Av.Gökhan Candoğan: Son Veri Sızıntısı Ekonomiyi Etkileyebilecek Nitelikte, Önem Verilip, Araştırılmalı…

Av.Gökhan Candoğan: Son Veri Sızıntısı Ekonomiyi Etkileyebilecek Nitelikte, Önem Verilip, Araştırılmalı…


Not: Bu yazı ve söyleşi turk-internet.com web sayfasında Füsun S. Nebil imzası ile yayımlanmıştır.

Neredeyse 20 yıldır tekrarladığımız önemli bir konu da “kişisel verilerin korunması”. Sonunda bu konuda 2016’da kanun yayınlandı [1]. Kanunda yer alan Kişisel Verileri Koruma Kurumu (KVKK) da 2017’de göreve başladı [2]. Kurum uzunca bir süre yönetmelikler ve organizasyon ile uğraştıktan, bir yandan da eğitim seminerlerine katıldıktan sonra, kısa bir süre önce “Veri Sızıntıları”nı beklendiği gibi şeffaf bir şekilde kamuya duyurmaya başladı [3].

KVKK’nın kurulması ile birlikte yıllardan bu yana kulağımıza gelen “örneğin; GİMA’dan kredi kart verileri çalınmış” gibi söylentiler yerine, ne olup bittiği yasal yollardan öğrenmeye başladık. Bu da çok önemli bir gelişme.

KVKK’ya 3 Ay sonra Bilgi Verildi ve İlgili Firma/Kişileri Hala Uyarılmadı mı?

Ancak geçtiğimiz cuma yapılan bir duyuruya baktığımızda, olayın her bölümündeki tarafların hepsinin gecikmeli işlem yaptığını görüyoruz. Aşağıda bu olayı, tartıştığımız Avukat Gökhan Candoğan’ın cevapları çerçevesinde, umarız taraflar kendilerinde eksik olan konuları tamamlarlar. Çünkü “demokrasi” diyorsak ve kendimizle ilgili ne olup bittiğini öğrenmek istiyorsak, haklarımıza sahip çıkmamız lazım. Kişisel Verilerimizin “verdiğimiz kurumlar” tarafından korunması ise en tabi hakkımız.

Aşağıdaki olayı kısaca özetlersek, ING Bank’ın bir çalışanı –şöyle ya da böyle– yetkisini aşarak, Türkiye Bankalar Birliği’nin (TBB) risk merkezi veritabanına ulaşıyor [4]. Burası üyeleri arasında Bankalar, Faktoring, Finansal Kiralama, Finansman, Varlık Yönetim şirketleri vs olan bir merkez ve çek, senet, kredi alan, veren şirketlerin ve insanların kaydı bulunuyor.

Banka çalışanı bu merkezden, kendi bankasının müşterisi olan, olmayan çok sayıda şahıs firmasının ve kişinin bilgilerini alıyor ve dışarıya çıkarıyor. TBB veri tabanındaki sorgulamaları 19 ekimde farkına varıyor, bankaya bilgi veriyor. Banka o günden ocak ayına kadar soruşturma yapıyor. İlgili kişinin de her şeyine el konuluyor. Ama Kişisel Veriler Koruma Kurulu’na 21 ocakta “veri sızıntısı” bilgisi veriliyor.

Kişisel Verileri Koruma Kurulu olaydan 3 gün sonra, veri sızıntılarının bildirilmesi için “72 saat” kuralı koyuyor ama kamuya açıklama, o günden 1 ay sonra oluyor. Bu arada ING Bank’ın bildiriminden anladığımız kadarı ile henüz verileri sızan kişi ve firmaların uyarılmadığını görüyoruz. Diğer yandan bu bildirimi acaba ING Bank yerine TBB Risk Merkezi mi Yapmalıydı?

Ama olaya dair 2 temel soru daha önemli;

a. Bunu kim yaptı?

b. Bu bilgiler ne iş için Kullanılacak?

Bu soruların cevapları çok hassas olabilir. Günümüze ya da ekonomiye etkisini henüz bilemiyoruz.

Şirket Verileri, TCK’ya Göre Suç Olduğu Halde, Takriben 2010’lardan Beri Zaten Alınıyor, Satılıyor

Hukuki tarafına girmeden bir de, bu bilgilerin uzun zamandır piyasada alınıp, satıldığını belirtelim. Öyle ki, Meclis Başkanlığı sırasında Binali Yıldırım’ın 50 milyon kişisel verinin çalınması olayı karşısında gösterdiği “eski onlar” türü alışkanlık ve ciddiye almama her yerde göze çarpıyor. Avukat Candoğan’a ayrıca bunu da sorduk.

Av.Gökhan Candoğan: TBB Risk Merkezi veri tabanında tutulan veriler, ekonominin gidişatını bile etkileyecek niteliktedir

Konuyu Kişisel Verileri Koruma Kuruluna, Türkiye Bankalar Birliğine ve ING Bank’a soracağız. Ama önce anlamaya çalıştık. Bunu da yapılan açıklama konusunda Avukat Gökhan Candoğan ile tartışarak yapmaya çalıştık.

turk-internet.com : Bir daha Gözden Geçirelim mi? Ne olmuştu?

Av.Gökhan Candoğan : Kişisel Verileri Koruma Kurulu (KVKK) web sayfasında 02.03.2019 tarihinde bir veri ihlali bildirimi yayımlandı. Buradan anlaşıldığı kadarıyla, 21 Ocak 2019 tarihinde ING Bank tarafından KVKK’ya açıklama gönderilerek, son derece ciddi sonuçları olabilecek bir veri ihlali bildirimi yapılmıştır.

Bankalar, finansal kiralama, factoring, finansman, varlık yönetim şirketleri ile sigorta şirketleri ve diğer finans kuruluşları müşterilerine ait kredi, çek ve senet bilgilerini toplayarak üyeleri ve  talep ederlerse hakkında veri toplanan gerçek/tüzel kişilerle paylaşmak amacıyla Türkiye Bankalar Birliği (TBB) iktisadi işletmesi olarak kurulan Risk Merkezi, bir ING Bank personeli tarafından Risk Merkezi veri tabanında yapılan sorgulamaların şüpheli göründüğünü tespit ederek, soruşturma yapılması amacıyla durumu 19 Ekim 2018 tarihinde ING Bank’a bildirir.

Banka tarafından yapılan soruşturma sonucunda, Banka sistemi üzerinde yetkilendirme sistemini devre dışı bırakarak TBB Risk Merkezi web sayfası üzerinden risk merkezi veri tabanına erişim sağlayan personelin, çoğu ING Bank müşterisi olmayan, 1.172 gerçek kişi ticari işletmesine ait her tür veri ile 19.055 gerçek kişiye ait TC kimlik no ve isim bilgilerini sorgu yoluyla elde ettiği, bu verileri elektronik haberleşme yollarıyla Banka dışına çıkardığı tespit edilmiştir.

turk-internet.com : Sızıntıya konu veriler neler, biliniyor mu ?

Av.Gökhan Candoğan : TBB Risk merkezinin amacı, müşterilerin kredi, çek ve senet bilgilerini toplamak ve işlemektir. Açıklamada da yazılı olduğu üzere, 1.172 gerçek kişi ticari işletmesine ait TBB Risk Merkezi veri tabanında bulunan; Bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorlarına erişim mümkündür. Anlaşıldığı kadarıyla bu verilerin büyük bir kısmına izinsiz erişim söz konusudur.

turk-internet.com : Veri ihlaline dair açıklamalardan hukuki sorumluluk tespiti yapmak mümkün müdür?

Av.Gökhan Candoğan : KVKK’ya bildirimi yapan ING Bank. Ancak, anladığımız kadarıyla izinsiz erişilen yer TBB Risk Merkezi veri tabanı. Yani, burada veri sorumlusu TBB olarak görünüyor. Risk Merkezi 5411 sayılı Bankacılık Kanunu Ek 1 inci maddeye dayalı olarak kurulmuş. Yani, yasal bir hüküm nedeniyle veri işliyor. Anılan veri tabanının güvenliğini sağlama yükümlülüğü TBB’ye ait. Üye kurumlar bu veri tabanına erişim sağlayarak hizmet alıyorlar. Yani, bir anlamda kullanıcı konumundalar. Bu nedenle, veri ihlali bildiriminin TBB Risk Merkezi tarafından da yapılması gerekirdi. Nitekim, izinsiz erişilen bilgilerin büyük bir çoğunluğu ING Bank müşterisi olmayan kişilere ait. Yani, bu kişiler ile ING Bank arasında yasal ve doğrudan bir ilişki yok. Bu kişilerin verileri sisteme başka/diğer üye kurumlar tarafından aktarılmış.

turk-internet.com : Yani, ING Bank dışında bu veri ihlalinden sorumlu kurumlar olabilir mi?

Av.Gökhan Candoğan : Evet, olmalı. Yapılacak yasal soruşturma sonucuna göre, TBB Risk Merkezi veri tabanına dair yeterli güvenlik olmadığı sonucuna varılırsa başta TBB olmak üzere, ING Bank ve elbette bilgilerine erişilen kişi/şirketlerin verilerini sisteme aktaran üye kurumların da hukuki sorumlulukları söz konusu olacaktır.

turk-internet.com : Biraz daha düşündüğümüzde bu olayın artçıları ile ilgili?

Av.Gökhan Candoğan : Akla gelen önemli bir soru da, TBB Risk Merkezi’nde bu tür şüpheli sorgu tesbitleri ne sıklıkla olmaktadır? Zira üye kurumlar arasında, belli aralıklarla ama sürekli olarak isim değiştiren varlık yönetim şirketleri gibi borç/alacak tahsilatı işi ile uğraşanlar da var. ING Bank ile ilgili durum tespiti sonrası, benzer bir durum olup olmadığına dair genel bir tarama yapılmış mıdır? Başka şüpheli sorgulama işlemleri söz konusu mudur? Buna dair kamuoyuna açıklama yapılması gerekmektedir.

Yine önemli bir konu; TBB Risk Merkezi tarafından toplanan kişisel verilerin mahiyeti, sanki yasa ile verilen yetkinin biraz ötesine geçilmiş olabileceği şüphesi uyandırmaktadır. Üye kurumların müşterileri ile ilgili kredi, çek ve senet bilgileri biraz sınırlı bir veri seti olabilecekken, ihale yasaklılığı, şirket ortakları ile ilgili neredeyse tüm kişisel bilgilerin toplanması amacın aşıldığı izlenimi doğuruyor. Risk merkezi web sayfasında yer alan KVKK bilgilendirmesi de son derece yetersiz olduğu için, bu konunun da değerlendirilmesi gerekli gibi.

turk-internet.com : İlgili personelin durumu hakkında ne diyebiliriz?

Av.Gökhan Candoğan : Tespit edilen banka personeli ile ilgili, iş akdinin feshi dışında ne gibi bir işlem yapıldığı, açıklamada yok. Yetkisini aşan banka personelinin davranışı salt iş hukukunu ilgilendirir bir fesihle karşılanamaz. Burada açık bir şekilde Türk Ceza Kanunu madde 135-137’de tanımlanan haller söz konusudur. Açıklamada belirtildiği üzere, banka dışı kaynaklardan ilgili personele, özel bir amaçla verilen bilgiler ile erişilen kişisel verilerin, bir takım kişi veya kurumlara yasa dışı saiklerle iletildiği açıktır. Yetkisini aşan banka personelinin bir şekilde iletişim halinde olduğu, bu kişisel verileri hukuk dışı amaçlarla işleyen, bu veri setinden maddi menfaat temin eden kişilerin varlığı açıktır. TBB Risk Merkezi veri tabanında tutulan veriler, ekonominin gidişatını bile etkileyecek niteliktedir. Özellikle ekonomik kriz dönemlerinde, iflas ve konkordato gibi süreçlerin yaşanmakta olduğu bir dönemde, işletmelerin kredi, çek ve senet bilgileri son derece önemli, hassas veriler anlamına gelir.

turk-internet.com : Veri seti bu kadar hassas olunca arkasında kimler olabilir?

Av.Gökhan Candoğan : Büyük çaplı yasa dışı organizasyonlar, ekonomiye yasal olmayan bir şekilde yön verme niyeti taşıyan ulusal/uluslarası organizasyonlardan sıradan suç örgütleri ile borç/alacak işleri ile uğraşan meslek gruplarına kadar bir dizi olağan şüpheli söz konusu olabilir. Bunu ortaya çıkarmak Banka, TBB veya KVKK’nun değil Cumhuriyet savcılıklarının görevidir. Ciddi bir soruşturma yürütülerek sorumlular tespit edilmeli ve topluma güven verilmelidir.

turk-internet.com : Güven Nasıl Verilmeli?

Av.Gökhan Candoğan : Son derece hassas bu verilere, bu kadar kolay erişilebiliyor olması düşündürücüdür. Bir bankanın, üstelik yetkisini aşan bir personeli, bir yolla Türkiye ekonomisini etkileyecek düzeyde bir veri setine ulaşabilmektedir. Risk Merkezi üyelerine baktığınızda salt bankalar değil, factoring kuruluşları, borç tahsilatı ile uğraşan varlık yönetim şirketlerine kadar çok sayıda kurumun burada olduğunu görüyorsunuz. Tüm bu kurumlar adına birileri yetkilendiriliyor. Yani, bu kurumların hepsinden belli sayıda kişi veri tabanına yasal erişim hakkına sahip. Yani bu verinin güvenliği bir personelin kafasının bozulup kötü niyetle hareket etmeye karar vermesine bağlı olmamalı. Düşünsenize, neredeyse reşit tüm Türkiye Cumhuriyeti yurttaşlarının kişisel ve ekonomik verilerini içerir bir veri tabanının güvenliği bu denli pamuk ipliğine bağlı! Bu olmaz. Olayın detaylarını düşündüğünüzde, verileri işlenen kişiler olarak ürpermemek mümkün değil.

turk-internet.com : Gökhan Bey bu veriler 2010’lardan beri zaten ortalıkta alınıp, satılıyor: Bunu nasıl değerlendiriyorsunuz?

Av. Gökhan Candoğan : Kişisel verilerin korunması kanunu 2016 tarihli olabilir ama ticari sır kavramı öteden beri var ve Türk Ceza Kanunu ile yaptırıma bağlanmış ihlali. Burada kişisel veri ile ticari sır/müşteri bilgisi kavramları, ayırması güç bir şekilde iç içe geçmiş durumda. bu nedenle ne 2010 yılında ne de bugün bu tür verilerin serbestçe ortalıkta gezinmesi ve ticarete konu edilmesi mümkün ve yasal değil. Ama farkındalık önemli elbette. Çoğu kişi bu tür bilgilere erişimi doğal kabul etmiş olabilir. Ama değil ve ciddi bir ceza söz konusu. Yıllardır milyonlarca Türkiye Cumhuriyeti yurttaşı kişisel verileri alındı, satıldı. En azından bundan sonrasında insanların daha dikkatli olmaları gerek.

turk-internet.com : KVKK tutumu ve bildirim süreleri hakkında ne diyebiliriz?

Av.Gökhan Candoğan : Burada da aydınlatılması gereken hususlar var. 19 Ekim’de bir şüpheli işlem tesbiti ile bankaya bildirim var. Banka tarafından KVVK’ya bildirim tarihi 21 Ocak 2019 ve KVKK’nın bunu duyurma tarihi 2 Mart 2019. TBB Risk Merkezi, 19 Ekim’den sonra ne yaptı? Şu anda sanırım web sayfasındaki “üye kurum girişi” kısmı çalışmıyor. Böyle bir tespit sonrası ilk eyleme geçmesi gereken yer TBB Risk Merkezi. Bildirim sonrası ING Bank süreci detayları da önemli. Yasada yer alan “en kısa süre” ibaresine uyulmuş mu? Bunu KVKK değerlendirmeli. Bu bildirime yakın tarihte, burada geçen “en kısa sürede” ibaresinin 72 saat olarak uygulanacağına dair bir Kurul kararı da yayımlandı. Ancak, kendisine 21 Ocak 2019’da gelen bildirimi 40 gün sonra yayımlıyor KVKK. Dolayısıyla 72 saat tartışması yapmak biraz zor. Elbette, şu anda KVKK ciddi bir soruşturma yürütüyor olmalı.

turk-internet.com : Peki, veri sızıntısından etkilenen kişi, işletmelerin durumu?

Av.Gökhan Candoğan : KVKK tarafından web sayfasından duyurulan ING Bank açıklamasının sonunda “bu durumda etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin..” deniyor. Yani, en azından KVKK’ya bildirimin yapıldığı 21 Ocak 2019 itibariyle en olumsuz şekilde veri ihlaline maruz kalan 1.172 gerçek kişi ticari işletmesine herhangi bir bildirim yapılmamış. Bu arada, yani bugüne kadar yapılmış bir bildirim var mı? Bilemiyoruz. Gecikmenin varlığı açık. Yurt dışındaki örneklerde, ilgili otoriteye bildirim ile eş zamanlı olarak ayrı bir bilgilendirme sayfası, hattı oluşturularak kişilere neler yapabilecekleri konusunda yardımcı olunuyor.

Bu işletmeler açısından şöyle bir durum da var; bu kişi/işletmelerin verileri neden sorgulanmış? Hangi tarihte sorgulama yapıldığı çerçevesinde, bu bilgiyi kullanan kişi/kurumlara da erişmek mümkün olabilir. Anılan işletmenin ticari zorluğu olan bir dönem mi? Bir ihaleye mi katılmış? Ne zaman verisinin sorgulanıp dışarı aktarıldığı, suçun failini de işaret edebilir. Ama işletmeler bu durumdan haberdar değilse, bu araştırmayı yapamazsınız. Verileri sızdırılan kişiler, bir yandan savcılıklara şikayette bulunabilir, diğer yandan da uğradıkları zararın tazmini için yasal yollara başvurabilirler.

turk-internet.com : Çıkarılması gereken dersler?

Av.Gökhan Candoğan : Bu veri ihlali bildirimi, ciddi veri işleme faaliyeti içerisinde olan veri sorumlularının karşı karşıya olduğu riskleri bir kez daha göz önüne sermiştir. İnsan unsurunun olduğu her yerde bu tür riskler vardır, bu nedenle veri sorumluları mümkün olan teknik ve idari önlemlerle bu sızıntıları asgariye indirmekle yükümlüdür. Her koşulda KVKK’nun etkin, dinamik, yol gösterici, düzenleyici ve öğretici bir tutum içerisinde olması büyük önem taşımaktadır. Ancak, yargının bu tehditlerin farkında olması da önemli. Dokuz on yıldır gündemde olan, milyonlarca Türkiye Cumhuriyeti yurttaşının ad/soyad/TC kimlik no/adres bilgileri ulusal ve uluslararası düzeyde herkesin erişimine açılması konusunda, yapılan suç duyurularına rağmen, tek bir sorumlu tesbit edilip de yasal işlem yapılmış değil. Hal böyle olunca devletin yurttaşlarına verdiği koruma ve güvenlik sözünü yerine getirdiğinden bahsetmek de zorlaşıyor.

Şirket Verilerinin Ortalığa Nasıl Döküldüğü Görülüyor

Bu arada, haberi okuyup; “oooo bu yeni haber değil. Bu veriler uzun zamandır piyasada var” diyebilirsiniz. Konu da bu zaten.

Bu tür verilerin yani bir firmanın özellikle mali durumu ile ilgili bilgilerin, bazen ortaklık ya da sözleşme yapacağı, ya da ihaleye gireceği, büyük bir kredi alacağı zaman, “yeterlilik” nedeniyle raporlanması gerekebilir. Bunu da 3cü parti denilen firmalar yapar ama yine FİRMANIN KENDİSİNİN İZNİ ile. Mesela DUN&BradStreet denilen firma [6] bu tür bir firmadır. İş, sözleşme vs yapacağınız firma adına sizi arar ve bilgilerinizi ister.

Ama dediğimiz gibi, bunlar ortalığa saçılmaz ve ancak firmanın kendi izni çerçevesinde sunulabilir. Çünkü bunlar o firmanın TİCARİ SIR’rıdır.

Ama ülkemizde bu bilgilerin uzun zamandır piyasada alınıp, satıldığını belirtelim. ING Olayı çerçevesinde konuştuğum bir bilişim sektörü firması sahibi bana bu bilgilerin zaten piyasada çoktandır dolaştığını, alınıp, satıldığını söyledi ve bir anektod anlattı. Kendilerinin bir bankacıya yardımcı olmak için aldıkları 1 günlük hatır kredisi nedeniyle, ertesi gün diğer bir firmadan arandıklarını ve diğer firma yetkilisinin “zor durumda mısınız?” İfadesiyle karşılaştıklarını söyledi. Yani bu bilgiler birileri tarafından sızdırılıyor.

Burada olduğu gibi kişisel veri ile ticari sır/müşteri bilgisi kavramları, ayırması güç bir şekilde iç içe geçmiş” durumlar da oluyor.

Peki bu durum normal mi?

Hayır değil. TCK 239 çerçevesinde firmaların rakipleri tarafından öğrenilmesi halinde zarar görme ihtimali bulunan ve üçüncü kişilere ve kamuya açıklanmaması gereken, işletme ve şirketin ekonomik hayattaki başarı ve verimliliği için büyük önemi bulunan; iç kuruluş yapısı ve organizasyonu, malî, iktisadî, kredi ve nakit durumu, araştırma ve geliştirme çalışmaları, faaliyet stratejisi, hammadde kaynakları, imalatının teknik özellikleri, fiyatlandırma politikaları, pazarlama taktikleri ve masrafları, pazar payları, toptancı ve perakendeci müşteri potansiyeli ve ağları, izne tâbi veya tâbi olmayan sözleşme bağlantılarına ilişkin veya bu gibi bilgi ve belgelerin TİCARİ SIR kapsamında açıklanmaması gerekir.

Ama en başta “POS Tefecileri” olarak bilinen insanlar, bir şekilde temerrüde düşmüş kişilerin bilgilerini elde ediyor. Sonra bilgilerini aldıkları kişi ve firmalara tekliflerde bulunuyorlar. Bu da olayın diğer bir acayip yönü. Yani TİCARİ SIR denilen bu bilgiler ortalıkta vaka-i-adiye kapsamında ve herkes alışmış.

Erol Mütercimler bugün Sputnik Radyo’da Ceyda Karan’la konuşurken, “Ayı Avı” diye bir olay anlattı. Mütercimler, postu kıymetli olduğu için ayının vurulmadığını, onun yerine bir tuzak açılıp, içine kazıklar konulduğunu ve ayının oraya çekildiğini, düştüğünde de kazıkların açtığı yaralardan kanının akıp boşaldığını anlattı. Böylece postu zarar görmüyormuş.

Aynen böyle olmuş durumda. Her şeyin içi boşalıyor, kıymetsiz hale geliyor.

Ticari hayatımızdaki bu boşluğu ING Bank-TBB Risk Merkezi olayı ile görmüş olalım ve bir an önce düzeltilmesini sağlayalım.

[1] 6698 Sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU

[2] Kişisel Verileri Koruma Kurulu (KVKK) Yargıtay’da Yemin Ederek Göreve Başladı

[3] Kişisel Verileri Koruma Kurumu, Veri Sızıntılarını Duyuruyor

[4] Türkiye Bankalar Birliği, Risk Merkezi

[5] TBB Risk Merkezi Üyeleri

[6] Start Making Smarter Credit Decisions 

Not: Bu yazı ve söyleşi turk-internet.com web sayfasında Füsun S. Nebil imzası ile yayımlanmıştır.