Dediğimiz gibi boş, antetsiz bir kağıda ve imzasız gelen açıklamaya ve hiç bir Iron Mountain Türkiye'deki kayıt depolama tesisimizde, İBB ve iştiraklerine hizmet vermiyoruz demelerine karşın, İBB'nin alt şirketi olan nokta.İstanbul (İstanbul Dijital Medya Ticaret A.Ş.) firmasının Kişisel Verileri Koruma belgesine bakarsak, orada tersi yazıyor.
1 ay önce "Iron Mountain" isimli firmanın Gebze'deki deposu yandığında, gözler o tarafa çevrildi. Sadece yangın olduğunu yayınladığımız haber bile 7 bin okununca, biz de ilgilendik. Çünkü bu firmanın geçmişinde, çeşitli ülkelerde "şüpheli" olarak yorumlanan yangınlar vardı [1]. Bir hizmetleri için kullandıkları "Güvenli İmha" ifadesi özellikle sosyal medyada ve okuyucularımız arasında espriye neden oldu.
Yangından hemen sonra, tuhaf bir duyum aldık. Ama tek bir duyum üzerine gitmedik. Geçen hafta aynı duyum, farklı bir kaynaktan gelince, bu sefer Iron Mountain'e duyumumuzu sorularımızı ilettik. Çünkü firmanın yangınları hakkındaki şüpheli yorumların yanısıra, 31 mart seçimleri sonrasında İBB eski yönetiminin, verilerin alınmasını mahkeme yoluyla engellemeye çalıştığı görülmüştü [2].
Ekrem İmamoğlu'nun 31 martta 13 bin farkla seçilip, mazbatasını almasının hemen arkasından, verilerin yedeklenmesine karşı "durdurma kararı alan" yani bir anlamda verileri saklamaya çalışan bir İBB eski yönetimi görmüştük. Dolayısıyla duyumlar artık biraz daha mantıklı hale gelmişti. Ancak eldeki bilgiler makul bir şüpheye varmak için henüz yeterli değildi.
İlk olarak İBB'ye başvurduk. Ama AKP'li bürokratların, ketum davrandıkları ve bilgileri vermedikleri görüldü.
Iron Mountain'e sorularımız
Firma hakkındaki duyumumuz, "Iron Mountain'de yanan belgelerin İBB kağıt dökümanları olup, olmadığı" şeklindeydi. Firmaya bunu sorduk. Boş bir word dosyada, antetsiz ve imzasız olarak, şirketin halka ilişkiler ajansından aldığımız cevaplar şu şekilde;
1) İBB dokümanları yandı mı?
Hem Gebze hem de Türkiye’de bulunan diğer hiçbir Iron Mountain kayıt depolama tesisimizin müşterileri arasında İstanbul Büyükşehir Belediyesi (İBB) ve iştirakleri bulunmamaktadır. Bahsi geçen kurum ve kuruluşlara ait hiçbir belge yanmamıştır.
2) Başka hangi firmaların dokümanları yandı?
Müşterilerimizle yaptığımız gizlilik sözleşmelerimiz gereği, firmalar hakkında herhangi bilgi paylaşımında bulunmamaktayız. Anlayışınız için teşekkür ederiz.
İBB alt şirketi "nokta İstanbul", Iron Mountain'den hizmet alıyor
Dediğimiz gibi boş, antetsiz bir kağıda ve imzasız gelen açıklamaya ve hiç bir Iron Mountain Türkiye'deki kayıt depolama tesisimizde, İBB ve iştiraklerine hizmet vermiyoruz demelerine karşın, İBB'nin alt şirketi olan nokta.İstanbul (İstanbul Dijital Medya Ticaret A.Ş.) firmasının Kişisel Verileri Koruma belgesine bakarsak [3], orada şöyle bir ifade yer alıyor;
Kişisel Verilerinizin Saklanması, Yok Edilmesi, Anonimleştirilmesi
Kişisel verileriniz, kişisel verilerin işlenmesi amacı doğrultusunda, işleme amacıyla orantılı bir şekilde saklanmaktadır. Toplanan kişisel verileriniz ICANN kuralları gereği veri tutma, veri muhafaza hizmetleri için anlaşmalı olduğumuz, Iron Mountain ve Domain satışı ile alakalı olarak uzman teknik altyapı sağlayıcı firmamız Afilias nezdinde tutulmaktadır.
Bahsi geçen firmalar; GDPR uyumlu olup verilerin güvenliği had safhada sağlanmaktadır. Kişisel verileriniz, işlenme amacının ve/veya sebebinin ortadan kalkmış olması durumunda ilgili mevzuatın gerektirdiği süre sonuna kadar saklanacaktır. Kişisel verilerinizin işlenme amacı ve sebebi ortadan kalktığında yasalardan kaynaklanan yükümlülüklerimizin temini için gerekli zamanaşımı süreleri tamamlandığında kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir.
Iron Mountain firmasının pr ajansından gelen, "antetsiz ve imzasız belge" zaten (Iron Mountain borsaya açık bir firma olduğu için sorun yaşayabilir) şüphe yaratmıştı. Dolaylı bir şekilde, bir taşeron firma üzerinden ya da başka bir şekilde çalışılıyor mu?
Şimdi İBB alt firması olan nokta.istanbul'un KVKK sayfasındaki bu yazılı ifadeye göre, bize gelen duyumlar doğru mu acaba ? Yani "İBB belgeleri, Iron Mountain'de yanmış olabilir mi?" sorusunu sormadan duramıyoruz.
İstanbul Dijital Medya Ticaret A.Ş. 2011 yılında İstanbul Belediyesi tarafından kurulan bir şirket [4].
Şimdi Iron Mountain'in bu konuyu açıklaması lazım. Ama yetmez, yangınla ilgili de kamuoyunu aydınlatması lazım.
Firma tarafından gerekli önlemler alınmadı mı?
Iron Mountain tarafından bakarsak, kamu kurumları, bankalar, sigorta şirketleri gibi ciddi kurumların müşteri olduğu bir döküman/belge saklama firması. Normalde bu tür firmalarda yangın konusunda çok sıkı tedbirler olmalı. Kuru sistem otomatik yangın söndürme sistemleri, ısı / nem / duman sensörleri, hatta elektrik kontağı olmasın diye lamba yerine doğal güneş ışığı ile aydınlatma vb. "Döküman arşivleme/saklama" konusunda, çok ciddi uluslararası standartlarda tedbirler mevcut. Fiziki koruma tedbirlerinin bile zaafiyete yol açmayacak bir tesis olması gerekli. Yani içeriye giriş çıkışlar üst düzey seviyede kontrollü olmalı, yanıcı / parlayıcı maddelerle giriş yapılmaması sağlanmalı.
Yani burada bu yangın nasıl çıkmış, neden bu kadar önlem devreye girmemiş, nasıl bu kadar büyümüş, hangi şirketler etkilenmiş vb. sorulacak çok soru var. Ayrıca gerek Iron Mountain, gerekse yangına uğrayan müşteri/müşteriler hakkında resmi bir araştırma, soruşturma olup olmadığı konusunda da bir bilgi kamuoyuyla paylaşılmamış.
İşin ilginci, yanan yerin yan tarafındaki firmada bir kaç ay önce yangın çıkmıştı. Firmanın buna bakıp, ek önlem alması, ya da varolan sistemlerini gözden geçirmesi beklenir. Yani bu yangın, ilgilenen kimselerin hepsinde soru işaretleri yaratmış durumda.
Devletin mevzuat eksiği mi var?
Bu tür firmaların devlete ve müşterilerine karşı sorumlulukları var. İşin hukuki, adli ve mali boyutları vb. önemli. Iron Mountain, konuyu "müşteri gizliliği" şeklinde sunuyor ama aslında burada "tam tersine" kamuyu ilgilendiren bir şeyler var. Yani yanan belgeler acaba neler ve hangi firmalara aitti bilinmiyor. Eğer vergi vs gibi konuları ilgilendiriyorsa, bu sadece firmanın ve Iron Mountain'in kendi sorunu olamaz.
Ayrıca hatırlayacaksınız, 11 eylülde New York'da Dünya Ticaret Merkezi gökdelenleri çöktüğünde binlerce belge havada uçuşmuş ve bazı firmalar sırf bu yüzden iş hayatından yok olup gitmişti. Dolayısıyla belge saklamak önemli bir iş. Iron Mountain yangını sonrası, dava açan firma var mı? Ya da Iron Mountain yangın çıkan evraklarla ilgili olarak soruşturma yapıyor mu? Devlet bu konuya yakından bakıyor mu? Bu cevapları bulmak için araştırıyoruz.
Konuyu döküman saklama sektöründen bir uzmana sorduk:
Normal şartlarda belgelerini kendi saklayan yerlerde, su baskını, yangın vb. durumlarda itfaye vb. kurumlar durum tespiti yapıp zabıt tutuyorlar. Bu zabıt sonrası yapılan bir işlem yok. Daha çok sigorta ile ilgili. Burada da benzer bir işlem olacaktır sanırım. Yandı gitti olacak yani. Dolayısıyla bu şekilde belgelerden kurtulmak mümkün.
Elektronik ortamda bir kopyasını saklama zorunluluğu olmadığından, firma ve kurumlar istemedikleri belgelerden kurtulabilir. Üstelik kendi sorumlulukları bile olmadan. Aslında, elektronik ortamda noterlik ile bu kopyalardan belgenin aslını yeniden oluşturmak mümkün olmalı. Aksi durumda şaibeli her türlü firma, kurum vb. istemediği belgelerden kolayca kurtulabiliyor bu ülkede.
Bu konular çok ortada, yoruma ve yönlendirmeye çok açık. Bunu benzer durumda bir şeyleri hasır altı etmek isteyen her türlü firmaya bir hizmet olarak sunuluyor bile olabilir. Evraklarınız itina ile yok edilir hem de resmiyet altında – güzel slogan olurdu.
Döküman yangınında firmanın ve depolama yapan firmanın sorumlulukları
Ülkemizde çok yaygındır, sigortadan para alabilmek için kendi işyerini yakan, yıkan firmalar, kişiler vardır, hep haberi çıkar. Ama sigorta firmaları da ödeme yapmamak için kılı kırk yarar, ciddi çalışan müfettişleri vardır, gerçeği ortaya çıkarır, suçlular da cezalandırılır. Bu olayda çalışan bir sigorta firması var mıdır?
Diğer yandan Iron Mountain gibi firmalar bir nevi AVM gibi hizmet veriyor, bir bölüm kiralanıyor ve evraklar o bölüme müşteri tarafından yerleştiriliyor. Yani "kendi dükkanın var ve sadece kendi bölümünü yaktın", direkt şaibeli ve muhtemel suçlusun. Ama eğer dükkanın bir AVM içinde ise ve AVM yanarsa iş kolay, "genel yangın oldu benimki de yandı" der, geçer. Hem suçu hem de sorumluluğu AVM işletmesine atarsın.
Firmanın müşterilerine karşı sorumlulukları, cezalar vb. devlete karşı yükümlülükleri, tüm taraflar arasındaki hukuk vb. çok nokta var aydınlatılması gereken hususlar.
Iron Mountain yangınları, şüphe nedeniyle tartışılan yangınlar?
Iron Mountain'e ait dünya çapındaki yangınlar arasında bazıları özellikle tartışılan yangınlar. Bunlardan birisi 2014'deki Arjantin yangını. Diğeri İngiltere'deki yangın. Twitter üzerinde ufak bir araştırma, Iron Mountain konusunda benzer çok sayıda "şüphe içeren" tweeti ortaya koyuyor.
https://twitter.com/slashdot/status/431178767805853697
https://twitter.com/NoelMu/status/1138995756092796929
https://twitter.com/BAHeraldcom/status/571671606654840832
https://twitter.com/AdrianBono/status/431134351699357697
[1] Iron Mountain Türkiye Deposu da Yandı
[2] Mahkeme, İBB verilerinin kopyalanması yönündeki kararı durdurdu