Hemen hemen her gün bir şirketin müşterilerinin bilgilerinin çalındığını, hackerlar tarafından ele geçirildiğini duymaya başladık. Bu şirketlerin müşteri sayıları bazen binlerle ifade edilirken bazen de milyonlarla ifade ediliyor. En son bilişim güvenliği alanında çalışan arkadaşların aralarında konuştukları en son kişisel veri ihlalinin on milyon müşterinin üzerinde bir şirkette oluştuğunu duyunca artık bu alanda da bazı şeylerin ters gittiğinin farkına vardık.
Tamam. Teknolojinin gelişmesi bizim bir çok alanda işlemlerimizi online olarak veya online çalışan şirketlerden yapmamızı zorunlu bıraktı. Teknolojinin bu denli hızlı gelişme göstermesi bizim kişisel verilerimizin internet korsanlarının elinde alınıp satılan bir mal haline gelmesini de gerektirmiyor. Öyle bir hale geldi ki durum, e-posta adreslerimiz reklam peşinde koşan ve tüm kanunları hiçe sayan şirketlerin elinde bir oyuncak haline geldi. Telefon numaralarımız her gün mutlaka bir 0 850 ile başlayan bir numaradan aranarak ya bir internet servis sağlayıcısı ya da bir banka reklamına maruz bırakılıyoruz. Bu tür olayları önlemek için kanunlar yapılıyor, sorumluluklar belirleniyor. Bunca çabaya karşın neden tüm bu rahatsız edici olaylardan kurtulamıyoruz. Demek ki birileri bazı sorumluluklarını tam olarak yerine getirmiyor. Çünkü bu alandaki kanunları incelediğimizde kanun koyucunun her alana temas etme isteği ve arzusu ile kanun yaptığını görüyoruz. Elbette ki böylesi bir hızla değişen teknolojinin her adımına önceden önlem alınamaz. Belki esnek, geliştirilebilir, uyarlanabilir ve Adalet sisteminde hakimlere karar vermede yardımcı olabilecek kanunlar yapmak sorunu tam olarak çözemese de çözüme götürecek bir yol çizebilir. Oldukça karmaşık bir ortam olan Siber dünyada, suç işleme konusunda kendilerini sürekli geliştiren siber saldırganların hızına yetişmek gerçekten kolay değil.
Peki ne oldu da kişisel verilerimiz birden sanal dünyada böylesi bir değer sahibi oldu? Kişisel verilerin sahip olduğu değeri hukuk sistemi nasıl koruma altına aldı? İşte bu soruların cevapları için öncelikle en başa dönmek gerekiyor. Kişisel verilerin Türk Hukuk Sisteminde kendisine nasıl yer bulduğuna bakmamaız lazım. Anayasamızda 2010 yılında bir değişiklik yapılmış ve Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenmiştir. Böylece kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.
Daha sonra Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu hazırlanmış, TBMM tarafından kabul edilmiş ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.Bu kanunla kanun koyucu, kişisel verilerin sınırsız biçimde ve gelişi güzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesini amaçlamıştır. Kanunda Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı ve sınırlı sayım yoluna gidilmediği için kapsamın genişletilmesi mümkündür. Bir çok veri kişisel veri olarak değerlendirilebilir. Bu yüzden her somut olay, veriler kişiyi tanımlayabilmeye imkan veriyor mu? sorusuyla birlikte ayrı ayrı değerlendirilmelidir. Özellikle bu verilerin somut ortamda yani kağıt vb. ortamlarda olmadığı, manyetik ortamlarda sayısal veri olarak saklandığı zamanlarda sınıflandırılması daha da zorlaşmaktadır. Hangi veri kişisel veri kapsamına girer, hangi veri kişisel veri kapsamında değerlendirilmez gibi soruların cevapları somut olayların ayrı ayrı değerlendirilmesi sonucunda ortaya çıkmaktadır.
Benim asıl tartışmak istediğim konu Kişisel Verilerin Korunması Kanunu KVKK değil. Onu sadece hukuk konuşmak gerektiğinde tartışabiliriz. Ben asıl olarak, hemen hemen her isteyen şirket veya kuruma teslim ettiğimiz kişisel verilerimiz internet korsanları tarafından internet ortamında satışa sunulduğu zaman bu olaydan kim sorumlu olacak, bu olayın sorumlusunun yükümlülükleri nedir gibi hususlar hakkında tartışmak istiyorum. Kanunda verilerin güvenliğinden kimin sorumlu olduğu gayet açık şekilde belirtilmiş. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi , ifade eder. Kanun veri sorumlusunu tanımlamış ve bu sorumlulukları da ona vermiş. Kanun, veri sorumlusunu, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik tedbirlerini almak için her türlü teknik ve idari önlemleri almakla da yükümlü kılmıştır. Veri sorumlusunun bizim tartışmamızın asıl konusu olan kişisel verilerin yetkisiz kişilerce ele geçirilmesi kapsamındaki sorumluluğu ise bu durumu Kişisel Verilerin Korunması Kuruluna bildirme yükümlülüğüdür. Kurul ise bu veri ihlalini eğer gerek duyarsa kendi internet sitesinde ya da uygun göreceği başka bir yöntemle kamuoyuna duyurabilir. Buradan anladığımız eğer kamuoyuna açıklanmak istenmezse kişisel veri ihlalinden haberimiz olmayabilir. Ancak konuyla ilgili uzmanların kendi aralarında karşılıklı bilgilendirme ve paylaşımlarından bir şekilde haberdar olabilirsek meydana gelmiş olan veri ihlallerinden bilgimiz olabilecek.
Peki kişisel verilerimiz ihlalle karşılaştığında neler oluyor. Öncelikle bununla ilgili 6698 Sayılı KVKK diyor ki; suçlar bakımından TCK 135 ila 140. maddeler uygulanacak, kabahatler için ise KVKK’daki 18. maddede belirtilen para cezaları uygulanacaktır. Buradan anladığımız Kişisel verilerin ihlaline yönelik iki farklı ceza yaptırımı var. Hapis cezası ve idari para cezası.
Türk Ceza Kanunu’nda kişisel verilerin ihlali ile ilgili olarak üç temel suça yer verilmiştir. Bunlar;
Kişisel verilerin kaydedilmesi suçu (TCK 135. Md.)
Kişisel verilerin yayma ve ele geçirme suçu (TCK 136. Md.)
Kişisel verileri yok etmeme suçu (TCK 138. Md.)
KVKK’daki idari cezalar ise 2021 yılına uyarlanmış olarak aşağıda belirtilmiştir.
Her iki kanundan anlaşıldığı üzere kişisel veriler ile ilgili karşılaşabileceğimiz bir çok farklı veri ihlali mümkün. Karşılaşabileceğimiz ihlaller buradaki suç tanımlarıyla da sınırlı değil. Bazen buradaki suçlar bir çok farklı suçun işlenmesi için ortam yaratmakta kullanılabiliyor. Bazen özel kişisel verilerin ele geçirilmesi ve bu verilerin bir şantaj suçunun oluşmasında kullanılması karşımıza çıkarken bazen de bu tür özel kişisel verilerin ifşası nedeniyle veri sahipleri intahara sürüklenmektedir. İşte böylesi farklı ve önemli sonuçlara neden olan bu tür ihlaller çok küçük ve gözden kaçan güvenlik açıkları nedeniyle oluşuyorlar. Maalesef bu tür olayların altından hep eğitim ve bilgi eksikliği çıkıyor. Nasıl bir kişi Türk Ceza Kanununda mevcut olan bir suçu işlediğinde “Ben kanunu okumadım, suç olduğunu bilmiyordum” diyemiyorsa, bilgi güvenliğinden sorumlu kişiler de sorumlu oldukları alanlar ile ilgili mevzuat hakkında böyle bir savunma yapamazlar. Merak ediyorum, acaba veri sorumlusu olarak çalışan kişilerden ne kadarı 6698 Sayılı Kişisel Verileri Koruma Kanununu okumuştur.
KVKK’da görüldüğü gibi biz kişisel verilerimizi ilgili kişi ve kurumlara verdikten sonra sorumluluk veri sorumlusuna geçiyor. Ancak bir ihlal oluştuğunda ve sorumlu olduğu kişisel veriler yetkisi olmayan kişilerin eline geçtiğinde, veri sorumlusu TCK’daki suçları bizzat kendi işlemediği durumda sadece KVKK’daki idari cezalarla karşılaşıyor. İşte aslında tüm sorun burada başlıyor. Kişisel verilerin güvenliği tüm bu süreçteki en önemli konu. Çünkü veriler ile ilgili tüm ihlaller veri güvenliğinin yeteri kadar sağlanamaması halinde yaşanıyor. Bir şekilde verilerin tutulduğu manyetik ortamlara hukuka aykırı olarak erişim sağlandıktan sonra diğer suçlar için zemin hazırlanıyor. Kilit nokta; verilerin güvenliğinin sağlanması oluyor. Peki veri sorumlusuna verilen bu yükümlülükler karşısında veri sorumlusu gerekli özeni göstermezse ve verilerimiz istenmeyen kişilerin eline geçerse veri sorumlusu nasıl bir yaptırım ile karşı karşıya kalıyor. Evet, yukarıdaki bilgiler ışığında sadece veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 2021 yılında geçerli olacak para cezası 29.503 Türk lirasından 1.966.862 Türk lirası arasında belirlenecek bir miktar. Buna ek olarak da halen çalıştığı şirket ya da kurum tarafından uygulanacak idari yaptırım.
Daha açık olarak söylemek gerekirse; 30 milyon kişinin verileri hacker denilen siber saldırganlar tarafından hukuka aykırı olarak ele geçirilip dünyanın dört bir tarafında internet üzerinden pazarlanırsa, bu verilerin güvenliğini sağlayamayıp bu duruma neden olan veri sorumlusu kişi ya da tüzel kişilik en fazla 1.966.862 Türk lirası para cezası ödemek zorunda kalacak. Belki de bu miktar çok güvenli bir veri kayıt ortamı oluşturmanın maliyetinden daha düşük miktarda kalacak. Kişisel verilerimizin veri kayıt ortamlarında saklandığını biliyoruz. Büyük oranda bu veri kayıt ortamları kullanım amaçlarına uygun olması nedeniyle internet dediğimiz o büyük siber ağa bağlı. Bütün bilişimciler bilir ki internete bağlı hiç bir nesne, hiç bir ortam, tam olarak güvenli değildir. İşte bu temel kuralı bilen bilişimciler bu riski göze alarak bu manyetik ortamdaki verilerimizi muhtemel ihlal ihtimaline rağmen internete erişimi olan veri kayıt ortamlarında tutmaktadır. Veri kayıt ortamlarının bulunduğu bilgisayar sistemleri gerekli güvenliğin sağlanması için sürekli zayıflık testleri ile denetlenmeli ve eğer sistemde varsa bir zayıflık süratle giderilmelidir. Bütün bu güvenlik artırıcı ve denetleyici çalışmalar da bu şirket veya kurumlara ek maliyet getirecektir. İşte bu yüzden Bilişim Güvenliği çoğu zaman gözardı edilerek Bilişim Sistemlerindeki muhtemel güvenlik açıklarına karşı belli bir risk oranı kabullenilmektedir.
Günümüzün en değerli varlığı veridir. Bu yüzden internet korsanlarının bir diğer isimleriyle Hackerların en büyük hedefleri de veridir. Özellikle anlamlı veri dediğimiz kişisel verilerdir. O kadar büyük bir pazarı vardır ki bu kişisel verilerin, bazen inanılmaz parasal değerlere ulaşmaktadır. İnternet korsanları denilen bu siber saldırganlar ele geçirdikleri kişisel verileri DeepWeb (Derin Ağ) denilen ve hukuk dışı kişiler tarfından kullanılan ortamlarda pazarlamaktadırlar. Kişisel veri dediğimiz verileri sadece ekonomik bir değeri olan ve sadece reklam amaçlı olan telefon ve e-posta adresleri olarak düşünmeyin. Dünyadaki istihbarat örgütleri aradıkları bilgilerin %80 gibi bir miktarını açık kaynak dediğimiz ortamlardan elde etmektedirler. İşte bu istihbarat örgütlerinin aradığı bilgiler bu ihlal edilmiş kişisel verilerin bulunduğu ortamlardan toplanmaktadır. Böylesi önemli bir konu olan bu verilerin korunması gibi en temel sorumluluk sadece idari cezalarla mı korunmalı acaba?
Nasreddin Hocanın dediği gibi “Hırsızın hiç mi suçu yok” diyebiliriz. Böyle demek belki bizi rahatlatır. Peki hırsıza bu imkanı hiç vermesek daha iyi olmaz mı? İşte burada Veri Sorumlusu olarak adlandırılan kişi veya tüzel kişilerin kendilerine emanet edilen kişisel verileri koruma kapsamında daha ciddi olmalarının sağlanması gerekir. Bu da sadece idari para cezaları ile mümkün olmayacak gibi görünmektedir. Eğer verilerin güvenliği konusunda daha ciddi yaptırımlar uygulanırsa bu konuya gösterilen hassasiyet artacaktır. Böylece veri güvenliği bir araç değil artık temel amaç haline gelecektir. Her ne kadar aynı konuda olmasa da şu örneği vermek istiyorum: Ne zaman endüstriyel atıklarla çevreyi kirletme cezalarının miktarları arıtma sistemlerinin maliyetlerinden yüksek olursa artık hiç bir fabrika çevreyi kirletmeyecektir. Ne derler? Teşbihte hata olmazmış.