Posted on

‘Hassas Veriler’ Artık Bir ‘Ulusal Güvenlik’ Meselesidir: ABD Adalet Bakanlığı’nın Yeni ‘Veri Güvenliği Programı’

Giriş

Amerika Birleşik Devletleri (ABD) Adalet Bakanlığı, geleneksel savunma yüklenicilerinin çok ötesinde kuruluşları etkileyen kapsamlı yeni veri güvenliği koşullarını uygulamaya koymuştur. Bu yazıda, Çin ve Rusya gibi “endişe duyulan ülkeler” ile hassas kişisel verileri içeren işlemlere sıkı kontroller uygulayan Adalet Bakanlığı’nın veri güvenliği programı incelenmektedir.

Adalet Bakanlığı’nın resmi nihai kural adı “İlgili Ülkeler veya Kapsanan Kişiler Tarafından ABD’ye Ait Hassas Kişisel Verilere ve Hükümetle İlgili Verilere Erişimin Engellenmesi” [1][Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons] olan veri güvenliği programı 8 Nisan’da (2025) yürürlüğe girmiştir.

Veri güvenliği programı [ata security program] kapsamında yer alan tür ve hacimdeki verileri toplayan şirketler, tarihsel olarak hassas işlemler veya geleneksel ABD savunma sanayi tabanındaki şirketler için ayrılmış bir veri güvenliği beklentisi düzeyine tabidir.

Kapsanan verilerin genişliği, Adalet Bakanlığı soruşturmasına tabi tutulduğunda uyumu göstermenin potansiyel karmaşıklığı ve cezai sorumluluğa kadar varan yaptırım cezaları, piyasayı bu yeni veri güvenliği rejimine dikkat etmeye ve yanıt vermeye zorlamalıdır. [Federal Para Cezalarını Artırma Yasası’na (Federal Civil Penalties Inflation Act) tabi olarak, para cezaları 368 bin 136 dolara veya söz konusu işlemin iki katına kadar olabilir, hangisi daha büyükse. Veri güvenliği programı, Adalet Bakanlığı’nın ihlal bulguları ve para cezaları kesp etmesi için süreçleri belirler ve bu, bakanlık bir ceza vermeden önce tarafların yanıt verme fırsatı da içerir. Kasıtlı ihlaller 1 milyon dolara kadar para cezasına ve 20 yıla kadar hapis cezasına yol açabilir.]

Bugün, veri güvenliği programının şirketler için geçerli olup olmadığının nasıl değerlendirileceğine ve geçerliyse ne yapılması gerektiğine dair operasyonel bir yol haritası incelenecektir.

  1. Hükümet neyi amaçlıyor?

ABD hükümetinin neden harekete geçtiğini anlayan şirketlerin, ABD hükümetinin adaletine duyarlı bir uyum yaklaşımı uygulama ve böylece riski azaltma olasılığı daha yüksektir.

Basitçe söylemek gerekirse, büyük veri kümelerinin hızlı bir şekilde alınmasına, işlenmesine ve çıkarımına olanak tanıyan yeni teknolojilerin (özellikle büyük dil modelleri ve yapay zekâ teknolojileri) bir araya gelmesi, ABD ulusal güvenliği için ortaya çıkan ve önemli bir tehdit oluşturmaktadır. Tehdit, hedefli yanlış bilgilendirme ve dezenformasyon kampanyaları yoluyla casusluk, şantaj ve iç karışıklığı kolaylaştırmak dâhil olmak üzere çeşitli şekillerde ortaya çıkabilir.

Ortaya çıkan tehdit, artık büyük güç rekabetiyle işaretlenen değişen bir jeopolitik manzara bağlamında da anlaşılmalıdır. Ulusal güvenliğin ekonomik güvenlik olduğu bu yeni Dünyada, politika yapıcıların ekonomik ve ulusal güvenlik çıkarları arasındaki dengeye ilişkin düşünceleri değişmiştir. Ulusal güvenlik çıkarları giderek daha fazla ön plana çıkmaktadır.

  1. Veri güvenliği programı ne içindir?

Yüksek bir seviyede kalarak, veri güvenliği programının iki canlandırıcı faktörü vardır:

(1) Toplu hassas verilerin veya hükümetle ilgili verilerin kontrolü ve

(2) İlgili ülkelerle veya kapsanan kişilerle kapsanan işlemler.

Veri güvenliği programı, insan genomik (bir hücre veya organizmadaki genlerin tamamına ilişkin) ve diğer ‘omik (bir hücre içindeki bileşenlerin toplamı), biyometrik, coğrafi konum ve sağlık, finansal ve kişisel tanımlama bilgileri’ dâhil olmak üzere çeşitli hassas veri kategorilerini belirler. Veri güvenliği programı, hassas verilerin hacmi aşağıdaki tabloda belirtilen belirlenmiş eşikleri aştığında tetiklenir:

Veri güvenliği programı, toplu omik verilerine veya toplu omik verilerin türetilebileceği insan biyospektmenlerine erişimi içeren belirli veri aracılıklarını ve kapsanan veri işlemlerini yasaklar. Ayrıca, toplu hassas verilere veya hükümetle ilgili verilere erişime izin verecek olan satıcı sözleşmelerini, istihdam sözleşmelerini ve pasif olmayan yatırım sözleşmelerini de kısıtlar. Ancak, güvenlik gereksinimleri karşılanırsa bu kısıtlanmış işlemler devam edebilir.

Veri güvenliği programı, endişe verici ülkeleri belirtir -Çin [Hong Kong Özel İdare Bölgesi (Special Administrative Region) ve Makao ÖİB dâhil), Küba, İran, Kuzey Kore, Rusya ve Venezuela- ve toplu hassas veriler söz konusu olduğunda işlem yapmanın veri güvenliği programını ilgilendirebileceği kapsam dâhilindeki kişileri açıklar.

Veri güvenliği programı ayrıca, toplu hassas verilerin korunmasına ilişkin olarak ABD Siber Güvenlik ve Altyapı Ajansı [Cybersecurity and Infrastructure Agency] tarafından sağlanan özel rehberliğe de atıfta bulunmaktadır.

  1. Veri güvenliği programı şirketiniz için nasıl geçerlidir?

Veri güvenliği programının şirketler için geçerli olup olmadığını kapsamlı bir şekilde değerlendirmek için iki kritik adım vardır: (1) verilerin bilinmesi ve (2) kiminle işlem yapıldığının bilinmesi (yani tedarikçiler, çalışanlar ve müşteriler).

Başarılı uyum programları, veri güvenliği programına uyum konusundaki yaklaşımlarında tutarlılık, doğruluk ve denetlenebilirlik gösterebilecektir:

  • Tutarlılık [consistency] Politika tanımlanmalı ve şirket için hangi kullanım durumunun geçerli olduğunu belirlemek için makul bir süreç kullanılmalı ve şirketin ilk değerlendirmesini bilgilendiren faktörlerin zaman içinde önemli ölçüde değişmediği periyodik olarak yeniden doğrulanmalıdır.
  • Doğruluk [accuracy]: Hangi kullanım durumunun geçerli olduğuna bağlı olarak, veri güvenliği programına uyumu göstermek için yeterli olan politika, süreç ve teknik kontroller geliştirilmeli ve uygulanmalıdır.
  • Denetlenebilirlik [auditability]: Veri güvenliği programına uyumun kanıtlanması, şirketin uyum kontrollerinin etkili olduğunu göstermeye yetecek dokümantasyon veya bilginin hızla toplanmasıyla sağlanabilir.

Temelde, “makul olma” [reasonableness] muhtemelen bir şirketin uyum yaklaşımının yeterliliğini belirlemek için düzenleyici ölçüt olacaktır. Ancak, koşullar altında makul olan şey biraz belirsiz bir standarttır ve veri güvenliği programı kapsamında herhangi bir yaptırım eylemine uygulanabilecek cezai ve hukuki yaptırımlar muhtemelen şirketlere muhafazakâr ve koruyucu olmalarını öğütler.

  1. Duyarlı bir uyum programı oluştururken nelere dikkat edilmelidir?

Veri güvenliği programının yürürlüğe girmesiyle birlikte, henüz bunu yapmamış olan şirketler, operasyonel ve bilgi teknolojisi (BT) yönetişim riskini azaltmak için özel olarak hazırlanmış bir kapsam dâhilindeki veri uyum programının nasıl geliştirileceğini ve belgelendirileceğini düşünmeye başlamalı; durum tespiti yapmalı, risk değerlendirmeleri yapmalı ve geçici azaltma stratejileri ile uzun vadeli kontrol rejimlerini uygulamalıdır.

Şirketlerin ayrıca Siber Güvenlik ve Altyapı Ajansı rehberliğinin dâhil edilmesi temelinde BT yönetişim açısını da dikkate almaları gerekir ki; buna aşağıdaki hususlar da dâhildir:

4.1. Teknik kontroller

  • Toplu hassas verilerin hem hareket halindeyken hem de hareketsizken uçtan uca şifrelemesinin uygulanması.
  • Çok faktörlü kimlik doğrulama ve en düşük ayrıcalık ilkeleriyle rol tabanlı erişim kontrollerinin dağıtılması.
  • İlgili ülkelerden veri erişimini engellemek için coğrafi erişim kısıtlamaları oluşturulması.
  • Yetkisiz çıkarmayı önlemek için ağ segmentasyonunu, Veri Kaybını Önleme [Data Loss Prevention] araçlarını ve Uygulama Programlama Arayüzü [application programming interface-API] düzeyinde kontrollerin uygulanması.

4.2. İdari kontroller

  • Düzenlenen tüm veri depolarını belirleyerek kapsamlı bir veri envanteri tutulması.
  • Kapsam dâhilindeki kişilerin herhangi bir erişimi için belgelenmiş onay iş akışları oluşturulması.
  • Tüm erişim girişimlerini ve veri hareketlerini izleyen değiştirilemez denetim günlükleri oluşturulması.
  • Düzenli güvenlik değerlendirmeleri yapılması ve kontrollerin üçüncü taraflarca doğrulanmasının sağlanması.

4.3. Belge gereksinimleri

  • Güvenlik kontrol envanteri ve uygulama şartnameleri.
  • Düzenli risk değerlendirme ve uyum doğrulama raporları.
  • Erişim kontrol politikaları ve izleme uygulama detayları.
  • Kural gereklilikleri konusunda personel eğitiminin kanıtı.
  1. Veri güvenliği programı çokuluslu kuruluşları ve sınır ötesi işlemleri nasıl etkileyebilir?

Çokuluslu kuruluşlar ve sınır ötesi işlemler açısından veri güvenliği programının ek engeller yaratması beklenmelidir. Olası örnekler şunları içerebilir:

  • Uyum programlaması: Şirketlerin, çokuluslu kuruluşlar genelinde toplu hassas verilerin uygunsuz şekilde işlenmesini önlemek için uyum çerçeveleri ve kontrolleri uygulaması gerekecektir.
  • BT altyapısı: Verilerin sınır ötesi nereye taşınabileceğini belirlemek için sistem eşlemesini ve BSD’ye [Berkeley Source Distribution-Kaynak Dağıtımı] erişim kontrollerini anlamak gerekecektir.
  • Üçüncü taraf ilişkileri: BSD koşullarına uyulmasını sağlamak için yabancı tedarikçiler, tedarikçiler ve diğer ortaklar için durum tespiti standartlarının uygulanması beklenir.
  • Yasal hususlar: Mevcut düzenleyici rejimlerle birlikte artan veri yönetişimi ve gizlilik standartları, politika ve yasal desteğe daha fazla yatırım yapılmasını gerektirebilir.

Sınır ötesi işlemlerde bulunan çokuluslu kuruluşlar ve şirketler, bu ek etkilere hazırlıklı olmalı ve gerekli görüldüğü takdirde bu ek hususları yansıtacak şekilde durum tespiti, risk değerlendirmesi ve azaltma çabalarını uyarlamalıdır.

  1. Veri güvenliği programı yürürlüğe girdiğine göre şimdi ne olacak?

Adalet Bakanlığı, 11 Nisan’da (2025), bir basın bülteni, uyum kılavuzu, sıkça sorulan sorular listesi ve uygulama ve yaptırım politikası yayınlamış[2] olup; bunların hepsi veri güvenliği programı hakkında daha fazla bilgi ve rehberlik sağlamaktadır. Aşağıda, şirketlerin veri güvenliği programına yanıt veren bir güvenlik ve uyum rejimini nasıl işleteceklerine ilişkin Adalet Bakanlığı’nın ek kılavuzu aracılığıyla açıklığa kavuşturulan üç madde belirlenmiştir.

6.1. Uygulama dışı kalma süresinin iyi niyetli uygulama çabalarını sağlaması [nonenforcement period provided good faith implementation efforts]

Adalet Bakanlığı, veri güvenliği programının yürürlüğe girdiği ilk 90 gün boyunca [yani 8 Temmuz’a (2025) kadar] bir şirketin ilk 90 günlük pencerede veri güvenliği programına uymak için “iyi niyetli çabalar” göstermesi koşuluyla, hukuki yaptırımlara odaklanmayacağını belirtmiştir.

Adalet Bakanlığı’nın iyi niyetli çabalarına ilişkin verdiği örnekler aşağıda özetlenmiştir:

  • Hassas kişisel verilere erişim konusunda iç incelemelerin yapılması.
  • Veri güvenliği programına tabi olup olmadıklarını belirlemek için dâhili veri kümelerinin ve veri türlerinin gözden geçirilmesi.
  • Tedarikçi anlaşmalarının yeniden müzakere edilmesi ve yeni tedarikçilerle sözleşme müzakerelerinin yapılması.
  • Ürün ve hizmetlerin yeni tedarikçilere aktarılması.
  • Potansiyel yeni tedarikçiler hakkında durum tespiti yapılması.
  • Veri aracılığı işlemlerinin muhatabı olan yabancı kişilerle sözleşmesel ileri aktarım hükümlerinin müzakere edilmesi.
  • Çalışanların çalışma yerlerinin, rollerinin veya sorumluluklarının ayarlanması.
  • İlgili ülkelerden veya kapsam dâhilindeki kişilerden gelen yatırımların değerlendirilmesi.
  • İlgili ülkelerle veya kapsam dâhilindeki kişilerle yatırım anlaşmalarının yeniden müzakere edilmesi.
  • Siber Güvenlik ve Altyapı Ajansı koşullarının uygulanması.

90 günlük uygulamama süresinin uygulanmasında iyi niyetli çabaların kritikliğini vurgulamak için politika şunları belirtir: “Bu 90 günlük süre boyunca, [Adalet Bakanlığı] aşırı, kasıtlı ihlaller için uygun şekilde cezalar ve diğer yaptırım eylemlerini takip edecektir. Bu politika, [Adalet Bakanlığı’nın] bu tür kişilerin veri güvenliği programına uymak veya uyumlaştırmak için iyi niyetli çabalarda bulunmaması durumunda sivil yaptırımı takip etme yetkisini ve takdir yetkisini sınırlamaz.” (yazarlarca vurgu eklenmiştir.)

Adalet Bakanlığı, 90 günlük sürenin ardından, “bireylerin ve kuruluşların veri güvenliği programına tam olarak uymasını ve Adalet Bakanlığı’nın herhangi bir ihlalle ilgili olarak uygun yaptırımı uygulamasını beklemesi gerektiğini” açıkça belirtmiştir. (yazarlarca vurgular eklenmiştir.)

Bu kılavuza dayanarak, veri güvenliği programı koşullarını karşılamak üzere süreçler oluşturma çabalarına aktif olarak katılan şirketlerin “iyi niyetli çabalarını” belgelemeleri ve 08 Temmuz 2025 tarihine kadar veri güvenliği programı ile tam uyumu gösterme yolunda olmaları önemli olacaktır.

6.2. Muafiyetsiz kısıtlı işlem için güvenlik gerekliliklerine ilişkin rehberliğin açıklanması [clarifying guidance for security requirements for nonexempt restricted transaction]

Adalet Bakanlığı, uyum kılavuzunda, veri güvenliği programını ilgilendiren muafiyet dışı kısıtlı işlemlere girecek şirketlerden beklenenler hakkında açıklayıcı bir kılavuz sağlamıştır. Bu kılavuz, şirketlerin veri güvenliği programına uygun bir şekilde muafiyet dışı kısıtlı işlemlere girmek için güvenlik aygıtı oluşturmanın maliyetini nasıl değerlendirdikleri açısından önemlidir. Veri güvenliği programına özgü Siber Güvenlik ve Altyapı Ajansı standartlarını karşılayan güvenlik önlemlerine olan ihtiyacı vurgulamanın yanı sıra, temel açıklayıcı kılavuz örnekleri şunları içerir:

  • Liderlik ve yasal uyum personeli, duyarlı bir veri uyum programını desteklemek, oluşturmak ve sürdürmekten sorumlu olmalıdır.
  • Kısıtlanmış işlemlerin temelinde, veri güvenliği programının olası ihlallerini “önlemek, tespit etmek ve düzeltmek” için kişiye özel bir veri uyum programı bulunmalıdır.
  • Veri uyumu, risk temelli durum tespiti ve güvenlik kontrollerinin uygulanması için politikalar ve prosedürler geliştirilmeli ve uygulanmalıdır.
  • Mevcut ve potansiyel tedarikçiler için tarama yapılmalı ve ilgili süreçler belgelenmelidir.
  • Personele yönelik, ihtiyaca uygun ve kapsamlı eğitimler periyodik olarak yapılmalıdır.
  • Kısıtlı işlemlerin düzenli denetimleri yapılarak, veri güvenliği programının olası ihlalleri ve uyumsuzlukları belirlenmeli ve bunların Ulusal Güvenlik Birimi’ne bildirilmesi sağlanmalıdır.
  • Veri güvenliği programına tabi tüm işlemlere ilişkin kapsamlı kayıtların, söz konusu işlemin tarihinden itibaren en az 10 yıl süreyle saklanması gereklidir.

6.3. Lisans ve danışma görüşü taleplerinin karara bağlanmasının zamanlaması [timing of adjudicating license and advisory opinion requests]

İlk 90 günlük süre içerisinde veri güvenliği programı hakkında önemli miktarda gayrı resmi soruşturma beklendiğinden, Adalet Bakanlığı uygulama ve yaptırım politikasında ilk 90 günlük süre içerisinde lisans veya danışma görüşü taleplerini kabul edeceğini, ancak “kamu güvenliği veya ulusal güvenliğe yönelik acil veya yakın bir tehdit” olmadığı takdirde bu talepleri “incelemeyeceğini veya karara bağlamayacağını” belirtmiştir.

“Kamu güvenliği veya ulusal güvenliğe yönelik acil durum veya yakın tehdit” [emergency or imminent threat to public safety or national security] ifadesinin, 90 günlük süre içerisinde Adalet Bakanlığı’nın bir lisans veya danışma görüşü talebine ilişkin kararında yüksek bir operasyonel engel oluşturması beklenmektedir. Ancak bu tür taleplerin sunulmasına izin verilmesi, Bakanlığın 90 günlük sürenin dolmasından sonra ele alınması gereken bir gecikmeyle karşı karşıya kalabileceği anlamına gelebilir. Bu, aksi takdirde veri güvenliği programının potansiyel olarak yeni bir uygulamasıyla ilgili bir lisans veya danışma görüşü talep edecek şirketlerin, bu tür taleplerin çözümünde yaşanabilecek potansiyel kısa vadeli gecikmeleri operasyonel beklentilerine dâhil etmeleri gerektiği anlamına gelir.

Adalet Bakanlığı tarafından yayımlanan açıklayıcı rehber, aynı zamanda veri güvenliği programı marifetiyle sunulan uyum karmaşıklıklarının (iyi niyetli uyum çabaları için 90 günlük uygulamama süresi) ve Adalet Bakanlığı’nın uyum ve uygulamaya verdiği yüksek önceliğin [güvenlik beklentilerini daha kesin bir şekilde ayrıntılandırmak için zaman ayırırken tüm şirketlerin 8 Temmuz’a (2025) kadar tam uyuma ulaşması gerektiğinin vurgulanması] bir kabulüdür.

Sonuç

Sonuç olarak, şirketlerin kapsamlı bir veri güvenliği programı uyum rejimi geliştirmeleri ve hızla uygulamaları veya belirli suiistimal seviyeleri için cezai yaptırımlar da dâhil olmak üzere uyumsuzluktan kaynaklanan önemli cezalara maruz kalma riskine girmeleri gerekir. Bunun için şirketin muafiyetsiz kısıtlı işlemlerde bulunmadığından, bir veri güvenliği programı muafiyeti kapsamına girdiğinden veya şirketin şu anda ve gelecekte veri güvenliği programına tabi olan muafiyetsiz, kısıtlı işlemlerinin tamamını belirleyebildiğinden ve bu işlemler genelinde yeterli güvenlik kontrolleri uyguladığından emin olmak için yeterli kontrollerin gösterilmesi gerekir.

Kısacası, şirketler 8 Temmuz’a (2025) kadar verilerini tanıdıklarını, çalışanlarını tanıdıklarını, tedarikçilerini tanıdıklarını ve müşterilerini tanıdıklarını göstermeye hazır olmalıdırlar.

[1]<https://www.federalregister.gov/documents/2025/04/18/2025-06477/pertaining-to-preventing-access-to-us-sensitive-personal-data-and-government-related-data-by>[metne çeviren tarafından iliştirilmiştir].

[2]<https://www.justice.gov/opa/pr/justice-department-implements-critical-national-security-program-protect-americans-sensitive>;<https://www.justice.gov/opa/media/1396356/dl>; <https://www.justice.gov/opa/media/1396351/dl>ve<https://www.justice.gov/opa/media/1396346/dl?inline>.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.