Kişisel verilerin korunması son 40 yıldır dünyanın gündeminde. AB önce 1981’de Elektronik Veri İşleme Güvenliği diye bir sözleşme yayınladı, 1995’de bunu Kişisel Veriler Çerçevesine çevirdi, 2016’da ise GDPR adıyla bilinen bir düzenleme yayınladı. Bunu niçin söylüyorum; kişisel verilerin önemini anlatmak için.

Ülkemizde ise, kişisel veriler için AB’nin 1981’deki sözleşmesine imza konulduğu halde, kanun ancak 2016’da çıkarıldı [1]. Kanunda yer alan Kişisel Verileri Koruma Kurumu (KVKK) da 2017'de göreve başladı [2]. Kurum uzunca bir süre yönetmelikler ve organizasyon ile uğraştıktan, bir yandan da eğitim seminerlerine katıldıktan sonra, kısa bir süre önce "Veri Sızıntıları"nı beklendiği gibi şeffaf bir şekilde kamuya duyurmaya başladı [3].

Çünkü "demokrasi" diyorsak ve kendimizle ilgili ne olup bittiğini öğrenmek istiyorsak, “Kişisel Verilerimizin” kendilerine verdiğimiz kurumlar tarafından korunması en tabi hakkımız. Haklarımıza sahip çıkmamız lazım.

KVKK’nın kurulması ile birlikte yıllardan bu yana kulağımıza gelen “örneğin; GİMA’dan kredi kart verileri çalınmış” gibi söylentiler yerine, ne olup bittiği yasal yollardan öğrenmeye başladık. Bu da çok önemli bir gelişme.

KVKK'ya 3 ay sonra bilgi verildi ve ilgili firma/kişileri hâlâ uyarılmadı mı?

Ancak geçtiğimiz cuma yapılan bir duyuruya baktığımızda, sürecin pek de düzgün işlemediği düşüncesine vardık. Olayın her bölümündeki tarafların gecikmeli işlem yaptığını görüyoruz. Bu yazıda, firmaların ticari sırları kapsamındaki finansal bilgilerinin ortalıkta dolaştığını anlatacağız.

Bu yazıyı yazmamıza neden olan olayı kısaca özetlersek, ING Bank'ın bir çalışanı --şöyle ya da böyle-- yetkisini aşarak, Türkiye Bankalar Birliği'nin (TBB) risk merkezi veritabanına ulaşıyor [4]. Burası üyeleri arasında Bankalar, Faktoring, Finansal Kiralama, Finansman, Varlık Yönetim şirketleri vs olan bir merkez ve çek, senet, kredi alan, veren şirketlerin ve insanların kaydı bulunuyor.

Banka çalışanı bu merkezden, kendi bankasının müşterisi olan, olmayan çok sayıda şahıs firmasının ve kişinin bilgilerini alıyor ve dışarıya çıkarıyor. TBB veri tabanındaki sorgulamaları 19 Ekim’de farkına varıyor, bankaya bilgi veriyor. Banka o günden ocak ayına kadar soruşturma yapıyor. İlgili kişinin de her şeyine el konuluyor. Ama Kişisel Veriler Koruma Kurulu'na 21 Ocak’ta "veri sızıntısı" bilgisi veriliyor.

Kişisel Verileri Koruma Kurulu olaydan 3 gün sonra, veri sızıntılarının bildirilmesi için "72 saat" kuralı koyuyor ama kamuya açıklama, o günden 1 ay sonra oluyor. Bu arada ING Bank'ın bildiriminden anladığımız kadarı ile KVKK’ya bilgi verildiğinde henüz verileri sızan kişi ve firmaların uyarılmadığını görüyoruz. Diğer yandan bu bildirimi acaba ING Bank yerine TBB Risk Merkezi mi yapmalıydı?

Ama olaya dair 2 temel soru daha önemli;

1. Bunu kim yaptı?
2. Bu bilgiler ne iş için kullanılacak?

Av. Gökhan Candoğan: TBB Risk Merkezi veri tabanında tutulan veriler, ekonominin gidişatını bile etkileyecek niteliktedir

Bu soruların cevapları hassas. Avukat Gökhan Candoğan bunların günümüze ya da ekonomiye etkisini henüz bilemediğimizi ama gidişatı etkileyecek düzeyde olduğunu söylüyor.

Konuyu Kişisel Verileri Koruma Kuruluna, Türkiye Bankalar Birliğine ve ING Bank'a soracağız. Ama önce anlamaya çalıştık. Bunu da yapılan açıklama konusunda Avukat Gökhan Candoğan ile tartışarak yapmaya çalıştık. Tartışmanın daha detaylı ve Candoğan’ın ifadeleriyle nasıl söylendiğini görmek isterseniz, ilgili röportaja aşağıdaki linkten ulaşabilirsiniz [5].

Ortaya çıkan bulgu ve düşünceler şöyle:

• - Banka tarafından yapılan soruşturma sonucunda, banka sistemi üzerinde yetkilendirme sistemini devre dışı bırakarak TBB Risk Merkezi web sayfası üzerinden risk merkezi veri tabanına erişim sağlayan personelin, çoğu ING Bank müşterisi olmayan, 1.172 gerçek kişi ticari işletmesine ait her tür veri ile 19.055 gerçek kişiye ait TC kimlik no ve isim bilgilerini sorgu yoluyla elde ettiği, bu verileri elektronik haberleşme yollarıyla Banka dışına çıkardığı tespit edilmiştir.
• - TBB Risk Merkezi’nin amacı [6], müşterilerin kredi, çek ve senet bilgilerini toplamak ve işlemektir. TBB Risk Merkezi veri tabanında bulunan; bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorlarına erişim mümkündür. Anlaşıldığı kadarıyla bu verilerin büyük bir kısmına izinsiz erişim söz konusudur.
• - KVKK’ya bildirimi yapan ING Bank. Ancak, anladığımız kadarıyla izinsiz erişilen yer TBB Risk Merkezi veri tabanı. Yani, burada veri sorumlusu TBB olarak görünüyor. Anılan veri tabanının güvenliğini sağlama yükümlülüğü TBB’ye ait. Bu nedenle, veri ihlali bildiriminin TBB Risk Merkezi tarafından da yapılması gerekirdi.
• - TBB Risk Merkezi üyesi kurumlar arasında, belli aralıklarla ama sürekli olarak isim değiştiren varlık yönetim şirketleri gibi borç/alacak tahsilatı işi ile uğraşanlar da var.
• - Yetkisini aşan banka personelinin bir şekilde iletişim halinde olduğu, bu kişisel verileri hukuk dışı amaçlarla işleyen, bu veri setinden maddi menfaat temin eden kişilerin varlığı açıktır.
• - TBB Risk Merkezi veri tabanında tutulan veriler, ekonominin gidişatını bile etkileyecek niteliktedir. Özellikle ekonomik kriz dönemlerinde, iflas ve konkardato gibi süreçlerin yaşanmakta olduğu bir dönemde, işletmelerin kredi, çek ve senet bilgileri son derece önemli, hassas veriler anlamına gelir.
• - Bu veri sızıntısının kime menfaat sağladığına bakıldığında; Büyük çaplı yasa dışı organizasyonlar, ekonomiye yasal olmayan bir şekilde yön verme niyeti taşıyan ulusal/uluslarası organizasyonlardan sıradan suç örgütleri ile borç/alacak işleri ile uğraşan meslek gruplarına kadar bir dizi olağan şüpheli söz konusu olabilir. Bunu ortaya çıkarmak Banka, TBB veya KVKK’nun değil Cumhuriyet savcılıklarının görevi Ciddi bir soruşturma yürütülerek sorumlular tespit edilmeli ve topluma güven verilmelidir.
• - Son derece hassas bu verilere, bu kadar kolay erişilebiliyor olması düşündürücüdür. Bir bankanın, üstelik yetkisini aşan bir personeli, bir yolla Türkiye ekonomisini etkileyecek düzeyde bir veri setine ulaşabilmektedir.
• - Risk Merkezi üyelerine baktığınızda salt bankalar değil, factoring kuruluşları, borç tahsilatı ile uğraşan varlık yönetim şirketlerine kadar çok sayıda kurumun burada olduğunu görüyorsunuz. Yani, bu kurumların hepsinden belli sayıda kişi veri tabanına yasal erişim hakkına sahip. 
• KVKK 21 Ocak 2019’da gelen bildirimi 40 gün sonra yayımlıyor.
• - ING Bank açıklamasının sonunda “bu durumda etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak.” deniyor. Yani, en azından KVKK’ya bildirimin yapıldığı 21 Ocak 2019 itibariyle en olumsuz şekilde veri ihlaline maruz kalan 1.172 gerçek kişi ticari işletmesine herhangi bir bildirim yapılmamış.
• - Bu işletmeler açısından şöyle bir durum da var; bu kişi/işletmelerin verileri neden sorgulanmış? Hangi tarihte sorgulama yapıldığı çerçevesinde, bu bilgiyi kullanan kişi/kurumlara da erişmek mümkün olabilir. Anılan işletmenin ticari zorluğu olan bir dönem mi? Bir ihaleye mi katılmış? Ne zaman verisinin sorgulanıp dışarı aktarıldığı, suçun failini de işaret edebilir. Ama işletmeler bu durumdan haberdar değilse, bu araştırmayı yapamazsınız. Verileri sızdırılan kişiler, bir yandan savcılıklara şikayette bulunabilir, diğer yandan da uğradıkları zararın tazmini için yasal yollara başvurabilirler.
• - Bu veri ihlali bildirimi, ciddi veri işleme faaliyeti içerisinde olan veri sorumlularının karşı karşıya olduğu riskleri bir kez daha göz önüne sermiştir. Her koşulda KVKK’nun etkin, dinamik, yol gösterici, düzenleyici ve öğretici bir tutum içerisinde olması büyük önem taşımaktadır.
• - Ancak, yargının bu tehditlerin farkında olması da ö Dokuz on yıldır gündemde olan, milyonlarca Türkiye Cumhuriyeti yurttaşının ad/soyad/TC kimlik no/adres bilgileri ulusal ve uluslararası düzeyde herkesin erişimine açılması konusunda, yapılan suç duyurularına rağmen, tek bir sorumlu tespit edilip de yasal işlem yapılmış değil. Hal böyle olunca devletin yurttaşlarına verdiği koruma ve güvenlik sözünü yerine getirdiğinden bahsetmek de zorlaşıyor.

Şirket verilerinin ortalığa nasıl döküldüğü görülüyor

Bu arada, haberi okuyup; “Oooo bu yeni haber değil. Bu veriler uzun zamandır piyasada var” diyebilirsiniz. Konu da bu zaten.

Bu tür verilerin yani bir firmanın özellikle mali durumu ile ilgili bilgilerin, bazen ortaklık ya da sözleşme yapacağı, ya da ihaleye gireceği, büyük bir kredi alacağı zaman, “yeterlilik” nedeniyle raporlanması gerekebilir. Bunu da 3’üncü parti denilen firmalar yapar ama yine FİRMANIN KENDİSİNİN İZNİ ile. Mesela DUN&BradStreet denilen firma [7] bu tür bir firmadır. İş, sözleşme vs yapacağınız firma adına sizi arar ve bilgilerinizi ister.

Ama dediğimiz gibi, bunlar ortalığa saçılmaz ve ancak firmanın kendi izni çerçevesinde sunulabilir. Çünkü bunlar o firmanın TİCARİ SIR’rıdır.

Ama ülkemizde bu bilgilerin uzun zamandır piyasada alınıp, satıldığını belirtelim. ING olayı çerçevesinde konuştuğum bir bilişim sektörü firması sahibi bana bu bilgilerin zaten piyasada çoktandır dolaştığını, alınıp, satıldığını söyledi ve bir anektod anlattı. Kendilerinin bir bankacıya yardımcı olmak için aldıkları 1 günlük hatır kredisi nedeniyle, ertesi gün diğer bir firmadan arandıklarını ve diğer firma yetkilisinin “zor durumda mısınız?” İfadesiyle karşılaştıklarını söyledi. Yani bu bilgiler birileri tarafından sızdırılıyor. 

Burada olduğu gibi kişisel veri ile ticari sır/müşteri bilgisi kavramları, ayırması güç bir şekilde iç içe geçmiş" durumlar da oluyor.

Peki bu durum normal mi?

Hayır değil. TCK 239 çerçevesinde firmaların rakipleri tarafından öğrenilmesi halinde zarar görme ihtimali bulunan ve üçüncü kişilere ve kamuya açıklanmaması gereken, işletme ve şirketin ekonomik hayattaki başarı ve verimliliği için büyük önemi bulunan; iç kuruluş yapısı ve organizasyonu, malî, iktisadî, kredi ve nakit durumu, araştırma ve geliştirme çalışmaları, faaliyet stratejisi, hammadde kaynakları, imalatının teknik özellikleri, fiyatlandırma politikaları, pazarlama taktikleri ve masrafları, pazar payları, toptancı ve perakendeci müşteri potansiyeli ve ağları, izne tâbi veya tâbi olmayan sözleşme bağlantılarına ilişkin veya bu gibi bilgi ve belgelerin TİCARİ SIR kapsamında açıklanmaması gerekir.

Ama en başta “POS Tefecileri” olarak bilinen insanlar, bir şekilde temerrüde düşmüş kişilerin bilgilerini elde ediyor. Sonra bilgilerini aldıkları kişi ve firmalara tekliflerde bulunuyorlar. Bu da olayın diğer bir acayip yönü. Yani TİCARİ SIR denilen bu bilgiler ortalıkta vaka-i-adiye kapsamında ve herkes alışmış.

Erol Mütercimler bugün Sputnik Radyo’da Ceyda Karan’la konuşurken, “Ayı Avı” diye bir olay anlattı. Mütercimler, postu kıymetli olduğu için ayının vurulmadığını, onun yerine bir tuzak açılıp, içine kazıklar konulduğunu ve ayının oraya çekildiğini, düştüğünde de kazıkların açtığı yaralardan kanının akıp boşaldığını anlattı. Böylece postu zarar görmüyormuş.

Aynen böyle olmuş durumda. Her şeyin içi boşalıyor, kıymetsiz hale geliyor.

Ticari hayatımızdaki bu boşluğu ING Bank-TBB Risk Merkezi olayı ile görmüş olalım ve bir an önce düzeltilmesini sağlayalım.

[1] 6698 Sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU

[2] Kişisel Verileri Koruma Kurulu (KVKK) Yargıtay’da Yemin Ederek Göreve Başladı

[3] Kişisel Verileri Koruma Kurumu, Veri Sızıntılarını Duyuruyor

[4] Türkiye Bankalar Birliği, Risk Merkezi

[5] Av.Gökhan Candoğan : Son Veri Sızıntısı Ekonomiyi Etkileyebilecek Nitelikte, Önem Verilip, Araştırılmalı

[6] TBB Risk Merkezi Üyeleri

[7] Start Making Smarter Credit Decisions