Geçtiğimiz günlerde ülkemizde önemli yemek sipariş firmalarından birisi olan Yemek Sepeti hacklendi. Bu firmanın hacklenmesi ile 21,5 milyon kullanıcıya ait veriler çalındı. Yapılan açıklamaya göre çalınan veriler, kullanıcıların adı, adresi, IP bilgileri, e-posta adresleri ve şifrelerinden ibaret. Kişisel Verileri Koruma Kurumu konuyla ilgili inceleme başlattı. Yemek Sepeti ise olaya ilişkin bir açıklama yaptı.
Öncelikle belirtmeliyim ki eğer Yemek Sepeti üyeliğiniz vardıysa ve şifreniz diğer üyeliklerinizdeki şifrelerinizle aynı veya çok benzer şifrelerse bunları değiştirmenizde fayda bulunmakta. Öte yandan, kurumun açıklamasında da göreceğimiz üzere kredi kartı bilgileri noktasında (Mastercard’ın korumasında olması dolayısıyla) herhangi bir veri ihlali olmamış.
Konuya dair kapsamlı bir hukuki yorum yapabilmek için ise henüz çok erken. Çünkü olayda sorumlulukların tespiti teknik incelemeler sonucunda ortaya çıkacak. Ayrıca ifade etmeliyim ki bilişim dünyasında yüzde yüz güvenliğin garantisini hiç kimse veremez. Ancak bu durum veri işleyenlerin sorumluluğunu ortadan kaldıran bir sebep olarak da öne sürülemez. İlerleyen tarihlerde Yemek Sepeti’nin olayda kusurunun ne ölçüde olduğuna ilişkin bilgi sahibi olacağımızı düşünüyorum. Öte yandan bana göre, ilgili firmanın kusuru olmasa dahi kurtuluş kanıtı getirmediği müddetçe sorumluluğunun bulunduğunun kabulü gerekmektedir. (Konuya ilişkin, kanuni düzenlemelerde eksikliklerin bulunduğunu ve bu eksikliklerin giderilmesi gerektiğini de burada ifade etmiş olmak isterim.)
Bu noktada olaya ilişkin hukuki teknik bilgiyi bir kenara bırakıp bu olaydan çıkarmamız gereken bir kaç önemli noktaya temas etmek istiyorum:
Öncelikle bu olay, kişisel verilerimiz noktasında bireysel olarak çeşitli önlemler almamız gerektiğini bizlere hatırlatmalı. Şifrelerimiz, e-postalarımız, girdiğimiz sitelerdeki çerezler sayesinde arama kayıtlarımız ve reklamların kişiselleştirilmesine yardımcı olacak diğer bilgiler, konum bilgilerimiz ve daha pek çok verimiz firmalarca işlenmektedir. Bunun anlamı ise özetle şudur: Yapay zekalar aracılığıyla sosyal ve psikolojik kimliklerimiz ortaya konabilmektedir. Bunun Büyük Veri (Big Data) versiyonu ve yöntemleri ile ise belli kitlelere ait kimlikler de ortaya konabilmektedir. Nitekim Cambridge Analytica Skandalı tam olarak konuyu açıklayan bir örnektir; CA skandalı, insanların Facebook mesajlarının dahi ticaret konusu olabildiğini, verilerimizin politik tercihlerimizi etkilemek için dahi nasıl kullanılabildiğini bizlere göstermiştir.
Bu nedenlerle ülkemizdeki her bir bireyin veri güvenliğinin farkında olması oldukça büyük önem arz etmektedir.
İkinci bir önemli nokta ise ülkemizdeki veri işleyenlerin ve veri sorumlularının yeterli tedbirleri alıp almadığı hususudur. Bu noktada ne yazık ki ülkemizdeki durum çok da iç açıcı değildir. Veri hukuku ve bilişim hukuku ile yakından ilgilenen bir hukukçu olarak, gözlemlediğim kadarıyla sorumluların gerçekten konuya önem vermek yerine yaptırımlardan kaçınabilmek için “tedbirler alması”ciddi bir problemdir. Bu noktada Kişisel Verileri Koruma Kurumu’nun ve BTK’nin yetkileri genişletilerek beyaz şapkalı hackerlar ile sızma testi başta olmak üzere diğer güvenlik testlerini yapmalarının yolunu açmak faydalı olabilir. Öte yandan kurumun denetim yetkisi de genişletilmelidir. Bu iki öneri, kurumun çok yeni olan ve oturmamış yapısı dikkate alındığında henüz erken olsa da veri güvenliği noktasında kaybedecek zamanımızın olmadığı da açıktır. Öte yandan yukarıdaki öneriler uygulandığı zaman devletin de veri ihlalleri ve veri çalınması gibi durumlarda sorumluluğu doğacaktır. Bu da meselenin daha da ciddiye alınmasının etkili bir yoludur.
Haldun BARIŞ, Stajyer Avukat
<avbarishaldun@gmail.com>