Geçtiğimiz haftalarda kullanıcılarının kişisel bilgileri çalınan YemekSepeti'ne verilecek cezanın kişi başına 8 kuruş olması ve kredi kartı bilgileri hakkında çelişki yaratan açıklamalar uzmanların tepkisini çekti. Hızla dijitalleşen dünyada kişisel verilerin korunması daha önemli hale gelirken, ilgili yasalardaki önlemlerin yetersizliği Türkiye’de de tartışma konusu.
Son dönemde Yemeksepeti’nin ardından Clubhouse ve Linkedin de kendilerinde bulunan bazı kişisel verilerin çalındığını açıklarken bu kapsamda Kişisel Verileri Koruma Kurumu’ndan (KVKK) Yemeksepeti’ne en üst limitten ceza verileceği belirtildi.
İnternet üzerinden yemek siparişi verilmesi fikriyle 2001 yılında kurulan ve milyonlarca kullanıcıya hizmet veren Yemeksepeti ile ilgili Cumhuriyet gazetesinden Alican Polat'ın haberine göre; bugün için mevzuattaki üst limit ise 1.9 milyon TL. Bu şirketle ilgili yasal süreç devam ederken diğer iki şirketle ilgili KVKK’ye herhangi bir bildirimde bulunulmadığı öğrenildi.
BTK DEVRE DIŞIYemeksepeti olayını değerlendiren İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Hasan Selçuk Turan, şu noktaya dikkat çekti:
“21.5 milyon kişinin verisinin çalındığı göz önüne alınınca, en üst limitten bu cezanın anlamı kişi başına 8 kuruş ceza ödenmesidir. Ama bu şirketin uygulaması zaten sizin tek bir siparişinizde bunun katbekat fazlasını kazanıyor. Yani verilerinizi 20-30 kere daha çaldırsa dahi tek bir siparişinizde bu cezayı karşılamış olur. Ceza yönetmeliğinde değişiklik yapılmalı. ABD’de ceza, global cironun yüzde 4’ü olarak uygulanıyor, bu çok daha caydırıcı olur.”
Bilgi Teknolojileri Kurumu’nun (BTK) da ceza keseceği haberlerini değerlendiren Turan, “BTK’nin devreye gireceğini sanmıyorum. KVKK devreye girer. Ayrıca Yemeksepeti zamanında bildirimde bulunduğu için başka bir maddeden ceza kesemez” diye konuştu.
AÇIKLAMA ÇELİŞKİLİEge Üniversitesi Ağ Güvenliği Yöneticisi Vedat Fetah da sitelerin açıklamalarında kredi kartı bilgilerinin sistemde tutulmadığı ve dolayısıyla çalınmadığı vurgusuna değinerek şu yorumu yaptı: “Bu uygulamaları telefonunuzdan silip tekrar yüklediğinizde daha önce kaydettiğiniz kredi kartlarınızın olduğu gibi kayıtlı durduğunu görürsünüz. Açıklamalarda bir tutarsızlık var. Ayrıca bu tür çalınan veriler genelde karanlık ağlarda paylaşılır. Ancak bugün internette hiçbir yerde yok, karşımıza çıkmadı. Bu da veri hırsızlığı açıklamasını şaibeli bir duruma düşürüyor.”
‘AĞI, AVUKATLAR BİLE KULLANIYOR’
Siber güvenlik uzmanlığı da yapan Vedat Fetah, çalınan verilerin “darkweb” denilen ağlarda çok ucuza satıldığını aktararak bu ağların tehlikesini şöyle anlattı:
“Bu verilerin karanlık ağlardaki satış fiyatından ziyade dolandırıcılık yöntemleri için kullanılması daha tehlikeli. Örneğin sizin isim soyisim, kimlik numaranız, ev adresiniz ve telefon numaranız ellerindeyse sizin adınıza kredi başvurusu dahi yapabilirler. Geçen günlerde yakın bir arkadaşımın başına geldi bu durum ve arkadaşım kredi başvurusu için vezneye giden şahsın kendisi olmadığını ispatlamak zorunda kaldı. Ayrıca bu verilerin bazı avukatlar tarafından icra davalarında daha hızlı ve kolay yoldan ihtarnameler çekmek için de kullanıldığına defalarca şahit olduk. Çünkü bu işi yapan avukatlar, veri setlerindeki kişisel bilgileri kullanarak kişilerin yasal adreslerinden ziyade direkt olarak kullandıkları adreslere ve telefon numaralarına erişebiliyorlar.”
Kaynak: Cumhuriyet
