2019

Bilişim Hukuku – Mart 2019

İnternet Bağımlılığı Mevzuatta Kendine Yer Buldu

Sağlık Bakanlığı Madde Bağımlılığı Tedavi Merkezleri Yönetmeliği’ni yeniledi. 29/12/2013 tarihli ve 28866 sayılı Resmî Gazete’ de yayımlanan Madde Bağımlılığı Tedavi Merkezleri Yönetmeliği yürürlükten kaldırıldı. İnternet ve teknoloji bağımlılığının da mevzuata girmesini öngören Madde Bağımlılığı Danışma, Arındırma ve Rehabilitasyon Merkezleri hakkında yönetmelik 10/03/2019 tarihli ve 30710 sayılı Resmi Gazete’de yayımlandı.

Bu yönetmeliğe göre değişiklik şu hususları kapsamaktadır;

  • Bakanlık bünyesinde bir Bağımlılık Bilim Komisyonu kurulacak.
  • Bireyin bağımlılıkla tedavi sonrasında sosyal hayatına dönebilmesi ve yeniden bağımlılıkla karşılaşmaması için Bahar Modeli yaygınlaştırılacak.

İşbu komisyonun görevleri yönetmelikte belirtildiği üzere şunlardır;

(1) Komisyonun görevleri şunlardır:

a) Bağımlılıkla ilgili güncel gelişmeleri izleyerek Bakanlıkça belirlenecek ulusal stratejiler konusunda görüş bildirmek,

b) Bağımlılık tedavi usulleri ile ilgili tanı ve tedavi protokollerinin oluşturulması, gerektiğinde güncellenmesi konusunda görüş bildirmek ve merkezlerde uygulanacak tedavi programlarının bilimsel gerçekliği ve kanıta dayalı olup olmadığı hakkında görüş bildirmek,

c) Bakanlığın talebi üzerine merkezlerin yıllık faaliyetlerini değerlendirmek, gerektiğinde merkezleri yerinde incelemek ve alınması gereken tedbirler konusunda görüş bildirmek,

ç) Bağımlılık konusunda eğitim verecek merkezlerin kriterleri ve eğitimin kapsamı konusunda görüş vermek,

d) Bağımlılığın önlenmesi ve maddeye olan taleple mücadele çalışmaları kapsamında görüş bildirmek,

e) Bakanlıkça belirlenecek bağımlılıkla ilgili diğer konularda görüş bildirmek.

ING Bank, Çoğunluğu Kendi Müşterisi Olmayan 20 Bine Yakın Kişinin Kişisel VERİLERİNİ Sızdırdı

Kişisel Verileri Koruma Kurumu’nun uyarısı sonrası banka tarafından yapılan sorgulamalar sonucunda “1.172 adet gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, ilave olarak KRM raporlarında yer alan tüzel kişilikleri oluşturan gerçek kişilere ilişkin bilgiler kontrol edildiğinde toplam 19.055 adet gerçek kişinin TCKN ve isim bilgilerinin banka dışına aktarıldığının anlaşıldığı” belirtildi.

Kurumun veri ihlali açıklamasında da yazıldığı üzere sızıntıya konu veriler;

  • Bankalar nezdindeki kredi limiti
  • Risk ve teminatlarına ilişkin rakamsal bilgileri
  • Firmanın kuruluş tarihi
  • Çalışan sayısı
  • Geçmiş döneme ilişkin ciro bilgisi
  • Telefon ve adresi
  • Firma sahibinin ortaklarının isimleri
  • Ortaklık payları ve ortakların T.C. kimlik numaraları
  • İhale yasağına ilişkin notlar
  • Firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler
  • Firma sahibi ve ortaklarının firma ile ilişki durumu
  • Firma kredi skorları

Kurumun söz konusu ihlale ilişkin duyurusu şöyle;

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12.maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan ING Bank A.Ş (ING Bank) tarafından Kurumumuza gönderilen 21.01.2019 tarihli yazıda özetle;

  • Türkiye Bankalar Birliği (TBB) tarafından Risk Merkezi nezdinde bilgi güvenliğine yönelik yapılan çalışmalarda, bir ING Bank çalışanının yapmış olduğu sorguların şüpheli olduğunun tespit edildiği ve bu işlemlerin olası bir veri sızıntısına yol açıp açmadığının belirlenmesi amacıyla ilgili Banka nezdinde denetim ekiplerince soruşturma yapılması gerektiğinin 19.10.2018 tarihinde ING Bank A.Ş. Genel Müdürlüğüne tebliğ edildiği,
  • Bu doğrultuda ING Bank Teftiş Kurulu tarafından veri ihlaline sebep olan şahsa tahsis edilen Banka cihazlarına el konularak mevcut ve silinen e-postaları ile ilgili cihazlar üzerinden gerçekleştirdiği her tür işleme yönelik inceleme/soruşturma çalışması başlatıldığı,
  • Soruşturma safhasında veri ihlaline sebep olan şahsın şüpheli beyanları ve cihazlarında yapılan incelemeler kapsamında oluşan ön bulgularda 5411 sayılı Bankacılık Kanunu’nun Müşteri Sırrının ifşasına yönelik hükümleri çerçevesinde veri sızıntısı teşkil edebilecek unsurlar bulunduğuna yönelik kuvvetli emareler tespit edildiği,
  • Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği,
  • Bu kapsamda toplanan ve incelenebilen Banka sistem logları, tanık beyanları ve sair deliller ışığında yapılan değerlendirmeler sonucu veri sızıntısına sebep olan şahsın dışında Banka bünyesinde yapılan geniş kapsamlı incelemelerde bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunduğuna yönelik şüpheli başka bir durum olmadığı sonucuna ulaşıldığı,
  • Veri sızıntısına sebep olan şahsın 2018 yılı içinde birçok kez Türkiye Bankalar Birliği Risk Merkezi sistemleri üzerinden usulsüz şekilde, çoğunluğu ING Bank müşterisi olmayan bir kısım şirketlere ait dışarıdan temin ettiği düşünülen T.C. kimlik numarası (TCKN) ve vergi kimlik numarası (VKN) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına çıkarttığı,
  • ING Bank tarafından gerçekleştirilen inceleme, soruşturma çalışmaları ve yapılan değerlendirmeler neticesinde şu ana kadar ulaşılan bilgiler ışığında şirketlere ait sorgu yapılmış olmasına rağmen gerçek kişi tacir (şahıs firması) bilgilerinin de sorgularda yer aldığının tespit edildiği,
  • Bilgilerine ulaşılan gerçek kişi tacirlerin ve tüzel kişi tacirlerin büyük çoğunluğunun banka müşterisi olmadığından dolayı söz konusu TCKN ve VKN verilerinin dışarıdan temin edilmiş olduğu sonucuna varıldığı,
  • ING Bank A.Ş. müşterisi olan az sayıda şirketin VKN’lerinin de dışarıdan gelen listelerden alındığının tahmin edildiği,
  • Şahsın bireysel kredibilite bilgisine bakabilen bireysel nitelikli kredi kayıtlarına değil, gerçek kişi tacir ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtlarına ulaştığı,
  • KRM sorgulama özet raporunda (KRM + çek rapor sorgusunun seçilmesi durumunda), sorgu yapılan firmaya ilişkin olarak; Bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorları bilgilerine ulaşılabildiği,
  • 1.172 adet gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, ilave olarak KRM raporlarında yer alan tüzel kişilikleri oluşturan gerçek kişilere ilişkin bilgiler kontrol edildiğinde toplam 19.055 adet gerçek kişinin TCKN ve isim bilgilerinin banka dışına aktarıldığının anlaşıldığı,
  • İNG Bank A.Ş tarafından kontrolü mümkün alanlara yönelik olarak denetim, tespit ve farkındalık arttırıcı unsurların değerlendirme altına alınarak, yetki denetimini devre dışında bırakmak için kullanılan yöntemin engellendiği,
  • Eski personelin hukuka aykırı edimleri dâhilinde veri güvenliği ihlali gerçekleştiğine dair bu durumdan etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usulü ve içeriğine ilişkin olarak çalışmanın TBB Risk Merkezi ile koordineli şekilde başlatıldığı bilgilerine yer verilmiştir.

Bu kapsamda, Kişisel Verileri Koruma Kurulunun 01.03.2019 tarih ve 2019/43 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Anayasa Mahkemesi’nden Kişisel Verilerin Korunması Kapsamında Güvenlik Soruşturması İle İlgili Düzenlemelere İlişkin Karar

Başvurucu, kanunen verilmemesi gereken kişisel verinin idari makamlara açıklanması ve güvenlik soruşturmasına esas alınması nedeniyle özel hayata saygı hakkının ihlal edildiği iddiasıyla Mahkeme’ye başvurmuştur.

Karara konu olay, 2009 yılında Adalet Bakanlığı tarafından sözleşmeli infaz ve koruma memuru alımı için yapılan sınava girip kazanan bir adayın güvenlik soruşturması sırasında, 18 yaşından küçük ve hukuken “çocuk” sayıldığı bir dönemde “hırsızlık” suçlamasıyla hakkında cezai işlem yapıldığının tespit ve ilgili mahkeme kararının Bakanlığa iletilmesi sonrasında istihdamın engellenmesine dairdir.

Mahkeme, kararında 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’na atıfta bulunmuştur. Buna göre 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişilerin ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri “özel nitelikli kişisel veri” olarak kabul edilmiştir. 

24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ‘özel nitelikli kişisel verilerin işlenme şartları’ kenar başlıklı 6. Maddesinin ilgili kısmı şöyledir:

‘(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, … ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmadan işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir…’

Mahkeme, ihlal kararında Anayasa’nın 20. Maddesinde güvence altına alınan özel hayata saygı hakkının ihlal edildiğine ilişkin iddiayı kabul edilebilir bulmuştur.

(Fatih Saraman, B. No:2014/7256,27/2/2019, § …)

İzel Erol
Marmara Üniversitesi Hukuk Fakültesi Öğrencisi

Yorum yap