110 milyon cep telefonu numarasının internette CD ile satışa çıkarılması, bilişim suçlarındaki kanuni boşluğu gözler önüne serdi.
Bakanlar Kurulu tarafından 2008’de Türkiye Büyük Millet Meclisi’ne sevk edilen ‘Kişisel Verilerin Korunması Kanunu Tasarısı’ yasalaşsaydı, son olayda adı geçen ve ‘Spam Abdullah’ diye bilinen şahıs 6 aydan 1 buçuk yıla kadar hapis talebiyle mahkeme önüne çıkarılacaktı. Tasarı, verileri koruyamayan şirketler için de idarî para cezaları öngörüyor. Cep telefonu operatörlerinin bilgi altyapısının internet üzerinden satıldığı haberinden sonra Türkiye’de kişisel bilgilerin korunmasıyla ilgili sorunların yasal boşluklara dayandığı ortaya çıktı. Türkiye’de ise yasal boşlukların olması ve cezai müeyyidelerin yokluğu kötü niyetli kişilerin bu bilgilere ulaşmasını ve işlem yapmasını kolaylaştırıyor. Bu konuda suç işleyenler hırsızlık suçlamasıyla cüzi para cezasına çarptırılıyor ya da en fazla birkaç ay cezaevinde tutulup serbest bırakılıyor. Bu da üç operatörün 110 milyon abonesinin numarasını CD’de internette pazarlayan ‘Spam Abdullah’lar gibilere cesaret veriyor. Kişisel bilgilerin korunması ile ilgili yasa boşluğunu doldurmak isteyen Türkiye, 2003 yılında ‘Kişisel Verilerin Korunması Kanunu Tasarısı’nı hazırlasa da, gerek Avrupa Birliği raporlarında ve gerekse e-Dönüşüm Türkiye Projesi Kısa Dönem Eylem planlarında yasalaşması öngörülmesine rağmen Türkiye Büyük Millet Meclisi’ne (TBMM) bile ulaşmadı. Veri korumasına ilişkin yasa yapma görevi bu defa Adalet Bakanlığı’na verildi. Adalet Bakanlığı, üzerinde çalışarak nihai metni Başbakanlık’a iletti. Bu defa Başbakanlık tarafından 22 Nisan 2008 tarihinde görüşülmek üzere TBMM’ye gönderildi. Ancak tasarı 3 senedir görüşülmeyi bekliyor. Hatta tasarıda idari para cezası olarak belirlenen rakamlar bile 6 sıfırlı eski Türk Lirası ile ifade ediliyor. Söz konusu tasarının kanunlaşması halinde, kişisel verileri yasa dışı elde eden ve kullanan 3. şahıslar 1 yıldan 4 yıla kadar tutuklanabilecek. Bu tür faaliyetlerde bulunan şirketlere ise tasarının hazırlandığı dönemin parasıyla 500 milyon liradan 2 milyar liraya kadar (500-2 bin TL) idari para cezaları öngörülüyor. Tasarı, kişisel verilerle ilgili görevleri yapmak üzere Kişisel Verileri Koruma Kurumu kurulmasını öngörüyor. Tüzel ve özel kişiler, kişisel verileriyle ilgili problemler için bizzat bu kuruma başvurabilecek.
Tasarının yeni anayasa metnine konulduğuna işaret eden hukukçular, düzenlemenin yeni anayasa ile beraber çıkmayı beklediğini ifade ediyor. Ancak, tüketici dernekleri, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiğini vurguluyor. Tüketiciler Birliği Genel Başkan Yardımcısı Hatice Saadet Kalyoncu, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiğini belirterek, “Bazı şeyleri bekleterek zaman kaybetmenin anlamı yok. Hele bu insanların özel hayatıyla ilgiliyse, yarın atılacak adımlar geç olabilir. KEY ödemeleri sırasında devlet zaten vatandaşı ‘çıplak’ ortada bırakmıştı.” diyor. Sadece kişisel verilerle ilgili değil, tüketici haklarını ihlal edenlere karşı daha ağır yaptırımlar getirilmesini isteyen Kalyoncu, para cezasının yerine şirketlerin o işleri yapmaktan men edilmesi gerektiğini kaydediyor.
Konuyu gündeme getiren olayda operatörlere ait cep telefonu numaralarının ele geçirilip internette CD ile satışa çıkarıldığı ortaya çıkmıştı. ‘Spam Abdullah’ lakaplı Muhammed Fatih Elgün’ün, 3 operatöre de ait toplam 110 milyon numarayı 708 lira karşılığında ‘Türkiye GSM Rehberi’ CD’si başlığı altında 1M Net-Pa hayali şirket üzerinden sattığı öne sürülmüştü. Kurye aracılığıyla alıcının ayağına kadar ulaştırılan CD içerisindeki bir klasörde her 3 operatöre ait tüm faturalı ve faturasız numaralar blok halinde yer alırken, ikinci klasörde Vodafone abonelerine ait telefon numarasıyla beraber yaşadığı şehir, adresi, yaşı, ilgi alanları gibi tüm kişisel bilgiler bulunuyor.
Devlet, KEY ödemelerinde özel bilgileri çarşaf çarşaf yayımlamıştı
Özel şirketlerle beraber devletin de kişisel bilgilerin korunması konusunda zafiyet içinde olduğu gözleniyor. Kimin Konut Edinme Yardımı (KEY) alacağını duyurmak için devlet 2009’da, vatandaşın devletteki kaydını 11 cilt halinde Resmî Gazete’de çarşaf çarşaf yayımlamıştı. KEY ödemeleri listesinde 8,5 milyon kişinin TC kimlik numarası ve sosyal güvenlik numaraları da bulunuyor.
Yasa tasarısı ne getiriyor?
Kişilerin ırk, siyasî düşünce, din veya diğer inançları; ayrıca sağlık, gizli hayatlarına ilişkin kişisel verileri koruyabilecek şirketler bilgi toplama yetkisine sahip olacak.
Tasarının yeni anayasa metnine konulduğuna işaret eden hukukçular, düzenlemenin yeni anayasa ile beraber çıkmayı beklediğini ifade ediyor. Ancak, tüketici dernekleri, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiğini vurguluyor. Tüketiciler Birliği Genel Başkan Yardımcısı Hatice Saadet Kalyoncu, özel hayatı ihlal eden bu bilgilerin korunması için yasa tasarısının bir an önce çıkması gerektiğini belirterek, “Bazı şeyleri bekleterek zaman kaybetmenin anlamı yok. Hele bu insanların özel hayatıyla ilgiliyse, yarın atılacak adımlar geç olabilir. KEY ödemeleri sırasında devlet zaten vatandaşı ‘çıplak’ ortada bırakmıştı.” diyor. Sadece kişisel verilerle ilgili değil, tüketici haklarını ihlal edenlere karşı daha ağır yaptırımlar getirilmesini isteyen Kalyoncu, para cezasının yerine şirketlerin o işleri yapmaktan men edilmesi gerektiğini kaydediyor.
Konuyu gündeme getiren olayda operatörlere ait cep telefonu numaralarının ele geçirilip internette CD ile satışa çıkarıldığı ortaya çıkmıştı. ‘Spam Abdullah’ lakaplı Muhammed Fatih Elgün’ün, 3 operatöre de ait toplam 110 milyon numarayı 708 lira karşılığında ‘Türkiye GSM Rehberi’ CD’si başlığı altında 1M Net-Pa hayali şirket üzerinden sattığı öne sürülmüştü. Kurye aracılığıyla alıcının ayağına kadar ulaştırılan CD içerisindeki bir klasörde her 3 operatöre ait tüm faturalı ve faturasız numaralar blok halinde yer alırken, ikinci klasörde Vodafone abonelerine ait telefon numarasıyla beraber yaşadığı şehir, adresi, yaşı, ilgi alanları gibi tüm kişisel bilgiler bulunuyor.
Devlet, KEY ödemelerinde özel bilgileri çarşaf çarşaf yayımlamıştı
Özel şirketlerle beraber devletin de kişisel bilgilerin korunması konusunda zafiyet içinde olduğu gözleniyor. Kimin Konut Edinme Yardımı (KEY) alacağını duyurmak için devlet 2009’da, vatandaşın devletteki kaydını 11 cilt halinde Resmî Gazete’de çarşaf çarşaf yayımlamıştı. KEY ödemeleri listesinde 8,5 milyon kişinin TC kimlik numarası ve sosyal güvenlik numaraları da bulunuyor.
Yasa tasarısı ne getiriyor?
Kişilerin ırk, siyasî düşünce, din veya diğer inançları; ayrıca sağlık, gizli hayatlarına ilişkin kişisel verileri koruyabilecek şirketler bilgi toplama yetkisine sahip olacak.
Kişisel verilerin toplanması sırasında ilgili kişilere, verilerin hangi amaçla işleme tâbi tutulacağı, kimlere aktarılacağı, kişisel verileri öğrenme ve gerekiyorsa bunları düzeltme hakkına sahip olduğu hususlarında bilgi verilecek.
Bilgileri başka bir veri kütüğü sisteminden edinmek isteyen 3. tarafların, ilgili kişiye bilgi vermesi gerekiyor. Eğer ilgili kişi itiraz ederse bilgiler paylaşılamayacak.
Herkes, makul aralıklarla, veri kütüğü sistemi sahibine başvurarak kendisiyle ilgili kişisel veri kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları istemek hakkına sahip olacak.
Bu talep karşısında veri kütüğü sistemi sahibi, sistemindeki ilgili kişiye ait tüm bilgileri, işleme tâbi tutulan tüm verilerini bildirmek zorunda.
İşleme tâbi tutulan kişisel verilerin niteliği itibarıyla eksik olması veya gerçeğe uygun olmaması hâlinde, ilgili kişi, bunların düzeltilmesini, hukuka aykırı olması hâlinde silinmesini, yok edilmesini veya dondurulmasını isteme hakkına sahip olacak.
Tasarının kanunlaşması halinde kişisel verilerle ilgili görevleri yapmak üzere Kişisel Verileri Koruma Kurumu kurulacak. Tüzel ve özel kişiler, kişisel verileriyle ilgili problemler için bizzat bu kuruma başvurabilecek.
Kurum kendisi veya 3. kişilerin başvurusu üzerine kişilik haklarının ihlâline yol açan kişisel veri işleme yöntemlerinin kullanılıp kullanılmadığı, sicile kaydedilmesi zorunlu veri kütüğü sistemleri bulunup bulunmadığı, verinin yabancı ülkelere aktarılıp aktarılamayacağı konularını açıklığa kavuşturmak için inceleme yapacak.
Tüm veri kütüğü sistemi sahipleri, başkanlığın istemi üzerine gerekli bilgi ve belgeleri vermekle yükümlü olacak.
Bilgileri başka bir veri kütüğü sisteminden edinmek isteyen 3. tarafların, ilgili kişiye bilgi vermesi gerekiyor. Eğer ilgili kişi itiraz ederse bilgiler paylaşılamayacak.
Herkes, makul aralıklarla, veri kütüğü sistemi sahibine başvurarak kendisiyle ilgili kişisel veri kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları istemek hakkına sahip olacak.
Bu talep karşısında veri kütüğü sistemi sahibi, sistemindeki ilgili kişiye ait tüm bilgileri, işleme tâbi tutulan tüm verilerini bildirmek zorunda.
İşleme tâbi tutulan kişisel verilerin niteliği itibarıyla eksik olması veya gerçeğe uygun olmaması hâlinde, ilgili kişi, bunların düzeltilmesini, hukuka aykırı olması hâlinde silinmesini, yok edilmesini veya dondurulmasını isteme hakkına sahip olacak.
Tasarının kanunlaşması halinde kişisel verilerle ilgili görevleri yapmak üzere Kişisel Verileri Koruma Kurumu kurulacak. Tüzel ve özel kişiler, kişisel verileriyle ilgili problemler için bizzat bu kuruma başvurabilecek.
Kurum kendisi veya 3. kişilerin başvurusu üzerine kişilik haklarının ihlâline yol açan kişisel veri işleme yöntemlerinin kullanılıp kullanılmadığı, sicile kaydedilmesi zorunlu veri kütüğü sistemleri bulunup bulunmadığı, verinin yabancı ülkelere aktarılıp aktarılamayacağı konularını açıklığa kavuşturmak için inceleme yapacak.
Tüm veri kütüğü sistemi sahipleri, başkanlığın istemi üzerine gerekli bilgi ve belgeleri vermekle yükümlü olacak.