Haber: Özgür Eren YILMAZ Kamera: Ünal AYDIN
Bu yıl en az 5 farklı veri ihlali sonucu milyonlarca vatandaşın adres bilgisi, sağlık bilgileri ve finansal bilgileri çalındı. Türkiye Barolar Birliği Kişisel Verilerin Korunması Hukuku Genel Sekreteri Can Kılıç, "Koruma kararı alan ya da kendisine ulaşılmasını istemeyen kişilere ulaşıyorlar. Adresini bulup fiziksel, psikolojik şiddete devam ediyorlar. Burada sizin TCK kapsamında da haklarınız var. Kişisel verilerin hukuka aykırı elde edilmesi hapis cezası gerektirir" dedi.
Bu yıl en az 5 farklı veri ihlali sonucu milyonlarca vatandaşın adres bilgisi, sağlık bilgileri ve finansal bilgileri çalındı. Türkiye Barolar Birliği Kişisel Verilerin Korunması Hukuku Genel Sekreteri Can Kılıç, "Burada sizin TCK kapsamında da haklarınız var. Kişisel verilerin hukuka aykırı elde edilmesi, paylaşılması TCK 135 ve devamı suçları hapis cezası gerektirir" dedi.
Kişisel Verileri Koruma Kurumu’na (KVKK), 2020’de 27 veri ihlali bildirimi yapıldı ve 100.000’den fazla kişi etkilendi. 2021’de ise şimdiye kadar 38 veri ihlali bildirimi yapılırken bu ihlallerden milyonlarca insanın etkilendiği biliniyor. KVKK’ya yapılan ihlal bildirimlerine göre, bu ihlallerden 12’si finansal bilgileri, 9’u adres bilgileri, 3’ü genetik bilgiler, 5’i ise vatandaşların sağlık bilgileri gibi önemli verileri içeriyor olabilir.
TBMM’de 24 Mart 2016’da onaylanan Kişisel Verileri Koruma Kanunu, 7 Nisan’da yürürlüğe girdi. Tam da o günlerde Türkiye Cumhuriyeti nüfus cüzdanına sahip olan tam 50 milyon kişinin kimlik ve nüfus kayıt bilgileri ortaya saçılmıştı. Bilgilerin, Emniyet’in veri tabanından sızdığı iddia edilirken, Emniyet Genel Müdürlüğü geçen 5 yılda bu iddiayı yalanlamadı.
"KAMU KURUMLARI İHLAL BİLDİRİMİ YAPMIYOR"
Aradan geçen zamanda kanun kapsamında KVKK kuruldu, “veri sorumlusu” kavramı mevzuata girerek veri toplayan şirket ve kamu kurumları için birtakım yükümlülükler getirildi. Kişisel Verileri Koruma Kanunu’na göre veri sorumluları veri ihlallerinde ihmalleri bulunması halinde idari para cezası ile karşı karşıya kalabiliyor. Veri sorumluları ayrıca kendi veri tabanlarında tespit ettikleri ihlalleri KVKK’ya bildirmekle yükümlü. Bu bildirimler KVKK’nın internet sitesinde yayımlanıyor.
Şirketler genellikle idari para cezası ile karşı karşıya kalmamak için bu bildirimleri yaparken kamu kurumları bu konuda daha ketum. Son bir yıl içinde Konya Büyükşehir Belediyesi, Tarım ve Orman Bakanlığı gibi bu yıl içinde siber saldırıya uğradığı bilinen kurumlar, KVKK’ya bildirimde bulunmadı.
Uzmanlar, Kişisel Verileri Koruma Kurumu’nun henüz yeterli kurumsal kapasiteye erişemediğini, yalnızca gelen talepleri incelediğini, henüz resen harekete geçecek kapasitesi bulunmadığına vurgu yapıyor. Türkiye Barolar Birliği Kişisel Verilerin Korunması Hukuku Genel Sekreteri Can Kılıç, “(KVKK) veri ihlallerini şu an sadece duyuru olarak alıyor. Bunun Türkiye çapına yayılması ve veri ihlallerinde şikayete bağlı olmadan resen incelemesi memur kapasitesi ya da kendi kapasitesi açısından zaman alacak” dedi.
“VERBİS KAYIT SÜRESİ ERTELENDİKÇE TARTIŞMALI HALE GELDİ”
ANKA Haber Ajansı’na konuşan Kılıç kanunun şirketlere getirdiği yükümlülükleri hatırlatarak, şunları söyledi:
“Bir çalışan, kamu kurumu ile işi olan ya da üniversitede sınav sonucunu bekleyen öğrenci; hangi kişisel verilerinin ne amaçla işlendiğini, bunların kimlerle paylaşıldığını, bu kişisel verilerin (veri sorumlusu) bünyelerinde ne kadar tutulduğunu, yok edilip edilmediğini, hangi tedbirlerin alındığını VERBİS'ten (Veri Sorumluları Sicil Bilgi Sistemi) öğrenme imkanına sahip.”
Kılıç, kamu kurumlarının VERBİS'e kayıt olmadığının altınıçizerek VERBİS sistemindeki aksaklığa dikkat çekti:
“Bu yükümlülüklerden ne kadarı yerine getiriliyor tartışılır. En basitinden halen VERBİS’e kayıt yaptırmayan veri sorumluları var. Pandemiden önce son tarih 2020 olarak belirlenmişti, bu sürekli ertelendi. Ertelendikçe cezai yaptırımı ve uygulanışı tartışmaya neden oldu.”
Pandemi döneminde eve sipariş uygulamalarının arttığına vurgu yapan Kılıç, şöyle konuştu:
“ABC yemek firmasından yemek söylediğimizde geliyor, afiyetle yiyoruz. Akabinde verilerimiz firmada barınıyor. Bu veriler ABC internet sitesinin veritabanında duruyor. Tabii günümüzde hırsızlıklar da dijital ortamda oluyor. İnternete bağlı bir bilgisayarın güvenliğini sağlamak kadar zor bir şey yok maalesef. (Veri sorumlusu) Bu verilerin güvenliğini sağlamak durumunda. Vatandaşlar da haklarını aramak durumunda.”
“KİŞİSEL VERİLERİN HUKUKA AYKIRI PAYLAŞILMASINA HAPİS CEZASI VAR”
Kılıç veri ihlallerine karşı vatandaşların hakları ile ilgili de şu bilgileri verdi:
“Farzı misal, siz boşanmış bir kadınsınız, eşinizden şiddet gördüğünüz için koruma kararı aldınız, eşiniz bulunduğunuz adresi bilmiyor. Şu an Türkiye’deki tüm vatandaşların kimlik numarası, adı, soy adı bir Excel dosyasında elden ele dolaşıyor. Koruma kararı alan ya da kendisine ulaşılmasını istemeyen kişilere ulaşıyorlar. Ya kredi kartı bilgisini elde edip oradan harcama yapıyorlar haksız yere, ya da adresini bulup fiziksel, psikolojik şiddete devam ediyorlar. Burada sizin TCK kapsamında da haklarınız var. Kişisel verilerin hukuka aykırı elde edilmesi, paylaşılması TCK 135 ve devamı suçları hapis cezası gerektirir.
“KİŞİLER HAKLARINI ÖĞRENMELİ”
Zarara uğradığınız için tazminat davası açma hakkınız da doğuyor. Belki kredi kartı numaranızı değiştirdiniz, belki adresinizi değiştirmek zorunda kaldınız. Hadi kredi kartı bir telefon kadar kolay, adres bilginizi işinizi değiştirmek zorunda kaldınız. İhlal edilen kişisel veriniz adres bilgisi ise hayatınızı değiştirmek zorundasınız. Telefon numarası ise 2 bin 3 bin kişi tarafından bilinen bir numara. Kişiler haklarınıöğrenmeli. Yeni bir kanun yeni bir yasa…”
“AÇIK RIZA FORMU OLMADAN ÖZEL NİTELİKLİ KİŞİSEL VERİİSTENEMEZ”
Vatandaşlara daha az kişisel veri paylaşmayı, veri sorumlularına da daha az bilgi toplamayı ve depolamayıöneren Avukat Kılıç, işe alımlarda adli sicil bilgilerinin alındığını, özel nitelikli kişisel verilerin açık rıza formu ile alınmamasının hukuka uygun olmadığını söyledi. Veri ihlallerinin günlük hayattaki örneklerine değinen Kılıç, sözlerine şunları ekledi:
“Burada isyan ediyorum. Çalışan adaylarının TC kimlik numaralarını ve e-Devlet şifrelerini istiyorlar. UYAP’tan bir iş davası açmış mı, yani bu işçi haklarını arıyor mu aramıyor mu ona bakıyorlar. Eğer işçi bir iş davası açmışsa bu iş kanununa haiz, fazla çalıştıramam diyor almaktan imtina ediyor. Sendika üyeliği var mı yok mu bakıyor. Sarı sendika mı diğer sendika mı ona bakıyorlar. Sarı sendikaysa tamam zararı olmaz ama diğer sendikaysa; ‘ben bunla uğraşmayayım bu yarın bir gün benden fazla mesai, kıdem… Onu geç bir de sendikal tazminat, yakacak yardımı, öğrenim yardımı ister. Ben bunu almayayım gözü açılmamış sendikasız işçi alayım’ diyor. Ya da spor kulübü üyeliği. Sırf kanarya sevenler derneğine üye diye sizi almayacak.”