110 milyon cep telefonu numarasının internette CD ile satışa çıkarılması, bilişim suçlarındaki kanuni boşluğu gözler önüne serdi.

Bakanlar Kurulu tarafından 2008′de Türkiye Büyük Millet Meclisi’ne sevk edilen ‘KiÅŸisel Verilerin Korunması Kanunu Tasarısı’ yasalaÅŸsaydı, son olayda adı geçen ve ‘Spam Abdullah’ diye bilinen ÅŸahıs 6 aydan 1 buçuk yıla kadar hapis talebiyle mahkeme önüne çıkarılacaktı. Tasarı, verileri koruyamayan ÅŸirketler için de idarî para cezaları öngörüyor.

Cep telefonu operatörlerinin bilgi altyapısının internet üzerinden satıldığı haberinden sonra Türkiye’de kiÅŸisel bilgilerin korunmasıyla ilgili sorunların yasal boÅŸluklara dayandığı ortaya çıktı. Türkiye’de ise yasal boÅŸlukların olması ve cezai müeyyidelerin yokluÄŸu kötü niyetli kiÅŸilerin bu bilgilere ulaÅŸmasını ve iÅŸlem yapmasını kolaylaÅŸtırıyor. Bu konuda suç iÅŸleyenler hırsızlık suçlamasıyla cüzi para cezasına çarptırılıyor ya da en fazla birkaç ay cezaevinde tutulup serbest bırakılıyor. Bu da üç operatörün 110 milyon abonesinin numarasını CD’de internette pazarlayan ‘Spam Abdullah’lar gibilere cesaret veriyor. KiÅŸisel bilgilerin korunması ile ilgili yasa boÅŸluÄŸunu doldurmak isteyen Türkiye, 2003 yılında ‘KiÅŸisel Verilerin Korunması Kanunu Tasarısı’nı hazırlasa da, gerek Avrupa BirliÄŸi raporlarında ve gerekse e-Dönüşüm Türkiye Projesi Kısa Dönem Eylem planlarında yasalaÅŸması öngörülmesine raÄŸmen Türkiye Büyük Millet Meclisi’ne (TBMM) bile ulaÅŸmadı. Veri korumasına iliÅŸkin yasa yapma görevi bu defa Adalet Bakanlığı’na verildi. Adalet Bakanlığı, üzerinde çalışarak nihai metni BaÅŸbakanlık’a iletti. Bu defa BaÅŸbakanlık tarafından 22 Nisan 2008 tarihinde görüşülmek üzere TBMM’ye gönderildi. Ancak tasarı 3 senedir görüşülmeyi bekliyor. Hatta tasarıda idari para cezası olarak belirlenen rakamlar bile 6 sıfırlı eski Türk Lirası ile ifade ediliyor. Söz konusu tasarının kanunlaÅŸması halinde, kiÅŸisel verileri yasa dışı elde eden ve kullanan 3. ÅŸahıslar 1 yıldan 4 yıla kadar tutuklanabilecek. Bu tür faaliyetlerde bulunan ÅŸirketlere ise tasarının hazırlandığı dönemin parasıyla 500 milyon liradan 2 milyar liraya kadar (500-2 bin TL) idari para cezaları öngörülüyor. Tasarı, kiÅŸisel verilerle ilgili görevleri yapmak üzere KiÅŸisel Verileri Koruma Kurumu kurulmasını öngörüyor. Tüzel ve özel kiÅŸiler, kiÅŸisel verileriyle ilgili problemler için bizzat bu kuruma baÅŸvurabilecek.

Tasarının yeni anayasa metnine konulduÄŸuna iÅŸaret eden hukukçular, düzenlemenin yeni anayasa ile beraber çıkmayı beklediÄŸini ifade ediyor. Ancak, tüketici dernekleri, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiÄŸini vurguluyor. Tüketiciler BirliÄŸi Genel BaÅŸkan Yardımcısı Hatice Saadet Kalyoncu, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiÄŸini belirterek, “Bazı ÅŸeyleri bekleterek zaman kaybetmenin anlamı yok. Hele bu insanların özel hayatıyla ilgiliyse, yarın atılacak adımlar geç olabilir. KEY ödemeleri sırasında devlet zaten vatandaşı ‘çıplak’ ortada bırakmıştı.” diyor. Sadece kiÅŸisel verilerle ilgili deÄŸil, tüketici haklarını ihlal edenlere karşı daha ağır yaptırımlar getirilmesini isteyen Kalyoncu, para cezasının yerine ÅŸirketlerin o iÅŸleri yapmaktan men edilmesi gerektiÄŸini kaydediyor.

Konuyu gündeme getiren olayda operatörlere ait cep telefonu numaralarının ele geçirilip internette CD ile satışa çıkarıldığı ortaya çıkmıştı. ‘Spam Abdullah’ lakaplı Muhammed Fatih Elgün’ün, 3 operatöre de ait toplam 110 milyon numarayı 708 lira karşılığında ‘Türkiye GSM Rehberi’ CD’si baÅŸlığı altında 1M Net-Pa hayali ÅŸirket üzerinden sattığı öne sürülmüştü. Kurye aracılığıyla alıcının ayağına kadar ulaÅŸtırılan CD içerisindeki bir klasörde her 3 operatöre ait tüm faturalı ve faturasız numaralar blok halinde yer alırken, ikinci klasörde Vodafone abonelerine ait telefon numarasıyla beraber yaÅŸadığı ÅŸehir, adresi, yaşı, ilgi alanları gibi tüm kiÅŸisel bilgiler bulunuyor.

Devlet, KEY ödemelerinde özel bilgileri çarşaf çarşaf yayımlamıştı

Özel ÅŸirketlerle beraber devletin de kiÅŸisel bilgilerin korunması konusunda zafiyet içinde olduÄŸu gözleniyor. Kimin Konut Edinme Yardımı (KEY) alacağını duyurmak için devlet 2009′da, vatandaşın devletteki kaydını 11 cilt halinde Resmî Gazete’de çarÅŸaf çarÅŸaf yayımlamıştı. KEY ödemeleri listesinde 8,5 milyon kiÅŸinin TC kimlik numarası ve sosyal güvenlik numaraları da bulunuyor.

Yasa tasarısı ne getiriyor?

Kişilerin ırk, siyasî düşünce, din veya diğer inançları; ayrıca sağlık, gizli hayatlarına ilişkin kişisel verileri koruyabilecek şirketler bilgi toplama yetkisine sahip olacak.

Kişisel verilerin toplanması sırasında ilgili kişilere, verilerin hangi amaçla işleme tâbi tutulacağı, kimlere aktarılacağı, kişisel verileri öğrenme ve gerekiyorsa bunları düzeltme hakkına sahip olduğu hususlarında bilgi verilecek.

Bilgileri başka bir veri kütüğü sisteminden edinmek isteyen 3. tarafların, ilgili kişiye bilgi vermesi gerekiyor. Eğer ilgili kişi itiraz ederse bilgiler paylaşılamayacak.

Herkes, makul aralıklarla, veri kütüğü sistemi sahibine başvurarak kendisiyle ilgili kişisel veri kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları istemek hakkına sahip olacak.

Bu talep karşısında veri kütüğü sistemi sahibi, sistemindeki ilgili kişiye ait tüm bilgileri, işleme tâbi tutulan tüm verilerini bildirmek zorunda.

İşleme tâbi tutulan kişisel verilerin niteliği itibarıyla eksik olması veya gerçeğe uygun olmaması hâlinde, ilgili kişi, bunların düzeltilmesini, hukuka aykırı olması hâlinde silinmesini, yok edilmesini veya dondurulmasını isteme hakkına sahip olacak.

Tasarının kanunlaşması halinde kişisel verilerle ilgili görevleri yapmak üzere Kişisel Verileri Koruma Kurumu kurulacak. Tüzel ve özel kişiler, kişisel verileriyle ilgili problemler için bizzat bu kuruma başvurabilecek.

Kurum kendisi veya 3. kişilerin başvurusu üzerine kişilik haklarının ihlâline yol açan kişisel veri işleme yöntemlerinin kullanılıp kullanılmadığı, sicile kaydedilmesi zorunlu veri kütüğü sistemleri bulunup bulunmadığı, verinin yabancı ülkelere aktarılıp aktarılamayacağı konularını açıklığa kavuşturmak için inceleme yapacak.

Tüm veri kütüğü sistemi sahipleri, başkanlığın istemi üzerine gerekli bilgi ve belgeleri vermekle yükümlü olacak.