Hukukçular rapor ile devletin bu konudaki zafiyetinin ortaya çıktığını, gerekli yasal düzenlemenin yapılmamasından doğan mağduriyetlerden devletin sorumlu olacağını belirtiyor.

Devlet Denetleme Kurulu’nun (DDK), ‘Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi’ başlıklı raporu, kişisel bilgilere kolayca erişilebildiğini ve saklama sisteminin suistimale ne kadar açık olduğunu ortaya koydu. Rapora göre GSM operatörlerinde 68 milyon kişinin verileri var. Bankalar kanuna rağmen kimlik fotokopisi almaya devam ediyor. 50 milyon seçmenin kütük kayıtları partilere gönderiliyor ve paylaşımını engelleyen bir mekanizma yok. Seçmen kayıtları internete düştü, satılabilen bilgi haline geldi. Bünyesinde hassas veriler bulunan bir kamu kurumundaki güvenlik testinde 500 bilgisayar 1 saatte ele geçirildi. Denetimler sonunda, kamu kurumlarındaki pek çok kişisel ve hassas verinin CD, DVD, taşınabilir bellek ile çevrim dışı paylaşıldığı görüldü. Raporda kişisel verilerin korunması hakkının 2010 referandumuyla anayasal güvence altına alındığı fakat gerekli kanunların bir türlü çıkarılamadığına dikkat çekiliyor. Hukukçular, kişisel bilgilerin gerektiği gibi korunmamasıyla devletin hizmet kusuru işlediğini söyledi. Bilişim hukukçusu Şerafettin Ekinci, “Kamu kurumları yetkisinde olmayan verileri depolayamaz, yayamaz veya yok edemez.” dedi. Avukat Mustafa Tırtır, dünyadaki ağır müeyyidelerin altını çizdi, “Ülkemizde yasal boşluk sebebiyle kişisel veriler tam olarak korunmuyor.” ifadesini kullandı. Bilişim hukukçusu Avukat Serhat Koç ise tasarının yasalaşması önündeki en büyük engelin, bazı devlet kurumlarının istisna talep etmesi olduğunu vurguladı.

Bilişim hukukçuları, bilgilerin açık halde olmasıyla devletin hizmet kusuru işlediğini vurguladı. Gerekli yasal düzenlemenin yapılmaması nedeniyle hukuki boşluklardan doğacak mağduriyetlerden devletin sorumlu olacağını belirtiyor. İşte hukukçuların görüşleri:

İstanbul Barosu Avukatı Mustafa Tırtır: “Kişisel veriler, dünya ülkelerinde bilhassa ABD’de ağır kurallar ve müeyyidelerle korunmaktadır. Kişisel verilerin korunmasında özen göstermeyen, ihmali olan kamu görevlileri hakkında TCK’nın 257. maddesinde düzenlenen görevi ihmal/kötüye kullanma suçu oluşacaktır. Kişisel verileri hukuka aykırı olarak başkasına veren kişi TCK’nın 136. maddesine göre 1 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. Bu kişinin kamu görevlisi olması halinde TCK’nın 137. maddesi uyarınca ceza yarı oranda artırılır. TCK’daki bilişim sistemine hukuka aykırı erişim sağlanarak kişisel verilerin ele geçirilmesi ile ilgili yasada bir boşluk bulunmaktadır. Kişisel veriler, mevzuatımızda yer alan hükümlerle tam olarak korunmuyor.”

Bilişim hukukçusu Avukat Şerafettin Ekinci: “Nüfus verilerini tutmak sadece Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne ait bir yetkidir. Diğer kamu kurumları kendi yetkisinde olmayan verileri depolayamaz, yayamaz veya bu verileri yok edemez. Aksi davranış, hukuka aykırıdır. Verileri toplayan kamu kurumları ise bu verileri gizli tutmak zorundadır. Zayıf bir şifre kullanılarak dijital verilerin saklanması ya da zayıf, kırılabilecek kilitler kullanarak fiziki verilerin saklanması durumunda gerekli tedbir alınmamış demektir. Gerekli tedbirleri almaksızın verilerin yayılmasına, başkaları tarafından ele geçirilmesine neden olan kamu kurumu hizmet kusuru işlemiş sayılır ve bu nedenle zarar görenlere tazminat ödemek zorundadır.”

Bilişim hukukçusu Avukat Serhat Koç: “Kişisel verilerin korunmasına yönelik kanun tasarısı yaklaşık 10 yıldır yasalaşmayı bekliyor. Maalesef devlet olarak vatandaşın bilgilerini korumakta bir zafiyet içerisinde olduğumuz, DDK raporuyla tespit edilmiştir. Kişisel verilerin korunmasına yönelik hazırlanan kanun tasarısının yasalaşması önündeki en büyük engel, devlet kurumlarının istisna almak istemesiyle ortaya çıkıyor. Mesela Jandarma Genel Komutanlığı, İçişleri Bakanlığı veya Milli İstihbarat Teşkilatı gibi kurumların kişisel verilere ulaşmakta istisna talep etmesi, planlı ve yüksek güvenlikli bir kişisel veri koruma kanununa sahip olamıyoruz.”

5809 sayılı Elektronik Haberles¸me Kanunu’nun 56. maddesi ve Elektronik Haberles¸me Sekto¨ru¨nde Tu¨ketici Hakları Yo¨netmeligˆi’nin 15. maddesi uyarınca, abonelik so¨zles¸mesinin yanında T.C. kimlik numarası ile kimlik belgesinin bir suretinin abonelik so¨zles¸mesi ile muhafaza edilmesi zorunludur. Tu¨rkiye’de Haziran 2013 itibariyle mobil abone sayısının 68.025.878 oldugˆu du¨s¸u¨nu¨ldu¨gˆu¨nde, 9 yas¸ u¨zeri nu¨fusun o¨nemli bir kısmının kimlik fotokopilerinin, degˆis¸ik abonelikler nedeniyle GSM operato¨rlerinde bulundugˆu anlas¸ılmaktadır. 

Kimlik Paylas¸ımı Sistemi Yo¨netmeligˆi’nin 11. maddesinin 3. fıkrasında; “Kimlik Paylas¸ımı Sistemi c¸erc¸evesinde kimlik bilgisine eris¸ebilen kamu kurum ve kurulus¸larınca ve 5411sayılı Bankacılık Kanunu c¸erc¸evesinde faaliyette bulunan bankalarca kis¸ilerden ayrıca nu¨fus cu¨zdanı o¨rnegˆi veya kimlik bilgilerine ilis¸kin bas¸kaca bir belge istenemez.” du¨zenlemesine ve Ocak 2013 itibariyle Kimlik Paylas¸ım Sistemine online eris¸ebilen kamu kurumu ve o¨zel kurulus¸ sayısının 2.478 olmasına ragˆmen, pek c¸ok is¸lemde kis¸ilerin kimlik fotokopisinin alınması uygulamasına devam edilmektedir.

Sec¸imlerin Temel Hu¨ku¨mleri ve Sec¸men Ku¨tu¨kleri Hakkında Kanun’da yer alan du¨zenleme kapsamında her sec¸im do¨neminde, Nu¨fus ve Vatandas¸lık I·s¸leri Genel Mu¨du¨rlu¨gˆu¨, sec¸men niteligˆine sahip olan 18 yas¸ ve u¨zerindeki kis¸ilerin nu¨fus ve adres bilgilerini Yu¨ksek Sec¸im Kurulu ile paylas¸makta, talep etmeleri halinde de Yu¨ksek Sec¸im Kurulu so¨z konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylas¸maktadır. Dolayısıyla sec¸men niteligˆine sahip 50 milyonun u¨zerindeki vatandas¸ın, adı, soyadı, ana ve baba adı, dogˆum yılı, dogˆum yeri, adres bilgisi sec¸imlere girme yeterliligˆini tas¸ıyan onlarca partiyle paylas¸ılmaktadır. Paylas¸ılan elektronik ortamdaki verilerin c¸ogˆaltılmasını ve bas¸kalarıyla paylas¸ılmasını engelleyecek hic¸bir mekanizma o¨ngo¨ru¨lmemis¸tir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken o¨nlemler konusunda da herhangi bir belirleme yapılmamıs¸tır. Adli makamlara da intikal etmis¸ olan bazı olaylarda 18 yas¸ ve u¨zerindeki kis¸ilerin T.C. kimlik numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imka^n veren yazılımların u¨retildigˆi ve satıldıgˆı bilgisi, bu tu¨r uygulamaların dogˆurabilecegˆi sonuc¸lar ac¸ısından dikkat c¸ekicidir.

Sec¸men listesi bilgilerinin bir siyasi partinin internet sitesi u¨zerinden ve mobil uygulamalarla sorgulanabildigˆine ilis¸kin bir o¨rnekle de kars¸ılas¸ılmıs¸tır. So¨z konusu sorgulamalar T.C. kimlik numarası ve bir adet dogˆrulama kriteri (baba adı) ile yapılmakta, kis¸ilerin il, ilc¸e ve mahalle bilgisi ile bulundugˆu binadaki sec¸men niteligˆine sahip kis¸ilerin listesine ulas¸ılabilmektedir. 

Bu¨nyesinde hassas kis¸isel veriler bulunan bir kamu kurumundaki gu¨venlik testi sonucunda, yama eksigˆinden dolayı kuruma ait 500 sunucunun bir saat gibi kısa bir su¨rede ele gec¸irilebildigˆinin go¨ru¨lmesi, kurumların yama politika ve su¨rec¸lerine vermeleri gereken o¨neme is¸aret etmektedir.

Denetim c¸alıs¸maları sırasında kamu kurumlarının sahip oldukları pek c¸ok kis¸isel ve hassas veriyi CD, DVD, tas¸ınabilir bellek gibi tas¸ınabilir elektronik ortamlar kullanarak c¸evrimdıs¸ı paylas¸tıkları go¨ru¨lmu¨s¸tu¨r. C¸evrimic¸i veri paylas¸ımında sorgu kayıtları aracılıgˆı ile kontrol imka^nı bulunmasına ragˆmen, c¸evrimdıs¸ı paylas¸ılan veriler u¨zerinde herhangi bir kontrol imka^nı da kalmadıgˆından, bu verilerin paylas¸ımına ilis¸kin gerekli gu¨venlik o¨nlemlerinin alınması bu¨yu¨k o¨nem tas¸ımaktadır. Buna ragˆmen, bazı o¨rneklerde milyonlarca kis¸inin kimlik ve adres bilgisinin bulundugˆu bilgilerin s¸ifrelenmeden, kopyalanmaya kars¸ı herhangi bir gu¨venlik o¨nlemi alınmadan CD ortamında iletildigˆi; so¨z konusu verilerin ilgili kurumda hangi gu¨venlik o¨nlemleri alınarak muhafaza edilecegˆi ve kullanılabilecegˆi, c¸ogˆaltılıp c¸ogˆaltılamayacagˆı, so¨z konusu bilgilere olan ihtiyacın ortadan kalkması durumunda tas¸ınabilir elektronik ortamın ne s¸ekilde imha edilecegˆi gibi hic¸bir gu¨venlik hususunun belirlenmedigˆi tespit edilmis¸tir.