 Wendy R. Leibowitz, Avoiding E-mail Horror Stories: Policies and Filters the Best Defense, N.Y. L.J., December 15, 1998, at 5. 27 BakerMcKenzie Guide_PRINT.indd 27 2008-06-11 16:27:41 içerikli iletiler göndermek üzere işverenin bilgisayarını kullanması konusunda, işveren bu suistimali öğrenir öğrenmez gerekli önlemi aldığı için, işverenin bir sorumluluğu olmadığına karar verdi. Buna ek olarak, federal kanunlar kaçakçılık kabul edilen çocuk pornosunu düzenleyerek” 18 USC 2251 ve diğerleri ile söz konusu içeriğin kullanılmasını, bulundurulmasını, dağıtılmasını vb. yasadışı ilan etmiştir. Aslında, şirketler bu tür malzemelerin kullanımından haberdar olmaları durumunda bunu FBI’ya bildirmekle yükümlüdür. Bu durumu bildirmemeleri çocuk pornografisi kanunlarını ihlal etmiş kabul edilemelerine neden olabilir. Suistimale karşı koruma için, ABD’de gün geçtikçe daha fazla sayıda şirket izleme cihazları veya filtreler kullanıyor. ABD’de bir işverenin şirket donanımınları aracılığıyla gerçekleşen elektronik iletişimi izleyememesi ciddi ölçüde sorumluluk altında kalmasına neden olur. Buna göre, ABD’deki işverenlerABD’deki çalışanlarına bilgisayarların işverenin mülkiyetinde olduğunu, iletişimin sürekli izlendiğini ve çalışanların işle ilgili bilgisayarlarını kullanırken gizlilik beklentisi içinde olmamaları gerektiğini bildirmelidir.36 Ayrıca, mahkemeler gün geçtikçe kişileri sakıncalı İnternet içeriğinden korumak için en az kısıtlayıcı yöntem olan filtrelemeden daha memnun olmaktadır. Örneğin, 22 Mart 2007’de bir Pennsylvania’daki bir federal mahkeme Çocukları Online Koruma Yasası37’yi kısmen anayasaya aykırı buldu. Bunun nedeni filtrelerin çocukları İnternet üzerindeki sakıncalı içerikten korumak için Kongre yasalarının gerektirdiği derecede kısıtlayıcı bir önlem olmamasıydı.38 Mahkeme filtrelerin 36 Monitoring Employee E-mail: Efficient Workplaces vs. Employee Privacy, 2001 DUKE L. & TECH. REV. 0026 (2001). 47 U.S.C. § 231. 38 ACLU v. Gonzales, No. 98-5591 (E.D. Pa. 22 Mart 2007). 37 28 BakerMcKenzie Guide_PRINT.indd 28 2008-06-11 16:27:41 “uygunsuz cinsel içeriğin % 95” ini engellediğine ve39 ayrıca “tamamen özelleştirilebilir ve farklı yaş grupları ve farklı içerik kategorileri için ayarlanabilir veya tamamen devre dışı bırakılabilir…” olduklarına karar verdi.40 Düzenlemeler, hukuki ihtilaflar ve önlenebilecek hataların maliyetlerinin artması nedeniyle, şirketler verimi yönetmek, kaynaklarını korumak ve çalışanların uyumluluğunu teşvik etmek için teknolojiye ek olarak işyeri politikaları kullanmaktadırlar. Resmi kaynaklara göre, ABD’deki şirketlerin % 80 veya daha fazlası çalışanlarına içerik, tuşa basımları ve klavyede geçirilen zamanı izlediğini bildiriyor; % 76’sı çalışanlarının web sitesi etkinliklerini izliyor; % 65’i uygun olmayan web sitelerine erişimi engelliyor; % 82’si şirketin bilgisayardaki dosyaları sakladığını ve incelediğini açıklıyor; % 86’sı çalışanlarını e-postaların izlendiği konusunda uyarıyor ve % 89’u çalışanlarına web kullanımlarının izlendiğini bildiriyor.41 2005’te, resmi kaynaklara göre ABD şirketlerinin % 84’ü kişisel e-posta kullanımını yöneten politikalar uygulamaya başladı, % 42’si kişisel anlık ileti gönderimiyle ilgili politikalara sahip, % 34’ü iş saatlerinde kişisel web sitelerinin kullanımına yönelik önlemler aldı, % 23’ü kuruluş blog’larına gönderimde bulunmayla ilgili politikalara sahipti ve kuruluş politikalarının % 20’si iş saatlerinde kişisel blog’larla çalışmaya kısıtlama getirdi.42 Aynı yıl, işverenlerin % 26’sı çalışanlarını İnternet’i kötüye kullanma nedeniyle işten çıkardığını bildirdi ve % 25’i e-postaları kötüye kullanma nedeniyle işten çıkardı.43 39 Düzenlemeler, hukuki ihtilaflar ve önlenebilecek hataların maliyetlerinin artması nedeniyle, şirketler verimi yönetmek, kaynaklarını korumak ve çalışanların uyumluluğunu teşvik etmek için teknolojiye ek olarak işyeri politikaları kullanmaktadırlar. Id. 40 Id. 26 AMA/ePolicy Institute Araştırması, 2004 Workplace E-mail and Instant Messaging Survey (2004). 42 Id. 43 Id. 29 BakerMcKenzie Guide_PRINT.indd 29 2008-06-11 16:27:42 BakerMcKenzie Guide_PRINT.indd 30 2008-06-11 16:27:42 Şirket Başarısının TemeliniFikri Mülkiyetin Korunması Oluşturur E-posta hacmi senede % 30oranında artıyor ve % 80 oranında şirketlerin fikri mülkiyetlerini içeriyor.44 Felaket olasılığı artık teoriden ibaret değil. Sonoco Products ile Johnson arasındaki davada, 23 P.3d 1287 (Co. App. 2001), eski çalışan ve yeni işverenin bir çalışan tarafından çalınan Sonoco’nun elektronik ve fiziksel ortamda bulunan özel bilgilerini kullanmak üzere birlik olduğu ticari sır suistimali davasında şirkete yaklaşık 7 milyon Dolarlık ceza verildi.45 E-posta hacmi yılda % 30 oranında artıyor ve % 80 oranında şirketlerin fikri mülkiyetlerini içeriyor. Mahkemeler yalnızca elektronik verilerle kaçan çalışanıdeğil yeni işvereni de suçlu buldu. Shurgard Storage ile Safeguard Self-Storage arasındaki davada, 119 F. Supp. 2d 1121 (W.D. Wash. 2000), davacı, Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası altında, eski çalışanın davacının bilgisayarlarını kullanarak davalı şirkete davacının özel bilgilerini eposta ile göndermesi ve daha sonra bu şirket tarafından işe alınması nedeniyle, yeni işverene dava açtı. Charles Schwab ile Carter arasındaki davada, 2005 U.S. LEXIS 21348, no. 04-C-7071 (N.D. Ill. 2 Eylül7 2005), mahkeme davacının vekaleten sorumluluk teorisiyle Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası altında davacının eski çalışanın yeni işverenine karşı açtığı davayı haklı buldu. Çalışan davacı Schwab için çalışırken, Schwab’ın özel bilgilerini sonraki işvereni olan Acorn’a yollamıştı. Schwab, Acorn’un çalışanı yetkisi dışındaki Schwab bilgisayar erişmeye zorladığını iddia etti. 44 Frank Chambers, EDD Tips for Email from the Front Line, LAW TECHNOLOGY TODAY, Mart 2007. bkz., Sawyer v. Dept. of Air Force, MSPB 1986, 31 MSPR 193; US v. Middleton, 35 F. Supp. 2d 1189 (N.D. Kal. 1999); EF Cultural Travel BV v. Explorica Inc., 274 F.3d 577 (1st Cir. 2001); Pacific Aerospace Electronics Inv. v. Taylor, 295 F. Supp. 2d 1188 (E.D. Wa. 2003). 45 Ayrıca 31 BakerMcKenzie Guide_PRINT.indd 31 2008-06-11 16:27:42 Lowry’s Reports ile Legg Mason arasındaki davada, 271 F. Supp. 2d 737 (D. Md. 2003), bir çalışan telif hakkıyla korunan malzemeyi işyerinde dağıttı ve bu malzemenin baskısını aldı. Mahkeme, işveren çalışandan telif hakkıyla korunan malzemeyi dağıtmayı bırakmasını istedikten sonra, çalışanın bu hatalı davranışa devam ettiğini bilmemesinin anlamsız olduğunu belirtti. Jüri 20 milyon Dolarlık bir cezaya karar verdi.46 Bu davaların her biri ABD’deki şirketlerin/mağdurların dışarıya gönderilen özel bilgileri izlediğini ve bu tür bilgilerin yetkisiz gönderimini tespit ettiğini veya filtrelediğini göstermektedir.Bu filtreler yıllar süren davaların yanı sıra, başlangıçta özel bilgilerin kaybedilmesini de önleyebilirdi. Ne de olsa, kaybedilmiş özel bilgiler, dava açılsın ya da açılmasın, nadiren geri alınabilir. 46 Lowry’s Reports, Inc. ile Legg Mason, Inc. arasındaki davada, yeni dava ve delil yetersizliğinden davanın düşmesi talebi reddedildi. 302 F. Supp. 2d 455, 461 (D. Md. 2004). 32 BakerMcKenzie Guide_PRINT.indd 32 2008-06-11 16:27:42 Gizlilik: Fazla Bilginin Göz Çıkardığı Anlar47 Avrupa Birliği (AB) ülkelerinin ve dünyadaki bazı bölgelerde bulunan ülkelerin aksine, ABD’nin kapsamlı bir veri gizliliği planı yoktur. ABD, veri gizliliği sorunlarını daha çok sektör veya endüstri bazında, kişisel gizlilik verilerinin oluşturulmasına, saklanmasına, kullanımına ve bu verilere erişime ilişkin gizli yasalarla ele almayı tercih etmektedir. FRCP’nin kayıt saklamaya verdiği önemin veya güvenli olmayan iş ortamından veya Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası kapsamında açılan davalardan çıkarılan izleme derslerinin aksine, gizlilik yasaları, bir şirketin toplayabildiği, işleme koyabildiği, aktarabildiği, saklayabildiği, kullanabildiği veya dağıtabildiği verileri düzenler ve kısıtlar. Sonuçta, etkili bilgi yönetimi sistemlerinin gerektiğinde verileri saklama ve arşivleme ve mümkün olduğunda ABD içinde izleme yeteneği sunmasının yanı sıraşirkete yalnızca kısıtlı ve açıkça belirtilmiş amaçlarla verilmiş gizli bilgilerin kullanımını ve bu bilgilere erişimi kısıtlama yeteneğine sahip olması gerekir. Örneğin, Gramm-Leach-Bliley Yasası, bankacılık, sigorta, tahvilat ve hisse senedi, mali danışmanlık ve yatırım alanlarında faaliyet gösteren işletmeler dahil olmak üzere mali kurumların faaliyetlerini düzenler. Özel mali bilgilerin satışına karşı sınırlı gizlilik korumaları sağlar, sahte bahanelerle özel mali bilgileri ele geçirmeye yönelik sahte senaryolardan (pretexting) korunmayı düzenler ve tüketicilere sınırlı “özel kişisel bilgi” paylaşımı kapsamı 47 ABD’nin yanı sıra dünya genelindeki veri gizliliği hakkında daha fazla bilgi için Baker & McKenzie Global Privacy Handbook (Genel Gizlilik El Kitabı) (Uluslararası Gizlilik Çalışanları Derneği) ©2006 adlı çalışmadan yararlanabilirsiniz. 33 BakerMcKenzie Guide_PRINT.indd 33 2008-06-11 16:27:42 HIPAA, sağlık planları, sağlık takas büroları ve sağlık sektöründe faaliyet gösteren kuruluşlar şeklinde tanımlanan “örtülü kuruluşlar” için sağlık bilgilerinin toplanmasını, kullanımını ve bu bilgilere erişimi ele alır. dışına çıkma hakkı verir. Ayrıca, mali kurumlara Federal Ticaret Komisyonu’nun Müşteri Bilgilerini Koruma Standartları gibi yetkili merciler tarafından belirlenen belirli ölçütleri karşılayan bilgi güvenliği programlarına sahip olma koşulu getirir. Doğru Kredi Raporlama Yasası (ve benzeri pek çok eyalet kanunu), temelde, “tüketici raporlarındaki” bilgilerin çok geniş bir kapsamı olan “tüketici raporlama kuruluşları” tarafından kullanımını ve açıklanmasını düzenler. Tıbbi ve mali bilgilerin ve mahkeme muamelelerine ilişkin bilgilerin toplanmasına, kullanımına ve açıklanmasına bazı kısıtlamalar getirir; ayrıca kimlik hırsızlığı, istihdam amaçlı tüketici raporları ve üçüncü taraflarla “araştırma niteliğindeki tüketici raporları” ile ilgili özel kısıtlamalar içerir. Yasa, toplanan ve dağıtılan verilerin veri gizliliğini ve doğruluğunu korumak amacıyla tüketici raporlama kuruluşları ve tüketici raporlarını kullanan kişiler için ve tüketici raporlarından elde edilen bilgilere İnternet erişimi, bu bilgilerin kullanımı ve güvenli bir şekilde yok edilmesi konusunda pek çok koşul getirir. Sağlık Sigortasının Taşınabilirliği ve Mali Sorumluluk Yasası (HIPAA), sağlık planları, sağlık takas büroları ve sağlık sektöründe faaliyet gösteren kuruluşlar şeklinde tanımlanan “örtülü kuruluşlar” için sağlık bilgilerinin toplanmasını, kullanımını ve bu bilgilere erişimi ele alır. HIPAA mevzuatıyla düzenlenen konulardan bazıları herhangi bir biçimdeki korunan sağlık bilgilerinin kullanımı ve açıklanmasıdır. Örtülü bir kuruluş, HIPAA tarafından zorunlu kılınan politikalardan ve uygulamalardan ve altı ay boyunca kayıt tutulmasından 34 BakerMcKenzie Guide_PRINT.indd 34 2008-06-11 16:27:42 sorumlu olacak bir veri görevlisi atamalıdır. Örtülü kuruluşlar, bunun dışında Elektronik Korumalı Sağlık Bilgilerinin Korunması için Güvenlik Standartları’na, 45 CFR 160 ve 164 uymalıdır. Ocak 2007’de, ABD Adalet Bakanlığı, HIPAA kapsamında Cleveland Clinic’ten 1,130 elektronik kaydın çalınmasını kapsayan ilk tıbbi kimlik hırsızlığı ceza davasını açtı. Bir Clinic çalışanının, hasta kayıtlarını toplayarak organize bir suç örgütüne satmak üzere Clinic’in bilgisayar sistemini kullandığı ve söz konusu örgütün, bu kayıtları Medicare’e $7 milyonluk sahte fatura düzenlemek için kullandığı iddia edildi. California’nın Tıbbi Bilgilerin Gizliliği Yasası.48 HIPAA mevzuatıyla düzenlenen konulardan bazıları herhangi bir biçimdeki korunan sağlık bilgilerinin kullanımı ve açıklanmasıdır. Ayrıca pek çok eyalette, sosyal sigorta numaralarının gizliliğini koruyan özel yasalar yürürlüktedir. Örneğin, California Medeni Kanununun 1798.85 numaralı bölümü, başka yasakların yanında, bağlantı güvenli olmadığı veya sosyal güvenlik numarası şifrelenmediği sürece bir bireyden sosyal güvenlik numarasını aktarmasını istemeye yasak getirmiştir. California Medeni Kanununun 1798.81.5 numaralı bölümü, işletmelere sosyal güvenlik numaraları, kredi kartı ve banka hesap numaraları, ehliyet numaraları ve benzeri pek çok bilgi dahil olmak üzere çeşitli kişisel bilgilerin korunması için makul güvenlik prosedürleri uygulama zorunluluğu getirmektedir. New York’ta da, sosyal güvenlik numaraları gibi kişisel bilgilerin bulunduğu dokümanların imha edilmesini düzenleyen benzer bir yasa yürürlüktedir.49 Şirketlerin, hızla büyüyen veri gizliliğini koruma rejimlerine karşı elektronik veri yönetimi sistemlerini dikkatli bir şekilde seçmeleri gerekir. Hem doktorların, 48 Yakın zamanda yapılan bir araştırmada, katılımcıların % 98,5’i tıp kuruluşlarının hastaların tıp kayıtlarının güvenliğini sağlamaktan sorumlu olduğunu ifade ederken % 40’tan az bir bölümü sağlık hizmeti aldıkları kuruluşların tıbbi bilgilerinin güvenliğini sağladığına inandığını dile getirdi. Katılımcıların neredeyse tamamı, hastanın izni olmadan tıp kayıtlarına erişilmesi durumunda tıp kuruluşlarının hastayı uyarmakla yükümlü olduğuna inandığını; ancak her 10 katılımcıdan 7’si, bir güvenlik ihlalinden şüphelenildiğinde bunun hastalara bildirildiğine inanmadığını belirtti. www.epictide.com. 49 NY CLS Gen. Bus. §399-h (2007). 35 BakerMcKenzie Guide_PRINT.indd 35 2008-06-11 16:27:42 ABD ve eyalet veri gizliliği yasalarının ihlal edilmesi çoğu zaman para cezasına yol açmasının yanında şirket itibarını ve markasını lekeler. İhlali önlemek amacıyla önceden planlama yapılması, sonradan zararı tazmin etmeye çalışmaktan çok daha etkilidir. hem de bankacıların, gerek tanı bilgileri, gerekse mali bilgiler gibi gizli bilgileri korumak için şifreleme özelliklerinden yararlanması gerekir. Yetkisiz veya fazla erişimi önlemek amacıyla güvenlik duvarları ve sınırlı erişim yüklenmelidir. Bir güvenlik ihlali tespit edildiğinde zaman kaybedilmeden gerekli bildirimlerde bulunulması ve çözüm niteliğinde işlemlerin gerçekleştirilebilmesi için izleme yeteneği olmalıdır. ABD ve eyalet veri gizliliği yasalarının ihlal edilmesi çoğu zaman para cezasına yol açmasının yanında şirket itibarını ve markasını lekeler. İhlali önlemek amacıyla önceden planlama yapılması, sonradan zararı tazmin etmeye çalışmaktan çok daha etkilidir. 36 BakerMcKenzie Guide_PRINT.indd 36 2008-06-11 16:27:42 Şifreleme Şifreleme çok gerekli olmasına karşın, çoğu zaman yeterince yararlanılmayan bir teknolojidir. “Veri şifreleme, aktarılan veya saklanan bilgilerin karıştırılarak istenen alıcı dışında hiç kimse tarafından anlaşılamamasını sağlama işlemidir”.50 Ticari sıraların ve İnternet üzerinden gönderilebilecek diğer sırların korunması şarttır. Şifreleme yetenekleri olmadığında şirketlerin sırları açıkta kalır. “Güvenlik dünyasında, 2005 yılı, veri sızıntılarının manşet haberi haline geldiği yıl olarak hatırlanacaktır. Bunda, müşteri verilerinin çalınması veya kaybedilmesi durumunda halkın bilgilendirilmesini zorunlu kılan yeni ABD yasalarının payı büyüktür”.51 Daha tehlikeli olansa, işverenlerinin gizli bilgilerine erişimi olan çalışanların veri güvenliğine öncelik vermemesi veya gizli verilerin nasıl kullanılacağını bilmemesidir. Konusunda bir ilk olan “Why Johnny Can’t Encrypt”,52 (Johnny Neden Şifreleyemiyor) adlı makalede Carnegie Mellon Üniversitesi’nden iki araştırmacı, orta halli, eğitimli, e-posta kullanmayı bilen kullanıcıların şifreleme teknolojisini kullanmayı bilmediğini ifade etmektedir. Bu makalenin ardından yapılan, devam niteliğindeki “Why Johnny Still Can’t Encrypt”53 (Johnny Neden Hala Şifreleyemiyor) adlı çalışma bir miktar gelişme olduğunu göstermiştir. Şirketlerin, güvenlik gereksinimlerine uygun kullanımı kolay şifreleme sistemleri edinmek için proaktif adımlar atması ve çalışanlarını teknolojiyi nasıl kullanacakları konusunda eğitmesi gerekir. 50 Fred Moore, Preparing for Encryption: New Threats, Legal Requirements Boost Need for Encrypted Data, COMPUTER TECHNOLOGY REVIEW, Ağustos-Eylül 2005. 51 Kevin Murphy, Email Security Uncovered, COMPUTER BUSINESS REVIEW ONLINE, 1 Kasım 2005 (CipherTrust üst düzey ürün geliştirme direktörü Alex Hernandez’den alıntı). 52 Alma Whitten & J.D. Tygar, Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0, bkz. http://www.gaudior.net/alma/johnny.pdf. 53 Steve Sheng et al, Why Johnny Still Can’t Encrypt: Evaluating the Usability of Email Encryption Software, bkz. http://cups.cs.cmu.edu/ soups/2006/posters/sheng-poster_abstract.pdf. 37 BakerMcKenzie Guide_PRINT.indd 37 2008-06-11 16:27:42 Korsanlar, orta ölçekli şirketlerin güvenlik ve şifreleme için genellikle daha az harcama yaptığını bildiğinden verilerini korumamaları halinde 4,000’in üzerinde orta ölçekli şirketin saldırılara açık olduğu tahmin ediliyor. Şifrelenmemiş bilgilerin saklandığı veri depolama sistemleri, şirketleri, müşteri bilgilerinin korsanlar tarafından çalınması riskiyle karşı karşıya getirir ve bu durum, halkla ilişkilerde sorunlara, müşteri kayıplarına ve maliyeti ağır davalara yol açabilir. Örneğin, Ocak 2007’de T.J. Maxx, Marshalls, Home Goods, Bob’s Stores ve daha başka perakende zincirlerini kapsayan TJX Companies adlı şirket, bilgisayar sistemlerinin 2005-2006 yıllarında saldırıya maruz kaldığını, 2002-2004 yılları arasında kullanılan ve kişilerin adlarını, kredi ve banka kartı numaralarını içeren 45,7 milyon ödeme kartına ilişkin bilginin çalındığını duyurdu.54 Radioshack, Mart 2007’de, atılan 20 kutu kaydın müşterilerin kredi kartı numaralarının bulunduğu faturaları içerdiğini öğrendi. Teksas Başsavcısı işlem başlattı. Mart 2007’de Group Heath Cooperative Healthcare System, yerel hastaların ve çalışanların adlarını, adreslerini, sosyal güvenlik numaralarını ve Group sağlık kimlik numaralarını içeren, şirkete ait iki diz üstü bilgisayarı kaybetti. Bu kazaların her biri şifreleme kullanılarak önlenebilirdi. Orta halli şirketlerin saldırılara daha açık olduğu söylenebilir. Korsanlar artık küresel bir virüs yaymış olmanın getireceği şöhretin peşinde değil. Artık amaçları para kazanmak. Korsanlar, orta ölçekli şirketlerin güvenlik ve şifreleme için genellikle daha az harcama yaptığını bildiğinden verilerini korumamaları halinde 4000 ’in üzerinde orta ölçekli şirketin saldırılara açık olduğu tahmin ediliyor.55 Yukarıda belirtildiği gibi, kişisel bilgilerin yanlışlıkla yayınlanması durumunda, en azından California’nın Sosyal Güvenlik Numarasının Gizliliği Yasası uyarınca, 54 TJX, Sık Sorulan Sorular, www.tjx.com/tjx_faq.htm. Allan Holmes, Many Mid-Market Enterprises Say They Have Neither the Time, Money nor Resources to Spend on Security. Which May Be Why the Crooks Are Targeting Them and Turning the Mid-Market into a Bad Neighborhood, CIO, 1 Mart 2007. 55 38 BakerMcKenzie Guide_PRINT.indd 38 2008-06-11 16:27:42 şifreleme, bir karşı cevap layihası sayılır.56 Ayrıca, istihbarat içeren devlet yüklenicileri tarafından çeşitli şifreleme standartlarının kullanılması gerekir.57 Bundan başka, sağduyu, özel bilgilerin yanlışlıkla açığa çıkmasını önlemek amacıyla şifreleme kullanmayı gerektirir. Şirketin şifreleme hizmeti gereksinimi, BT ve hukuk departmanları tarafından koordine edilmeli, korsanlığa, hırsızlığa veya hukuk davalarına karşı geçerli sistemin yeterli koruma sağlayıp sağlamadığı belirlenmelidir. 56 57 CAL. CIV. CODE §1798.29 (bu yasanın bir bölümü SB 1386 olarak da bilinir). Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Veri Şifreleme Standardı Temel Verileri, bkz. http://csrc.nist.gov/cryptval/des/des.txt. 39 BakerMcKenzie Guide_PRINT.indd 39 2008-06-11 16:27:43 BakerMcKenzie Guide_PRINT.indd 40 2008-06-11 16:27:43 Uluslararası Sorunlar: Veri Uyumluluğu Dünyaları Ne Zaman Çarpışır ABD dışındaki yargı alanlarında geçerli veri toplama, işleme, saklama, kullanma, izleme, erişme ve imha etme kuralları çok farklı olduğu gibi zaman zaman ABD’de geçerli kanunlara aykırıdır. Uluslararası faaliyet gösteren şirketlerin elektronik veriler için geçerli yerel veri uyumunun yanı sıra sınır ötesi kuralları da bilmesi gerekir. Uluslararası faaliyet gösteren şirketlerin elektronik veriler için geçerli yerel veri uyumunun yanı sıra sınır ötesi kuralları da bilmesi gerekir. Örneğin AB’de her ülke, AT Veri Gizliliği Direktifi uyarınca, “kişisel bilgilerin” toplanmasına, kaydedilmesine, düzenlenmesine, depolanmasına, adapte edilmesine, değiştirilmesine, alınmasına, engellenmesine, izlenmesine, kullanımına, açıklanmasına, aktarılmasına, devredilmesine ve imha edilmesine ilişkin yasaları ” ve bazı durumlarda “gizli kişisel bilgiler” için daha fazla koruma uygulamıştır. ABD’nin aksine, AB’de “kişisel bilgiler” daha geniş bir şekilde tanımlanmaktadır ve genellikle endüstri ve sektörle sınırlanmaksızın bir kişinin ad, adres, maaş, kazanç ve mali bilgilerini ve sağlık, ırk, etkin köken, siyasi görüş, sendika üyeliği veya medeni durum gibi daha “özel” bilgilerini yetkisiz bir şekilde işlenmeye veya aktarılmaya karşı korur. Bu tür yasalar, çalışanların yanı sıra tüketiciler için geçerlidir. İtalya, Avusturya ve diğer birkaç ülke bir adım daha ileri giderek şirketleri de veri gizliliği koruması kapsamına dahil etmiştir. ABD, AB tarafından “güvenli olmayan” bir yargı alanı sayıldığından bu tür bilgilerin ABD-AB Safe Harbor 41 BakerMcKenzie Guide_PRINT.indd 41 2008-06-11 16:27:43 Şirketler, hangi verileri toplamalarına, işlemelerine ve uluslararası düzeyde aktarmalarına izin verildiğini öğrenmeli; zaman zaman rekabet eden, zaman zaman çelişen yasalarla boğuşmaya hazır olmalıdır. Sözleşmesi’ne katılım, AB Modeli Hükümlerinin benimsenmesi veya onaylanmış Veri Gizliliği politikalarının uygulanması gibi belirli önlemler alınmadıkça ABD’ye ve diğer “güvenli olmayan yargı alanlarına” elektronik olarak veya başka yöntemlerle aktarılması yasalara aykırıdır. Kişisel verilerin ABD’ye aktarımı için bu tür koruma amaçlı önlemler alınmış olsa bile söz konusu verilerin kimliği belirsiz üçüncü taraf işlemcilere veya Hindistan’daki veri girişi hizmetleri gibi diğer ülkelere “ileriye dönük” aktarımına izin verilmeyebilir. Bu konuda AB ülkeleri yalnız değildir: Kanada, Arjantin, Japonya, Avustralya ve diğer pek çok ülke, çeşitli düzeylerde veri gizliliği korumalarını benimsemektedir. Şirketler, hangi verileri toplamalarına, işlemelerine ve uluslararası düzeyde aktarmalarına izin verildiğini öğrenmeli; zaman zaman rekabet eden, zaman zaman çelişen yasalarla boğuşmaya hazır olmalıdır. Örneğin, SOX, halka açık şirketlerin mali ihlallerden veya güvenlik ihlallerinden şüphelenildiğinde bu durumun bildirilebileceği anonim bir ihbar hattının bulunmasını şart koşar. SOX anonim hattının amacı, çalışanların, kimliklerinin gizli tutulduğunu bilmenin rahatlığıyla bir misillemeden çekinmeden ihbarda bulunmalarını sağlamaktır. Öte yandan, AB, anonim hatların gizlilik haklarını ihlal ettiği gerekçesiyle anonim raporlamaya kısıtlamalar getirir. SOX’un şeffaflığı ve AB’nin gizlilik kaygıları arasındaki bu öncelik çakışması, halka açık çok uluslu şirketler için gözle görülür bir ikilem yaratmakta ve ABD SOX gereksinimlerini karşılarken gereken sınırlı saklama, erişim ve alma olanaklarının gözetilmesini sağlamak için gelişmiş bir veri yönetimi sistemi gerektirmektedir.58 58 Davranış Kuralları ve anonim ihbarların dünya genelinde aşırı kullanımı hakkında daha fazla bilgi için bkz. “Overreaching Global Codes of Conduct Can Violate the Law”, Cynthia L. Jackson, LA and SF Daily Journal, 7 Haziran, 2006. 42 BakerMcKenzie Guide_PRINT.indd 42 2008-06-11 16:27:43 Diğer ABD “en iyi uygulamaları”, uluslararası ortamda karşılık bulamamaktadır. Örneğin, 2001 yılında Fransa’da Anayasa Mahkemesi, bir Fransız şirketinin, Fransız bir çalışanın şirketteki bilgisayarını izleyerek rakip olabilecek bir şirkete gizli bilgiler içeren e-postalar gönderdiğini tespit ettikten sonra o çalışanı işten çıkarmasının yanlış ve anayasaya aykırı, suç teşkil eden bir ihlal olduğu kararına varmıştır. Fransız mahkemesi, işveren, şirket bilgisayarlarının iş dışında amaçlarla kullanımını yasaklamış bile olsa çalışanların, çalışma saatleri içinde ve işyerlerinde, anayasadan doğan gizlilik hakkının bulunduğuna hükmetmiştir. Bu konuda biraz daha yumuşak davranmakla birlikte, Almanya da, işveren çalışanların şirket sistemini kişisel amaçlarla kullanmasına izin veriyorsa çalışanların bilgisayarlarının izlenmesine kısıtlama getirmiştir. AB içindeki bazı yargı alanlarında, çalışanlar, en azından yerel veri gizliliği yetkili organınca kaydedilip onaylandıktan sonra izlenebilmektedir. Dolayısıyla, elektronik veri yönetimi sistemi seçilirken, şirketin, verilerin toplandığı, kullanıldığı veya erişime sunulduğu yerdeki yerel hukuki gereksinimleri bilmesi çok önemlidir. Çok uluslu şirketlerde olduğu gibi, veriler birden çok yargı alanında toplanır veya birden çok yargı alanına aktarılırsa, veri gizlilik politikalarına uyulması ve gerekli, uyumlu önlemler alınmadan veri işlemlerinin, izleme veya veri aktarımının gerçekleştirilememesi için gerekli güvenlik duvarı ve erişim kısıtlamalarından yararlanılması gerekir. 43 BakerMcKenzie Guide_PRINT.indd 43 2008-06-11 16:27:43 BakerMcKenzie Guide_PRINT.indd 44 2008-06-11 16:27:43 En İyi Uygulama İpuçları 1. Önceden planlayın. Verilerinizi yönetmeye başlamak için dava açılmasını, muhalif çalışma ortamından şikayet edilmesini, ticaret sırlarının dışarı sızmasını veya gizli bilgilerin kaybolmasını beklemeyin. 2. Yasal olarak nelerin gerekli olduğunu bilin. Şirketinizin faaliyet gösterdiği sektörün ve hukuk düzenlerinin yasal gereksinimlerini anlayın. Örneğin, bir ülkedeki veya eyaletteki belirli bilgilerin veri saklama yükümlülükleri nelerdir? Varsa, erişimi veya saklamayı kısıtlayan teminatlar nelerdir? Nelerin şifrelenmesi gerektiğini ve bir güvenlik ihlali olması durumunda, bildirim yükümlülüklerinizi biliyor musunuz? Filtreler, muhalif çalışma ortamlarını önleme görevinde akıllıca çalışıyor mu veya filtreler, gizliliğe saldırı olarak mı görülüyor? 3. Tek beden herkese uymayabilir. Ulusal veya uluslararası ölçekte çalışıyorsanız, bazen elektronik veri yönetimi sisteminiz yükümlülüklerle çelişebilir. Örneğin, izleme veya filtrelemeye izin vermeyen bazı hukuk düzenlerinde güvenlik duvarlarını, erişim kısıtlamalarını ve belirli işlevleri devre dışı bırakmayı düşünebilirsiniz. 4. Sistem yönetimiyle ilgili sorumluluk atayın. Elektronik verilerin sağlanmasından ve yönetilmesinden sorumlu çalışanlar atayın. Bu grup, hukuk ve BT bölümlerinden seçilen, İK veya diğer bölümlerden bilgi alan kişiler olabilir. Yasal talepler ortaya çıktığında, sistemi çalıştıracak kişilere erken haber verin. 5. Çeşitli formları ve veri sorumlularını bulun. Verilerin bir masada, kişisel dijital yardımcılarda (PDA’lar), ev bilgisayarlarında, dizüstü 45 BakerMcKenzie Guide_PRINT.indd 45 2008-06-11 16:27:43 bilgisayarlarda ve başka yerlerde saklanabileceğini unutmayın. Yasaların şirketi sorumlu tutacağı verileri yönetmeden önce, benimsediğiniz sistemin hangi verileri nerede yakalayacağını tanımlamalısınız. Sahip olduğunuz meta verileri bilin. 6. Esnek bir elektronik veri yönetimi sistemi seçin. Şirketinizin, faaliyet gösterdiğiniz yargı alanlarındaki saklama, arşivleme, izleme, filtre uygulama ve şifreleme gereksinimlerini karşılayacak kadar esnek bir sistem seçin. Çalışanların sistemi severek kullanabilmesi için “kullanımı kolay” bir sistem seçin. Değişen yasal gereksinimlere uygun olarak değişebilecek bir sistem seçin. Meta veriler dahil olmak üzere veri artışı için gerekli planları yapın. 7. Çöpçü olmayın. Yalnızca teknoloji size büyük elektronik verileri saklama olanağı verdiği için bunu yapmanız gerekmez. Gereksiz verileri saklamak yalnızca veri almayı karmaşıklaştırmakla kalmaz, aynı zamanda saldırı risklerini de artırır. Örneğin, gerekmiyorsa müşterilerin gizli mali verilerini saklamayın. Gerekiyorsa, bu verileri şifreleyin. 8. Politika benimseyin. Davadan önce “dava bekletmeleri” dahil olmak üzere doküman saklama gibi konuları ele alan, yürürlükteki yasalarla uyumlu net ve basit politikalar benimseyin. ABD’de, iyi tanıtılmış bir e-posta çalışan elektronik izleme politikası benimseyin. İstenmeden açığa çıkmalarını önlemek amacıyla gizli bilgiler için şifreleme politikaları benimseyin. İzin verildiğinde, çalışanlarınızın sizi ciddiye alması için disiplin prosedürleri uygulayın. 9. Hazırlıklı olun. Dava bekletme sürecini uygulamaya koymak için bir duruşma olmasını, hatta davalık bir durum ortaya çıkmasını beklemeyin. Gerektiğinde dava bekletme 46 BakerMcKenzie Guide_PRINT.indd 46 2008-06-11 16:27:43 işleminin hızlı bir şekilde tetiklenebilmesi için tüm doküman imha işlemlerini geçersiz kılacak bir süreç oluşturun. Elektronik keşif ile ilgili herhangi bir “bir araya gelme ve görüş alışverişinde bulunma” muamelesinden önce ödevinizi yapın. Sahip olduklarını ve neye neden sahip olduğunu bilen bir davacı en etkili elektronik keşif planını görüşmek için avantajlı durumda olacaktır. Size hızlı harekete geçme ve raporlama yeteneği kazandıracak işlemleri gerçekleştirmek için bir güvenlik ihlaliyle karşılaşmayı beklemeyin. 10. Eğitim, denetim, eğitim, denetim; daha fazla eğitim, daha fazla denetim. Bir politika ve veri yönetimi sistemi, ancak çalışanlar o sistemi nasıl kullanacağını bilirse işe yarar. Bunun için de dikkatli ve tutarlı bir uygulama ve bakım gerekir. Veri yönetimi sistemi satın almak, uyum yolunda yalnızca bir ilk sayılabilir. Yeni veriler, yeni teknolojiler, yeni yasalar, yeni tehditler, yeni çalışanlar… Bunların tümü, özenli bakım ve sürekli eğitim ve denetim gerektirir. 47 BakerMcKenzie Guide_PRINT.indd 47 2008-06-11 16:27:43 BakerMcKenzie Guide_PRINT.indd 48 2008-06-11 16:27:43 BakerMcKenzie Guide_PRINT.indd 49 2008-06-11 16:27:43 BakerMcKenzie Guide_PRINT.indd 50 2008-06-11 16:27:44 BakerMcKenzie Guide_PRINT.indd 51 2008-06-11 16:27:44 © Baker & McKenzie 2007 Postini, Inc. izniyle yeniden basılmıştır. WP33-0705 BakerMcKenzie Guide_PRINT.indd 52 2008-06-11 16:27:44