Yemeksepeti Korsanları Cezalandırılabilir mi?

Türk Ceza Kanunu (TCK) 243. maddesi ‘bilişim sistemine girme’ suçunu düzenlemektedir. Bilgisayar korsanları, Yemeksepeti’nin verilerine erişim sağlayarak onlara ilişik bilişim sistemlerine giriş elde etmiştir. Bu suçun cezası ‘bir yıla kadar hapis yada adlî para cezasıdır. Bu fiil gerçekleştirilirken Yemeksepeti’ne ilişik bilişim sistemlerinde verilerin yok olması yada değiştirilmesi benzer biçimde bir fiil de gerçekleştirilmişse ilgili maddenin ikinci fıkrasında düzenlenen kabahat gerçekleşmiş olmakla bu sefer ‘altı aydan iki yıla kadar hapis cezası’ ile karşı karşıya kalınacaktır.

Bilgisayar Korsanları ellerinde 20 milyonun üstünde kullanıcıya ilişik isim, soy isim, telefon numarası, açık adres, adres tarifi ve kredi kartlarının ilk ve son dört hanelerine ilişik bilgilerin bulunduğunu, verilerin Kasım ayı itibariyle güncel veriler bulunduğunu iddia ediyorlar. Bu bilgisayar korsanlığı sonucu elde edilmiş olduğu iddia olunan veriler ile internette paylaşılan 20 bin kişiye ilişik veriler de göz önüne alındığında ek olarak TCK’nın 134. maddesinde düzenlenen “hususi yaşamın gizliliğini ihlal” suçu, TCK’nın 135. maddesinde düzenlenen “kişisel verilerin kaydedilmesi” suçu, TCK’nın 136. maddesinde düzenlenen “verileri hukuka aykırı olarak verme yada ele geçirme” suçlarının da gerçekleşmiş olma ihtimali de yüksektir. Bu şekilde bir durumda yürürlükteki ceza kanunumuzda düzenlenen zincirleme kabahat ve fikri içtima maddeleri kapsamında her bir suçtan ayrı ayrı ceza vermek yada tek bir suçtan ceza verip bu cezayı artırma durumları da sِöz mevzusu olabilir.

Başlamadan ilkin mevzuyu tüm bilgileri ile açıkladığımız şu videoyu izlemenizi tavsiye ederiz:

Bu verilerin sızdırılmasında Yemeksepeti’nin sorumluluğu var mı?

Yemeksepeti örneğine benzer şekilde siber saldırıya uğrayan veri sorumlularının yükümlülükleri 6698 Sayılı Kişisel Verilerin Korunması Kanununda (KVKK) düzenlenmektedir. Kişisel verilerin güvenliğini koruma yükümlülüğü KVKK’nın 12. maddesinde düzenlenmiştir. İlgili maddeye nazaran gerçek yada tüzel şahıs veri sorumluluları kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla bünyelerinde uygun güvenlik düzeyini temin etmeye yönelik lüzumlu her türlü teknik ve yönetimsel tedbirleri almak zorundadır. 

Sızdırılan veriler sebebiyle Yemeksepeti hangi yaptırımlarla karşı karşıya kalabilir ?

Kişisel Verileri Koruma Kurulu, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen Yemeksepeti’nin ilk siber saldırısının arkasından veri ihlali sebebi öne sürülerek 29 Mart 2021’de de araştırma başlatmıştı. Sadece bilgisayar korsanları tarafınca Yemeksepeti’nden fidye talep edilmiş olduğu, bunun yerine getirilmediği için 20 bin kullanıcının kişisel verilerinin paylaşılmış olduğu yönündeki haberler üstüne kurul 29/11/2021 tarihinde yapmış olduğu açıklama ile re’sen soruşturma başlattığını duyurdu. 

Kurul tarafınca yapılacak araştırma sonucu iddiaların doğru çıkması halinde KVKK’nın 18. maddesi uyarınca veri sorumlusu olarak KVKK’nın 12. maddesinde yer edinen uygun güvenlik düzeyini temin etmeyi ihlalinden dolayı 2021 yılı için 29.503 ₺ ile 1.966.862 ₺ içinde bir ceza ile karşı karşıya kalacaktır. Kişisel Verileri Koruma Kurulu’nun daha ilkin Facebook için vermiş olduğu ceza dikkate alındığında kişisel verilerin büyüklüğü ve etkilenen insan sayısının fazlalığı hususları da dikkate alındığında araştırma sonucu eğer iddialar doğru çıkarsa verilebilecek maksimum ceza üst sınır olan 1.966.862 ₺ olabilecektir. Ek olarak Yemeksepeti tarafınca meydana getirilen “herhangi bir veri hırsızlığının tespit edilemediği” yönündeki açıklaması da dikkate alındığında araştırma sonucunda eğer veri hırsızlığına ilişkin tespitlere varılırsa KVKK’nın 12. maddesinin 5. fıkrasında yer edinen veri ihlalini en kısa sürede kuruma bildirim yükümlülüğünü yerine getirmemesinden dolayı ayrı bir ceza daha verilebilecektir.

Sızdırılan Veriler Nasıl Kullanılabilir?

Bilgisayar korsanları tarafınca ele geçirilen verilerin öncelikli kullanım alanı reklam ve pazarlama faaliyetlerinde gerçekleştiriliyor. Sadece sızdırılan veri kategorilerini ele aldığımızda kişiler adına düzmece kimlikler oluşturulup kredi çekilme, şirket kurma, telefon hattı alma ve zararı dokunan yazılımlar ile şantaj benzer biçimde eylemlerle karşı karşıya kalınması ihtimali mümkün.

Son dönemlerde çoğunlukla artan dolandırıcılık faaliyetlerine de bu veriler kullanılabilecektir. Son olarak gene son dönemde ortaya çıkan kişilerin, kapıda ödemeli kargoyu teslim almadığından dolayı borcu bulunduğunu iddia eden dolandırıcılık faaliyetlerinde de gene bu sızdırılan veriler kullanılabilecektir. Bu sebeple kişilerin dikkatli olması gerekmektedir.

Yemeksepeti veri ihlalinden etkilenen kişiler hangi hukuki yollara başvurabilir? Ilk olarak verileri işlenen kişiler 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. maddesi kapsamında veri sorumlusuna doğrusu verilerinizi işleyen gerçek yada tüzel kişiye müracaat hakkı bulunmaktadır. Kişiler veri sorumlusuna başvurarak şu soruları yada talepleri yöneltebileceltir:

• Kişisel verilerin işlenip işlenmediğini, hangi verilerin, ne şekilde, ne amaçla işlendiğini, kişisel verilerin amaca uygun kullanılıp kullanılmadığını sorma
• Kişisel verilerin kimlere aktarıldığını, bu veriler üstünde değişim yapılması ve aktarılan kişilere değişikliğin bildirilmesi
• Kişisel verilerin silinmesi, yok edilmesi, bu durumun verilerin aktarıldığı kişilere bildirilmesi
• Veri işlemenin şahıs için negatif bir netice doğurduğu durumlara itiraz etme
• Kişisel verilerin hukuka aykırı olarak işlenmesi – tasarrufta bulunulması halinde zararın giderilmesi

Bu sual yada taleplerle veri sorumlusuna ücretsiz bir şekilde başvurulabilir. Veri sorumlusunun kendisine gelen başvuruyu cevaplandırmak için 30 günlük süresi bulunmaktadır. En geç 30 günün sonunda veri sorumlusu başvuruyu yanıtlandırır yada yanıtsız bırakabilir. Eğer yanıtsız bırakırsa bu sefer başvurucunun Kişisel Verilerin Korunması Kuruluna şikayet hakkı doğmaktadır. Veri sorumlusunun verdiği cevap bir halde başvurucuyu doygunluk etmezse gene Kurula müracaat hakkı bulunmaktadır. Sadece Yemeksepeti veri ihlalinde kurul tarafınca re’sen soruşturma başlatılmış olduğu için bu aşamada aslına bakarsan kurul tarafınca devam eden bir araştırma süreci bulunmaktadır. 

Öteki bir yol ise genel mahkemelerde tazminat yoludur. Kişisel Verileri Koruma Kurulunun 16/01/2020 tarihindeki 2020/41 karar numaralı sonucunda da vurguladığı suretiyle kişiler; kişisel verilerinin ihlalinden dolayı zarara uğramış olduğu ve buna yönelik bir tazminat talebi söz konusuysa, KVKK’nın 14’üncü maddesinin (3) numaralı fıkrasında yer edinen “Kişilik hakları ihlal edilenlerin, genel hükümlere nazaran tazminat hakkı saklıdır.” hükmü çerçevesinde, tazminat taleplerini genel mahkemeler huzurunda kullanabilecektir. Kısaca verileri ihlal edilen kişiler bu ihlal sonucu şahıs, uğramış olduğu maddi ve içsel zararına yönelik olarak genel mahkemelerde tazminat davası açabilecektir.