Türkiye'de yaşayan 85 milyon, yakın zamanda hayatını kaybedenlerle birlikte de 100 milyonun üzerinde insanın kişisel verileri çeşitli web siteleri, Telegram ve Discord gibi mecralarda satılığa çıkartıldı. Yaklaşık 500 lirayı ödeyen 106 milyon kişinin e-Devlet sisteminde kayıt altında tutulan bütün kişisel verilerine ulaşabiliyor.
Verilerin sızdırıldığı iddiası ilk kez yaklaşık 1 yıl önce Nisan 2022'de gazeteci İbrahim Haskoloğlu’nun iddiası ile gündeme geldi. Haskoloğlu, sosyal medya hesabında e-Devlet'ten veri sızıntısı olduğunu söyleyip Cumhurbaşkanı Recep Tayyip Erdoğan ve MİT'in eski Başkanı Hakan Fidan'a ait olduğu öne sürülen kimlik kartlarını paylaşmış ve gözaltına alınmıştı. Haskoloğlu, paylaşımında "Yaklaşık 2 ay önce yayındayken bana bir hacker grubu ulaştı. E-devlet ve devlete ait sitelerden verilerin çalındığını söylediler. Verileri hala da sızdırıyor olduklarını belirttiler. Bazı devlet yetkililerinin bilgilerini benimle paylaştılar. Buna yeni kimlik kartları da dahil" ifadelerini kullanmıştı. İşte şimdi bu veriler yani 106 milyonun T.C. kimlik bilgisi, telefon numarası, adresi ve akrabalık ilişkileri gibi bilgiler ücretsiz üyelik karşılığında kolayca bulunabilirken; tapu, ehliyet fotoğrafı ve IBAN gibi diğer özel bilgilere ise ücretli üyelik karşılığında erişilebiliyor.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Siber Güvenlik Dairesi Başkanı Salih Talay, e-Devlet Kapısında veri sızıntısı iddialarına ilişkin sistemde, kullanıcılara ilişkin profil bilgileri ve kullanıcı hesapları dışında herhangi bir veri tutulmadığını dolayısıyla sızdığı iddia edilen verilerin teknik olarak e-Devlet Kapısından çalınmasının mümkün olmadığını açıkladı.
İşte bu yaşananları ve cevabı beklenen 10 soruyu İstanbul Barosu KVKK’dan Sorumlu Yönetim Kurulu Üyesi Avukat Hüseyin Köprülü, Medya ve Hukuk Çalışmaları Derneği (MLSA) Eş-Direktörü Avukat Veysel Ok ve İstanbul Aydın Üniversitesi Öğretim Üyesi Prof. Dr. Murat Volkan Dülger'e sorduk.
Ya ihmal ya kast var
1.Ortaya çıkan e-Devlet veri sızıntısının önemi nedir?
Murat Volkan Dülger: Türkiye Cumhuriyeti vatandaşı olan herkesin bütün verileri e-Devlet sisteminde tutuluyor. Bu veriler o kadar özel ki bu veriler olmadan e-Devlet’ten belli hizmetleri almak ve hatta bazı ödevleri yerine getirmek mümkün değil. Ancak devletin sunduğu hizmet için aldığı verilere gözü gibi bakması gerekiyor. Ya bunu yapamadı, bir ihmal var ya da idareden birileri bu bilgileri sattı, kast var.
"Kişilerin can güvenliği tehlikeye girebilir"
2. Ele geçirilen bu bilgilerle ne tür suçlar işlenebilir?
Veysel Ok: Sitede bulunan bilgiler büyük bir kişisel güvenlik riski getiriyor. Hırsızlık, kimlik hırsızlığı, dolandırıcılık suçu mağduru olabilirsiniz. Rahatlıkla bankacılık suçları işlenebilir. Sızdırılan verilerde, ölen kişiler de dahil 100 milyonun üzerinde insanın kişisel verisi yer alıyor. Bu da ölmüş kişiler adına oy kullanılması gibi seçim usulsüzlüklerinin yapılabileceği anlamına geliyor. Tüm bunların yanında şiddet faillerine karşı uzaklaştırma emri almış kadınların, LGBTİ bireylerin adreslerinin görünür hale gelmesi de bu kişilerin can güvenliğinin tehlikeye girmesi gibi çok vahim sonuçlar doğurabilir. Biri eski sevgilisinin adresini bulabilir rahatlıkla.
Hüseyin Köprülü: Verilerin sızdırılması sadece mahremiyetin ihlali anlamına gelmiyor, insanı özgürlüğünü boğan bir alana itiyor. Küçük çocuklara ailesinden birini öldüreceği söylenerek şantaj yapılabilir.
"Kişisel veriler kamusallaştı"
3. Bu veri sızıntısına karşı yapabileceğimiz bir şey var mı peki? e-Devlet şifrelerimizi değiştirelim mi?
V.O: Bu veriler bir kere sızdırıldı, artık özel veri kalmadı. Kişisel veriler kamusallaştı. Siteye erişim engeli getirilmesi de çözüm değil. Bunun gibi başka paneller açıldı, Telegram ve Discord gibi kanallar aracılığıyla veri satışları devam ediyor. Bahsettiğimiz Türkiye tarihinin en büyük veri sızıntısı. Devletin en baştan çok iyi teknolojiler ve siber güvenlik uzmanları ile bu verileri koruması lazımdı. Ancak eski İçişleri Bakanı Süleyman Soylu da KİM isimli, veri işleme süreci tamamen hukuka aykırı olan bir uygulama indirmişti telefonuna. Bu bile önlem alınma niyeti olmadığını gösteriyor.
Alınacak bireysel önlemler
4. Kişisel verilerimizle ilgili bireysel olarak alabileceğimiz önlemler nedir peki?
H.K: Kamu tarafından tutulan veriler sizin tedbir alanınızın dışında. Yani e-Devlet’teki verilerinizi korumak için yapabileceğiniz bir şey yok. Ancak açık rızamıza ihtiyaç duyulan yerlerde alınabilecek önlemler var: Çalışma ortamında ‘temiz masa temiz ekran’ politikası uygulanmalı. Güvenlik kontrolü yapılmamış sitelere girilmemeli, şifreler güçlü belirlenmeli. Kamera onayı, yurt içi/yurt dışı aktarım gibi ek izinlere dikkat edilmeli. Çerez onaylarının içeriğine bakılmalı. Örneğin ‘com.tr’ uzantılı internet sitelerinden tarafınıza gelen mail yalnızca ‘com’ uzantılı bir mail adresi ise bu da veri güvenliği açısından riskli olabilir.
Etkin soruşturma yürütülmesi sağlanmalı
5. Kişisel verilerin işlenmesinde devletin sorumluluğu nedir?
H.K: 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereği, bireyler sulh ceza hakimliklerine başvurarak engelleme kararı alınmasını isteyebiliyor. Ancak burada öncelik devlet kurumlarında. En büyük veri sorumlusu devlet. Kişisel veriler Avrupa İnsan Hakları Sözleşmesi m.8 ile güvence altına alındığı gibi Anayasa m.20/3 gereği bu verilerin korunması ayrı bir temel hak. Devletin verilerin sızmasına ilişkin savcılık aracılığıyla etkin bir soruşturma yürütülmesini sağlama yönünde pozitif bir yükümlülüğü var. BTK’nın da geçici erişim engeli koyma gibi sınırlı bir yetkisi var; kurum sonrasında bunu sulh ceza hakimliğine onaylatmalı.
'İdari şeffaflık' yok
6. Ne KVKK ne de BTK devreye girdi.
H.K: Aynen öyle. BTK derhal erişim engeli getirebilirdi. Bu alanda bir de geniş yetkilerle donatılmış bir üst kurul var: KVKK. 2016 yılında kurulan KVKK’nın amacı kişisel verileri korumak. Normalde soruşturma yaparak savcılığa bildirmesi gerekirdi. ‘İdari şeffaflık’ adına kurumun internet sitesinde tedbir alınıp alınmadığı veya soruşturma başlatılıp başlatılmadığına dair bilgilendirme yapılmalı. Ancak kurumun internet sitesinde henüz ne bir veri ihlali bildirimi ne de konuyla ilgili soruşturma başlattığını dair bir açıklama var. Burada kuruldaki 9 üyeden yalnızca 3’ünün hukukçu olduğuna da dikkat çekmek gerekir. Şu anki veri sızıntısında olduğu gibi, bir temel hakka ölçüsüz müdahale olması halinde kurul yetersiz kaldı.
İdareye tazminat davası açılabilir
7. Eğer iddia doğruysa hepimizin verileri çalındı. Bu verileri sızdıranlara ya da idareye karşı suç duyurusunda bulunabilir miyiz? Ya da tazminat davası açabilir miyiz?
H.K: Veriyi sızdıran kişilerin hem cezai hem de haksız fiil sorumluluğu var. Bu kişiler hakkında suç duyurusunda bulunulabilir. Açılacak maddi ve manevi tazminat davalarında ise zarar gören, zararı ve tazminat yükümlüsünü öğrenmesinden itibaren 2 yıl, olaydan itibaren de 10 yıl içinde dava açma hakkına sahip. Ancak bu kişilerin yurt dışında yaşamaları ve kimliklerini gizlemeleri sebebiyle tespit edilememe ihtimali var. Tespit edilse dahi mal varlığı olmadığı için zararı tahsil kabiliyeti olmayabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu ise veri sorumlusu olan devletin zararı gidermesini öngörüyor. İdareye karşı açılacak tazminat davalarında idare mahkemelerinde tam yargı davası açılmalı. Zararın ve tazminat yükümlüsünün öğrenilmesinden itibaren 1 yıl, olaydan itibaren de 5 yıl içinde dava açılabilir. Cezai sorumlulukta ise ihmal suretiyle veya kasten bu suçun doğrudan ya da dolaylı faili olanlar yapılacak yargılama sonucu tespit edilmeli ve ceza sorumluluğunun şahsiliği ilkesi nedeniyle sorumlu kamu görevlileri cezalandırılmalı.
Veri sorumlusu İçişleri Bakanlığı
8. Henüz e-Devlet’teki verilerin sızdırılmasından kimin sorumlu olduğu bilinmiyor. İçişleri Bakanlığı mı yoksa başka bir kurum mu? Bu durumda dava kime yöneltilecek?
V.O: e-Devlet’teki kişisel verilerimizden İçişleri Bakanlığı sorumlu. Ve veri sorumlusu olarak bakanlığın kusursuz sorumluluğu var. Yani sorumlu tutulması için kusur şartı aranmıyor. Zaten biz de 12 Haziran günü İçişleri Bakanlığı’na karşı hem suç duyurusunda bulunduk hem de 50 bin TL’lik tazminat davası açtık.
9. İçişleri Bakanlığı dışında hangi kurumların sorumluluğu var?
V.O: KVKK ve BTK’nın da belli sorumlulukları var. Bu kurumlara karşı da ‘görevi ihmal’ nedeniyle suç duyurusunda bulunulabilir.
"KVKK, devlete karşı yok gibi"
10. İbrahim Haskoloğlu da e-Devlet'ten veri sızıntısı olduğunu yaklaşık 1 yıl önce duyurmuştu. O zaman da ne KVKK tarafından bir soruşturma açıldığını duyduk ne de bir ihlal bildirimi yapıldı.
M.V.D: İdare, sanki KVKK’ya tabi değilmiş gibi davranıyor. Özel sektör de kamu da veri ihlalinden sorumlu ve veri sorumlusunun 72 saat içinde ihlali kuruma bildirmesi gerekiyor. Ancak böyle bir ihlal bildirimi yok. Özel sektörle kamu arasındaki tek fark yaptırım kısmında. KVKK, özel sektöre idari para cezası verirken kamuda bunu yapmıyor. Ancak burada da hak ihlali kararı vermesi, veri sorumlusu kamu tüzel kişileri ve ilgili kamu görevlileri hakkında etkin bir soruşturma yürütmesi gerekiyor. Gerekiyorsa re’sen inceleme yapmalı.
H.K: Kişisel Verilerin Korunması Kanunu m.28'de verilerin milli savunma, kamu güvenliği, kamu düzeni ve ifade özgürlüğü gibi sebeplerle işlenmesi halinde bu kanun hükümlerinin uygulanmayacağı hükmü var. Yani devletin bildirim yapmasına gerek yok, diyor. Ancak burada genel ilkelerdeki ölçülülük gözetilmeli. Öyle ki kurum, ifade özgürlüğü kapsamında haber yapan bir gazeteye veri paylaşımı konusunda ölçülü olmadığı nedeniyle istisnadan yararlanamayacağı yönünde karar vererek ceza kesmişti. Devletin bildirim yapmasına gerek yok, bildirim kurumun ihlalden haberinin olması ve denetleme yapması için yapılıyor. Ancak veri sızıntısını herkes duydu zaten. Burada, bu kadar büyük bir veri sızıntısında, ölçülülük ilkesi gereği KVKK'nın hiç beklemeden soruşturma başlatması gerekirdi.