Yemeksepeti Korsanları Cezalandırılabilir mi?

Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ kabahatini düzenlemektedir. Bilgisayar korsanları, Yemeksepeti’nin datalarına erişim sağlayarak onlara ilişkin bilişim sistemlerine giriş sağlamıştır. Bu hatanın cezası ‘bir yıla kadar mahpus yahut isimli para cezasıdır. Bu aksiyon gerçekleştirilirken Yemeksepeti’ne ilişkin bilişim sistemlerinde bilgilerin yok olması yahut değiştirilmesi üzere bir aksiyon de gerçekleştirilmişse ilgili unsurun ikinci fıkrasında düzenlenen hata gerçekleşmiş olmakla bu sefer ‘altı aydan iki yıla kadar mahpus cezası’ ile karşı karşıya kalınacaktır.

Bilgisayar Korsanları ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soy isim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin bilgilerin olduğunu, bilgilerin Kasım ayı itibariyle aktüel bilgiler olduğunu tez ediyorlar. Bu bilgisayar korsanlığı sonucu elde edildiği tez olunan bilgiler ile internette paylaşılan 20 bin bireye ilişkin bilgiler de göz önüne alındığında ayrıyeten TCK’nın 134. hususunda düzenlenen “özel hayatın kapalılığını ihlal” hatası, TCK’nın 135. unsurunda düzenlenen “kişisel bilgilerin kaydedilmesi” hatası, TCK’nın 136. hususunda düzenlenen “verileri hukuka karşıt olarak verme yahut ele geçirme” cürümlerinin da gerçekleşmiş olma ihtimali de yüksektir. Bu türlü bir durumda yürürlükteki ceza kanunumuzda düzenlenen zincirleme kabahat ve fikri içtima hususları kapsamında her bir kabahatten başka ayrı ceza vermek yahut tek bir cürümden ceza verip bu cezayı artırma durumları da sِöz konusu olabilir.

Başlamadan evvel mevzuyu tüm ayrıntıları ile açıkladığımız şu görüntüyü izlemenizi tavsiye ederiz:

Bu bilgilerin sızdırılmasında Yemeksepeti’nin sorumluluğu var mı?

Yemeksepeti örneğine benzeri biçimde siber taarruza uğrayan bilgi sorumlularının yükümlülükleri 6698 Sayılı Ferdî Bilgilerin Korunması Kanununda (KVKK) düzenlenmektedir. Şahsî dataların güvenliğini müdafaa yükümlülüğü KVKK’nın 12. hususunda düzenlenmiştir. İlgili unsura nazaran gerçek yahut hükmî kişi bilgi sorumluluları ferdî bilgilere hukuka alışılmamış olarak erişilmesini önlemek, şahsî dataların korumasını sağlamak hedefleriyle bünyelerinde uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almak zorundadır.

Sızdırılan bilgiler sebebiyle Yemeksepeti hangi yaptırımlarla karşı karşıya kalabilir ?

Kişisel Bilgileri Müdafaa Şurası, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen Yemeksepeti’nin birinci siber saldırısının akabinde data ihlali gerekçesiyle 29 Mart 2021’de de inceleme başlatmıştı. Lakin bilgisayar korsanları tarafından Yemeksepeti’nden fidye talep edildiği, bunun yerine getirilmediği için 20 bin kullanıcının ferdî bilgilerinin paylaşıldığı tarafındaki haberler üzerine heyet 29/11/2021 tarihinde yaptığı açıklama ile re’sen soruşturma başlattığını duyurdu.

Kurul tarafından yapılacak inceleme sonucu argümanların gerçek çıkması halinde KVKK’nın 18. unsuru uyarınca bilgi sorumlusu olarak KVKK’nın 12. hususunda yer alan uygun güvenlik seviyesini temin etmeyi ihlalinden dolayı 2021 yılı için 29.503 ₺ ile 1.966.862 ₺ ortasında bir ceza ile karşı karşıya kalacaktır. Şahsî Bilgileri Muhafaza Kurulu’nun daha evvel Facebook için vermiş olduğu ceza dikkate alındığında şahsî dataların büyüklüğü ve etkilenen insan sayısının fazlalığı konuları da dikkate alındığında inceleme sonucu şayet savlar hakikat çıkarsa verilebilecek azamî ceza üst hudut olan 1.966.862 ₺ olabilecektir. Ayrıyeten Yemeksepeti tarafından yapılan “herhangi bir data hırsızlığının tespit edilemediği” tarafındaki açıklaması da dikkate alındığında inceleme sonucunda şayet bilgi hırsızlığına ait tespitlere varılırsa KVKK’nın 12. hususunun 5. fıkrasında yer alan bilgi ihlalini en kısa müddette kuruma bildirim yükümlülüğünü yerine getirmemesinden ötürü farklı bir ceza daha verilebilecektir.

Sızdırılan Datalar Nasıl Kullanılabilir?

Bilgisayar korsanları tarafından ele geçirilen bilgilerin öncelikli kullanım alanı reklam ve pazarlama faaliyetlerinde gerçekleştiriliyor. Lakin sızdırılan bilgi kategorilerini ele aldığımızda bireyler ismine düzmece kimlikler oluşturulup kredi çekilme, şirket kurma, telefon çizgisi alma ve ziyanlı yazılımlar ile şantaj üzere hareketlerle karşı karşıya kalınması ihtimali mümkün.

Son devirlerde sıklıkla artan dolandırıcılık faaliyetlerine de bu datalar kullanılabilecektir. Son olarak tekrar son devirde ortaya çıkan şahısların, kapıda ödemeli kargoyu teslim almadığından dolayı borcu olduğunu sav eden dolandırıcılık faaliyetlerinde de tekrar bu sızdırılan bilgiler kullanılabilecektir. Bu sebeple şahısların dikkatli olması gerekmektedir.

Yemeksepeti data ihlalinden etkilenen şahıslar hangi türel yollara başvurabilir? Öncelikle dataları işlenen bireyler 6698 sayılı Şahsî Bilgilerin Korunması Kanunu 11. unsuru kapsamında data sorumlusuna yani bilgilerinizi işleyen gerçek yahut hukuksal bireye müracaat hakkı bulunmaktadır. Bireyler bilgi sorumlusuna başvurarak şu soruları yahut talepleri yöneltebileceltir:

• Kişisel bilgilerin işlenip işlenmediğini, hangi dataların, ne formda, ne hedefle işlendiğini, ferdî bilgilerin gayeye uygun kullanılıp kullanılmadığını sorma
• Kişisel bilgilerin kimlere aktarıldığını, bu bilgiler üzerinde değişiklik yapılması ve aktarılan şahıslara değişikliğin bildirilmesi
• Kişisel bilgilerin silinmesi, yok edilmesi, bu durumun dataların aktarıldığı bireylere bildirilmesi
• Veri işlemenin kişi için olumsuz bir sonuç doğurduğu durumlara itiraz etme
• Kişisel dataların hukuka muhalif olarak işlenmesi – tasarrufta bulunulması halinde zararın giderilmesi

Bu soru yahut taleplerle bilgi sorumlusuna fiyatsız olarak başvurulabilir. Data sorumlusunun kendisine gelen başvuruyu yanıtlandırmak için 30 günlük mühleti bulunmaktadır. En geç 30 günün sonunda bilgi sorumlusu başvuruyu yanıtlandırır yahut karşılıksız bırakabilir. Şayet cevapsız bırakırsa bu sefer müracaatçının Ferdî Bilgilerin Korunması Konseyine şikayet hakkı doğmaktadır. Bilgi sorumlusunun verdiği cevap bir formda başvurucuyu tatmin etmezse tekrar Heyete müracaat hakkı bulunmaktadır. Fakat Yemeksepeti data ihlalinde şura tarafından re’sen soruşturma başlatıldığı için bu etapta aslında konsey tarafından devam eden bir inceleme süreci bulunmaktadır.

Diğer bir yol ise genel mahkemelerde tazminat yoludur. Şahsî Dataları Müdafaa Kurulunun 16/01/2020 tarihli 2020/41 karar numaralı kararında da vurguladığı üzere şahıslar; ferdî bilgilerinin ihlalinden ötürü ziyana uğradığı ve buna yönelik bir tazminat talebi kelam mevzusuysa, KVKK’nın 14’üncü hususunun (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel kararlara nazaran tazminat hakkı gizlidir.” kararı çerçevesinde, tazminat taleplerini genel mahkemeler huzurunda kullanabilecektir. Yani dataları ihlal edilen bireyler bu ihlal sonucu kişi, uğradığı maddi ve manevi ziyanına yönelik olarak genel mahkemelerde tazminat davası açabilecektir.