Egehan Erkün - TELE1
Türkiye’de, milyonlarca vatandaşın; kimlik bilgilerini, ev adreslerini, banka hesaplarını, telefon numaralarını ve aile üyelerinin bilgilerini içeren kişisel verilerin, internet korsanları tarafından ele geçirildiği, 2022 yılında yayımlanan bir haberle ortaya çıkmıştı.
İlgili kamu kurumlarının uzun bir süre kabul etmediği sızıntı tartışmalara yol açarken, verilerin çalındığını teyit eden ilk açıklama 2024 yılının Eylül ayında Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu’ndan gelmişti.
Uraloğlu açıklamasında, “Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte o maalesef önlenemedi” ifadelerini kullanmıştı.
Söz konusu bilgilerin, ‘Sorgu paneli’ isimli internet sitelerinde ve Telegram üzerindeki kanallarda para karşılığında satıldığı bilinirken; son olarak, Free Web Turkey'den Ali Safa Korkut, 108 milyon kişinin kişisel verilerinin Google Drive altyapısı ile depolandığı ve herkese açık bir biçimde yayınlandığını ortaya çıkarmıştı.
Haberde, verilerin 'Yenilenmiş TC,' 'Adres,' 'GSM,' '101m' ve 'GSM' isimli beş farklı dosyada toplandığı bilgisi yer aldı.
82 milyon kişinin ikamet adresinin de yer aldığı çalınan kişisel veriler arasında, 134 milyon GSM numarasına da yer verildi.
Verileri korumaktan sorumlu olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) ise verilerin depolandığı Drive'ı bünyesinde bulunduran Google’dan yardım talebinde bulundu.
BTK, “Kritik öneme sahip olduğu iddia edilen bazı verilerin sisteminize yüklendiğini dikkatinize sunarız” diyerek ilettiği bağlantılardaki dosyaların kaldırılmasını talep etti.
140 JOURNOS VERİ SIZINTISININ 'PERDE ARKASINI' YAYINLADI
140 Journos isimli YouTube kanalında geçen hafta yayınlanan ‘panel’ adlı belgeselde, ismini gizleyen bir bilgisayar korsanı pandemi döneminde yaşanan veri sızıntısının perde arkasını anlattı. Bilgisayar korsanı, “Adanalı” lakaplı 15 yaşında olan bir kişinin, pandemi döneminde e-Nabız sisteminin açığını bulduğunu ve kişisel verileri ele geçirdiğini iddia etti.
BAKANLIK YALANLADI
Sağlık Bakanlığı ise söz konusu iddialar üzerine yaptığı açıklamada, "e-Nabız Sistemi’nden herhangi bir veri sızıntısı yaşanmamıştır. Bugüne kadar e-Nabız Sistemi hiçbir suretle kapatılmamıştır. e-Nabız verilerinin boyutu, herhangi bir harici bellekte taşınamayacak kadar büyüktür” ifadelerini kullandı.
KİŞİSEL VERİLERİ AVUKATLAR DA KULLANMIŞ
140 Journos'un belgeselinde, bir başka iddia da gündeme geldi. Veri sızıntısında ele geçirilen kişisel verilerin bir dönem avukatlar tarafından da yasa dışı bir biçimde kullanıldığı ve bu bilgilerin para karşılığında satışının yapıldığı öne sürüldü.
Bilişim ve Kişisel Verilerin Korunması Hukukçusu Avukat Umut Zorer, belgeselin yayınlanmasının ardından X'teki hesabından yaptığı paylaşım ile kişisel verilerin, avukatlar tarafından yasa dışı bir biçimde kullanıldığı iddiasıyla yaptığı suç duyurusu hakkında bilgi verdi.
Zorer, söz konusu başvuruyu 2022 yılında yaptığını ve savcılığın 'kovuşturmaya yer olmadığı' kararını verdiğini aktardı.
ZORER, SÜRECİ TELE1'E ANLATTI
Zorer, sürece ilişkin tele1.com.tr’ye yaptığı açıklamada şu bilgileri aktardı:
-Türkiye’de çok fazla veri ihlali meydana geliyor. Kişisel Verileri Korunması Kanunu var ama yaygın olarak bunların uygulanma sorunu söz konusu oluyor. Özel şirketlere ilişkin bunlar uygulanırken, kamu kurumları kendisi yükümlü olduğu hiçbir faaliyeti düzgün yerine getirmediği için bu iş çok fazla savsaklanıyor benim kanaatimce.
-Ulaştırma Bakanı geçenlerde verilerin çalındığını açıkça ifade etti. Normalde 2-3 kişinin verilerinin çalındığı, bir personelin bilgisayarı evine götürüp geri getirmediği durumlarda, Kişisel Verileri Koruma Kurumu özel şirketlere diyor ki, ’72 saat içinde bana bildirim yapacaksın, ben senin veri ihlal bildirimini web sitemde yayınlayacağım’. Ama kamu kurumları 100 milyon kişinin verisini çaldırıyor, bugüne kadar bir tane kamu kurumu göremedik.
-Bu olay 2022’de yaşandı. Bir arkadaşım, avukatların birbiriyle yardımlaşmak için kurduğu WhatsApp grubunda paylaşılan bir iletiyi benimle paylaştı. İletide, ‘Bizim bir sorgu hizmetimiz var her şeyi kapsıyor. Avukatlar ve danışmanlık şirketi bunu kullanıyor’ diyorlar. Kişilerin; ad-soyad, TC kimlik numarası, MERNİS bilgileri, akraba bilgileri, eğitim bilgileri, gittiği hastane, aldığı tedavi gibi birçok bilgiyi ele geçirmişler. Bunları para karşılığı satıyorlar. Avukatların bir kısmı icra takip gibi süreçlerde kullanıyor. Hasar danışmanlık şirketleri de kullanıyor.
-Ben WhatsApp’tan iletiyi gönderen kişiye yazdım. ‘Böyle bir hizmet veriyormuşsunuz, ne kadara sorgulama yapabilir’ diye sordum. ‘Sorgudan önce mi yoksa sonra mı veriyoruz ücreti’ diye sordum. IBAN verdi. Bu IBAN hukuka uygun bir şekilde hizmet veren bir elektronik para kuruluşunun IBAN’ı. Bunlar bir banka gibi çalışıyor. Baro kartları da böyle bir kart aslında. Ben de baro kartıma bu şekilde para gönderiyorum. O IBAN’ı görünce, ‘herhalde bu bir avukat’ diye düşündüm. Bunun üstüne, bu bilgileri savcılığa verirsem, bu hesabın kime ait olduğu belli, savcılık da bir baskın yaparsa belki de bunun kaynağını bulacaklar diye düşündüm.
SAVCILIK ‘SUÇ YOK’ DEDİ
-Savcılığa, tüm detayları yazıp bir dilekçe verdim. Savcılık 2 hafta içinde soruşturmasını tamamladı ve ‘Senin burada zararın yok, kimse senin verini ele geçirmemiş, bu hukuki bir bilgi paylaşımı, burada bir suç yok’ diyerek kovuşturmaya yer olmadığına karar verdi.
Savcılığın, Zorer’in başvurusuna verdiği yanıt ise şu şekilde:
“Müştekinin şikayetine konu olay incelendiğinde; söz konusu İHBAR çıktılarında herhangi bir kişisel bilgisini vermediği. Kişisel verilerin ve telefon numarasının hukuka aykırı şekilde ele geçirildiğinden ve söz konusu bilgileri kullanan kişilerin dolandırıcı olabileceklerine dair dosyada delil bulunmadığı, bahisle şikayetçi olduğu anlaşılmış ise de: söz konusu numaranın Uyap kayıtlarında kaydının bulunmadığının anlaşılmakla,
Yapılan incelemede müştekinin zararının da bulunmadığı, ilgili mesajlaşma tutanaklarından şüpheli şahısların hukuki mahiyette yardım amaçlı ilgilerin bilgilerin paylaşıldığı tespit edildiği, yine müştekinin dolandırıldığına ve kişisel verilerinin başka bir yerde kullanıldığına dair dosyada da delil bulunmadığı, müştekinin bilgilerinin başka yerde kullanıldığı takdirde her zaman şikayet hakkının bulunduğu anlaşılmakla
Olayla ilgili atılı suçlamadan dolayı kamu adına KOVUŞTURMA YAPILMASINA
YER OLMADIĞINA,
Kararın müştekiye tebliğine,
Müştekinin kararın kendisine tebliğinden itibaren 15 gün içinde İSTANBUL ANADOLU Sulh Ceza Hakimliğine veya bu makama ulaştırmak üzere C. Başsavcılığımıza itiraz dilekçesi verilebileceğine itirazın reddi halinde bu kapsamdaki giderlerine mahküm edileceğine dair CMK 172. ve 173. maddeleri gereğince karar verildi. 08/12/2022”
Zorer, kişisel verilerin yasa dışı bir biçimde ele geçirilmesi ve işlenmesi ile ilgili öngörülen yaptırımlar ile ilgili ise şu bilgileri verdi:
-Avukat olsun ya da olmasın, herhangi biri kişisel veriyi ele geçirdiğinde veya işlediğinde iki yaptırım ile karşılaşıyor. Birincisi idari bir yaptırım. KVKK, ilgili kuruma idari para cezası veriyor. Alt sınırı yaklaşık 200 bin civarında. Avukatlar, bu cezalar verildikten sonra, bu aramaları çok büyük oranda kestiler. Ama bu durum herkes için geçerli değil. Bu verileri daha çok dolandırıcılara vs. satıyorlar. Eğer kurum kamu kurumu değilse KVKK’ya şikayet ettiklerinde bir ceza veriliyor. Yani buradaki tek suç, kişisel verileri hukuka aykırı olarak elde etmek değil, aynı zamanda verileri başkalarının ele geçirmemesi için yeterli tedbirleri almamak. Ancak kamu kurumlarına öngörülen bir ceza yok.
-Türk Ceza Kanunu’nun 135-136 ve devamı maddelerine göre, bu fiiller hapis cezasıyla cezalandırılıyor. Şikayet edildiğinde, normal şartlarda, savcılığın bununla ilgili bir soruşturma yürütmesi sonucunda da şüphelilerin tespit edilip cezalandırılması için kamu davası açması gerekiyor.
