06 Mart 2019
Kişisel verilerin korunması son 40 yıldır dünyanın gündeminde. AB önce 1981’de Elektronik Veri İşleme Güvenliği diye bir sözleşme yayınladı, 1995’de bunu Kişisel Veriler Çerçevesine çevirdi, 2016’da ise GDPR adıyla bilinen bir düzenleme yayınladı. Bunu niçin söylüyorum; kişisel verilerin önemini anlatmak için.
Ülkemizde ise, kişisel veriler için AB’nin 1981’deki sözleşmesine imza konulduğu halde, kanun ancak 2016’da çıkarıldı [1]. Kanunda yer alan Kişisel Verileri Koruma Kurumu (KVKK) da 2017'de göreve başladı [2]. Kurum uzunca bir süre yönetmelikler ve organizasyon ile uğraştıktan, bir yandan da eğitim seminerlerine katıldıktan sonra, kısa bir süre önce "Veri Sızıntıları"nı beklendiği gibi şeffaf bir şekilde kamuya duyurmaya başladı [3].
Çünkü "demokrasi" diyorsak ve kendimizle ilgili ne olup bittiğini öğrenmek istiyorsak, “Kişisel Verilerimizin” kendilerine verdiğimiz kurumlar tarafından korunması en tabi hakkımız. Haklarımıza sahip çıkmamız lazım.
KVKK’nın kurulması ile birlikte yıllardan bu yana kulağımıza gelen “örneğin; GİMA’dan kredi kart verileri çalınmış” gibi söylentiler yerine, ne olup bittiği yasal yollardan öğrenmeye başladık. Bu da çok önemli bir gelişme.
Ancak geçtiğimiz cuma yapılan bir duyuruya baktığımızda, sürecin pek de düzgün işlemediği düşüncesine vardık. Olayın her bölümündeki tarafların gecikmeli işlem yaptığını görüyoruz. Bu yazıda, firmaların ticari sırları kapsamındaki finansal bilgilerinin ortalıkta dolaştığını anlatacağız.
Bu yazıyı yazmamıza neden olan olayı kısaca özetlersek, ING Bank'ın bir çalışanı --şöyle ya da böyle-- yetkisini aşarak, Türkiye Bankalar Birliği'nin (TBB) risk merkezi veritabanına ulaşıyor [4]. Burası üyeleri arasında Bankalar, Faktoring, Finansal Kiralama, Finansman, Varlık Yönetim şirketleri vs olan bir merkez ve çek, senet, kredi alan, veren şirketlerin ve insanların kaydı bulunuyor.
Banka çalışanı bu merkezden, kendi bankasının müşterisi olan, olmayan çok sayıda şahıs firmasının ve kişinin bilgilerini alıyor ve dışarıya çıkarıyor. TBB veri tabanındaki sorgulamaları 19 Ekim’de farkına varıyor, bankaya bilgi veriyor. Banka o günden ocak ayına kadar soruşturma yapıyor. İlgili kişinin de her şeyine el konuluyor. Ama Kişisel Veriler Koruma Kurulu'na 21 Ocak’ta "veri sızıntısı" bilgisi veriliyor.
Kişisel Verileri Koruma Kurulu olaydan 3 gün sonra, veri sızıntılarının bildirilmesi için "72 saat" kuralı koyuyor ama kamuya açıklama, o günden 1 ay sonra oluyor. Bu arada ING Bank'ın bildiriminden anladığımız kadarı ile KVKK’ya bilgi verildiğinde henüz verileri sızan kişi ve firmaların uyarılmadığını görüyoruz. Diğer yandan bu bildirimi acaba ING Bank yerine TBB Risk Merkezi mi yapmalıydı?
Ama olaya dair 2 temel soru daha önemli;
Bu soruların cevapları hassas. Avukat Gökhan Candoğan bunların günümüze ya da ekonomiye etkisini henüz bilemediğimizi ama gidişatı etkileyecek düzeyde olduğunu söylüyor.
Konuyu Kişisel Verileri Koruma Kuruluna, Türkiye Bankalar Birliğine ve ING Bank'a soracağız. Ama önce anlamaya çalıştık. Bunu da yapılan açıklama konusunda Avukat Gökhan Candoğan ile tartışarak yapmaya çalıştık. Tartışmanın daha detaylı ve Candoğan’ın ifadeleriyle nasıl söylendiğini görmek isterseniz, ilgili röportaja aşağıdaki linkten ulaşabilirsiniz [5].
Ortaya çıkan bulgu ve düşünceler şöyle:
Bu arada, haberi okuyup; “Oooo bu yeni haber değil. Bu veriler uzun zamandır piyasada var” diyebilirsiniz. Konu da bu zaten.
Bu tür verilerin yani bir firmanın özellikle mali durumu ile ilgili bilgilerin, bazen ortaklık ya da sözleşme yapacağı, ya da ihaleye gireceği, büyük bir kredi alacağı zaman, “yeterlilik” nedeniyle raporlanması gerekebilir. Bunu da 3’üncü parti denilen firmalar yapar ama yine FİRMANIN KENDİSİNİN İZNİ ile. Mesela DUN&BradStreet denilen firma [7] bu tür bir firmadır. İş, sözleşme vs yapacağınız firma adına sizi arar ve bilgilerinizi ister.
Ama dediğimiz gibi, bunlar ortalığa saçılmaz ve ancak firmanın kendi izni çerçevesinde sunulabilir. Çünkü bunlar o firmanın TİCARİ SIR’rıdır.
Ama ülkemizde bu bilgilerin uzun zamandır piyasada alınıp, satıldığını belirtelim. ING olayı çerçevesinde konuştuğum bir bilişim sektörü firması sahibi bana bu bilgilerin zaten piyasada çoktandır dolaştığını, alınıp, satıldığını söyledi ve bir anektod anlattı. Kendilerinin bir bankacıya yardımcı olmak için aldıkları 1 günlük hatır kredisi nedeniyle, ertesi gün diğer bir firmadan arandıklarını ve diğer firma yetkilisinin “zor durumda mısınız?” İfadesiyle karşılaştıklarını söyledi. Yani bu bilgiler birileri tarafından sızdırılıyor.
Burada olduğu gibi kişisel veri ile ticari sır/müşteri bilgisi kavramları, ayırması güç bir şekilde iç içe geçmiş" durumlar da oluyor.
Peki bu durum normal mi?
Hayır değil. TCK 239 çerçevesinde firmaların rakipleri tarafından öğrenilmesi halinde zarar görme ihtimali bulunan ve üçüncü kişilere ve kamuya açıklanmaması gereken, işletme ve şirketin ekonomik hayattaki başarı ve verimliliği için büyük önemi bulunan; iç kuruluş yapısı ve organizasyonu, malî, iktisadî, kredi ve nakit durumu, araştırma ve geliştirme çalışmaları, faaliyet stratejisi, hammadde kaynakları, imalatının teknik özellikleri, fiyatlandırma politikaları, pazarlama taktikleri ve masrafları, pazar payları, toptancı ve perakendeci müşteri potansiyeli ve ağları, izne tâbi veya tâbi olmayan sözleşme bağlantılarına ilişkin veya bu gibi bilgi ve belgelerin TİCARİ SIR kapsamında açıklanmaması gerekir.
Ama en başta “POS Tefecileri” olarak bilinen insanlar, bir şekilde temerrüde düşmüş kişilerin bilgilerini elde ediyor. Sonra bilgilerini aldıkları kişi ve firmalara tekliflerde bulunuyorlar. Bu da olayın diğer bir acayip yönü. Yani TİCARİ SIR denilen bu bilgiler ortalıkta vaka-i-adiye kapsamında ve herkes alışmış.
Erol Mütercimler bugün Sputnik Radyo’da Ceyda Karan’la konuşurken, “Ayı Avı” diye bir olay anlattı. Mütercimler, postu kıymetli olduğu için ayının vurulmadığını, onun yerine bir tuzak açılıp, içine kazıklar konulduğunu ve ayının oraya çekildiğini, düştüğünde de kazıkların açtığı yaralardan kanının akıp boşaldığını anlattı. Böylece postu zarar görmüyormuş.
Aynen böyle olmuş durumda. Her şeyin içi boşalıyor, kıymetsiz hale geliyor.
Ticari hayatımızdaki bu boşluğu ING Bank-TBB Risk Merkezi olayı ile görmüş olalım ve bir an önce düzeltilmesini sağlayalım.
[1] 6698 Sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU
[2] Kişisel Verileri Koruma Kurulu (KVKK) Yargıtay’da Yemin Ederek Göreve Başladı
[3] Kişisel Verileri Koruma Kurumu, Veri Sızıntılarını Duyuruyor
Kripto para piyasası neden düştü? Dalgalanmalara katkıda bulunan temel faktörler arasında, ABD'deki faiz oranlarındaki artış, Trump'ın yüzde 25'lik gümrük tarifesi duyuruları, Bybit'e yapılan büyük kripto saldırısı, memecoin'lerin hızlı düşüşü gibi nedenler var
Dr. Kazım Beceren: Bu zamana kadar yaşadığımız sürece baktığımızda denetimde başarısız olduğumuza göre farklı bir yönteme başvurmalıyız. Bunun için gelişmiş ülkelerin modellerini inceleyip bizim ülkemizin şartlarına uygun bir yapının kurulması elzemdir. Yani oturup yeniden keşif yapmaya ihtiyaç yok
Grönland’ın kendisi madencilik gelirlerini geliştirerek Danimarka'nın yıllık 600 milyon dolarlık sübvansiyonuna olan bağımlılığı azaltmayı hedefliyor. Başbakan Mute Egede, Grönland'ın kendi şartlarının önemli olduğunu belirtiyor, "ABD ile iş yapmamız gerekiyor, ancak Grönland satılık değil" diyor
© Tüm hakları saklıdır.