Türk Ceza Kanunu (TCK) 243. maddesi 'bilişim sistemine girme' suçunu düzenlemektedir. Bilgisayar korsanları, Yemeksepeti'nin verilerine erişim sağlayarak onlara ait bilişim sistemlerine giriş sağlamıştır. Bu suçun cezası 'bir yıla kadar hapis veya adlî para cezasıdır. Bu eylem gerçekleştirilirken Yemeksepeti’ne ait bilişim sistemlerinde verilerin yok olması veya değiştirilmesi gibi bir eylem de gerçekleştirilmişse ilgili maddenin ikinci fıkrasında düzenlenen suç gerçekleşmiş olmakla bu sefer 'altı aydan iki yıla kadar hapis cezası' ile karşı karşıya kalınacaktır.
Bilgisayar Korsanları ellerinde 20 milyonun üzerinde kullanıcıya ait isim, soy isim, telefon numarası, açık adres, adres tarifi ve kredi kartlarının ilk ve son dört hanelerine ait bilgilerin olduğunu, verilerin Kasım ayı itibariyle güncel veriler olduğunu iddia ediyorlar. Bu bilgisayar korsanlığı sonucu elde edildiği iddia olunan veriler ile internette paylaşılan 20 bin kişiye ait veriler de göz önüne alındığında ayrıca TCK'nın 134. maddesinde düzenlenen "özel hayatın gizliliğini ihlal" suçu, TCK'nın 135. maddesinde düzenlenen "kişisel verilerin kaydedilmesi" suçu, TCK'nın 136. maddesinde düzenlenen "verileri hukuka aykırı olarak verme veya ele geçirme" suçlarının da gerçekleşmiş olma ihtimali de yüksektir. Böyle bir durumda yürürlükteki ceza kanunumuzda düzenlenen zincirleme suç ve fikri içtima maddeleri kapsamında her bir suçtan ayrı ayrı ceza vermek veya tek bir suçtan ceza verip bu cezayı artırma durumları da sِöz konusu olabilir.
Başlamadan önce konuyu tüm detayları ile açıkladığımız şu videoyu izlemenizi tavsiye ederiz:
Bu verilerin sızdırılmasında Yemeksepeti’nin sorumluluğu var mı?
Yemeksepeti örneğine benzer şekilde siber saldırıya uğrayan veri sorumlularının yükümlülükleri 6698 Sayılı Kişisel Verilerin Korunması Kanununda (KVKK) düzenlenmektedir. Kişisel verilerin güvenliğini koruma yükümlülüğü KVKK’nın 12. maddesinde düzenlenmiştir. İlgili maddeye göre gerçek veya tüzel kişi veri sorumluluları kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla bünyelerinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Sızdırılan veriler sebebiyle Yemeksepeti hangi yaptırımlarla karşı karşıya kalabilir ?
Kişisel Verileri Koruma Kurulu, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen Yemeksepeti’nin ilk siber saldırısının ardından veri ihlali gerekçesiyle 29 Mart 2021'de de inceleme başlatmıştı. Ancak bilgisayar korsanları tarafından Yemeksepeti'nden fidye talep edildiği, bunun yerine getirilmediği için 20 bin kullanıcının kişisel verilerinin paylaşıldığı yönündeki haberler üzerine kurul 29/11/2021 tarihinde yaptığı açıklama ile re’sen soruşturma başlattığını duyurdu.
Kurul tarafından yapılacak inceleme sonucu iddiaların doğru çıkması halinde KVKK’nın 18. maddesi uyarınca veri sorumlusu olarak KVKK’nın 12. maddesinde yer alan uygun güvenlik düzeyini temin etmeyi ihlalinden ötürü 2021 yılı için 29.503 ₺ ile 1.966.862 ₺ arasında bir ceza ile karşı karşıya kalacaktır. Kişisel Verileri Koruma Kurulu’nun daha önce Facebook için vermiş olduğu ceza dikkate alındığında kişisel verilerin büyüklüğü ve etkilenen insan sayısının fazlalığı hususları da dikkate alındığında inceleme sonucu eğer iddialar doğru çıkarsa verilebilecek maksimum ceza üst sınır olan 1.966.862 ₺ olabilecektir. Ayrıca Yemeksepeti tarafından yapılan "herhangi bir veri hırsızlığının tespit edilemediği" yönündeki açıklaması da dikkate alındığında inceleme sonucunda eğer veri hırsızlığına ilişkin tespitlere varılırsa KVKK’nın 12. maddesinin 5. fıkrasında yer alan veri ihlalini en kısa sürede kuruma bildirim yükümlülüğünü yerine getirmemesinden dolayı ayrı bir ceza daha verilebilecektir.
Sızdırılan Veriler Nasıl Kullanılabilir?
Bilgisayar korsanları tarafından ele geçirilen verilerin öncelikli kullanım alanı reklam ve pazarlama faaliyetlerinde gerçekleştiriliyor. Ancak sızdırılan veri kategorilerini ele aldığımızda kişiler adına sahte kimlikler oluşturulup kredi çekilme, şirket kurma, telefon hattı alma ve zararlı yazılımlar ile şantaj gibi eylemlerle karşı karşıya kalınması ihtimali mümkün.
Son dönemlerde sıklıkla artan dolandırıcılık faaliyetlerine de bu veriler kullanılabilecektir. Son olarak yine son dönemde ortaya çıkan kişilerin, kapıda ödemeli kargoyu teslim almadığından dolayı borcu olduğunu iddia eden dolandırıcılık faaliyetlerinde de yine bu sızdırılan veriler kullanılabilecektir. Bu sebeple kişilerin dikkatli olması gerekmektedir.
Yemeksepeti veri ihlalinden etkilenen kişiler hangi hukuki yollara başvurabilir? Öncelikle verileri işlenen kişiler 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. maddesi kapsamında veri sorumlusuna yani verilerinizi işleyen gerçek veya tüzel kişiye başvuru hakkı bulunmaktadır. Kişiler veri sorumlusuna başvurarak şu soruları veya talepleri yöneltebileceltir:
- Kişisel verilerin işlenip işlenmediğini, hangi verilerin, ne şekilde, ne amaçla işlendiğini, kişisel verilerin amaca uygun kullanılıp kullanılmadığını sorma
- Kişisel verilerin kimlere aktarıldığını, bu veriler üzerinde değişiklik yapılması ve aktarılan kişilere değişikliğin bildirilmesi
- Kişisel verilerin silinmesi, yok edilmesi, bu durumun verilerin aktarıldığı kişilere bildirilmesi
- Veri işlemenin kişi için olumsuz bir sonuç doğurduğu durumlara itiraz etme
- Kişisel verilerin hukuka aykırı olarak işlenmesi – tasarrufta bulunulması halinde zararın giderilmesi
Bu soru veya taleplerle veri sorumlusuna ücretsiz olarak başvurulabilir. Veri sorumlusunun kendisine gelen başvuruyu cevaplandırmak için 30 günlük süresi bulunmaktadır. En geç 30 günün sonunda veri sorumlusu başvuruyu yanıtlandırır veya yanıtsız bırakabilir. Eğer yanıtsız bırakırsa bu sefer başvurucunun Kişisel Verilerin Korunması Kuruluna şikayet hakkı doğmaktadır. Veri sorumlusunun verdiği yanıt bir şekilde başvurucuyu tatmin etmezse yine Kurula başvuru hakkı bulunmaktadır. Ancak Yemeksepeti veri ihlalinde kurul tarafından re’sen soruşturma başlatıldığı için bu aşamada zaten kurul tarafından devam eden bir inceleme süreci bulunmaktadır.
Diğer bir yol ise genel mahkemelerde tazminat yoludur. Kişisel Verileri Koruma Kurulunun 16/01/2020 tarihli 2020/41 karar numaralı kararında da vurguladığı üzere kişiler; kişisel verilerinin ihlalinden dolayı zarara uğradığı ve buna yönelik bir tazminat talebi söz konusuysa, KVKK’nın 14’üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, tazminat taleplerini genel mahkemeler huzurunda kullanabilecektir. Yani verileri ihlal edilen kişiler bu ihlal sonucu kişi, uğradığı maddi ve manevi zararına yönelik olarak genel mahkemelerde tazminat davası açabilecektir.
