Polislerin Kadıköy’de darp ettiği Rana Batı, Yurtiçi Kargo çalışanı olduğunu iddia eden bir şahıs tarafından adresi ve telefon numarası ifşa edilmekle tehdit edildi.

Kadıköy'de maske takmadığı gerekçe gösterilerek polis şiddetine maruz kalan Rana Batı, Instagram adı kelvinoficall0 olan bir kullanıcı tarafından adresinin yayılması ile tehdit ediliyor. pic.twitter.com/SxcI4ROX0E

— Demir Leblebi????️‍???? (@leblebi_demir) August 22, 2020

Tehdit üzerine sosyal medyada Yurtiçi Kargo’ya tepki yağdı. Tepkiler üzerine firmadan açıklama geldi. Firmanın açıklamasında, çalışanların sistem üzerinden müşterilerin kişisel bilgilerine erişemediği yalnızca dağıtım sırasında adres bilgilerinin ilgili personele gösterildiği öne sürüldü.

Hackleme mi sızıntı mı?

T24 yazarı Füsun Sarp Nebil, olayı bugünkü köşesine taşıdı. Olayın hackleme mi yoksa sızıntı mı olduğunu sorgulayan Nebil, Yurtiçi Kargo’nun Twitter üzerinden yaptığı açıklamasının altına gelen bir yoruma da dikkat çekti.

Yorumda, eski bir Yurtiçi Kargo çalışanı olduğunu ileri süren bir kişi şu ifadeleri kullandı:

Firmanızda çalıştım. Sıradan bir kargo görevlisi isim soyisim ile istediği bilgiye erişebiliyor çünkü operasyonu kolaylaştırmak adına tüm bilgileri kayıt altına alıyorsunuz. Ayrıca ilgili ekrandaki program sizin KOPS programınız. Hiç öyle erişilemez falan demeyin.

Nebil, yazısında kişisel verilerin korunmasıyla ilgili bir zaafiyet olduğunu ileri sürerek “Bu sadece Rana Batı ile ilgili değil. Sonuçta bu kargo/kurye şirketleri milyonlarca insanın adresini ve kişisel verilerini bünyesinde saklıyor” ifadelerini kullandı.

Bu olayla birlikte, kargo firmalarının ellerindeki bilgileri nasıl korudukları sorusunun ortaya çıktığını ifade eden Nebil bu konuda uzman bir avukat olan Mehmet Ali Köksal’la konuştu.

Köksal’ın açıklamaları şöyle:

Hesabın hacklenmesi olayı TCK öncelikle TCK 243'teki suçu oluşturur. Yani ilgili kişi öncelikle daha ileri gitmediyse TCK 243 (1) de düzenlenen "Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir. (1)" hükmünü ihlal etmiştir

Ayrıca sosyal medyada paylaşılan görüntülerden yola çıkarak ilgili kişinin ayrıca hesaptan paylaşım yaptığı anlaşılmaktadır. Bu nedenle de TCK 243/3'teki "(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmünün uygulanması gerekir."

Ancak, burada kişi sadece sisteme girdiği için verileri değiştirmemiş, sisteme girmiş ve kasti bir davranışla verileri değiştirmiştir. Bu nedenle de artık suç TCK 243'teki suç değil, TCK 244'deki "verileri değiştirme" suçu işlenmiş olacaktır.

Bu nedenle olayda TCK 244/2'deki "(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır" hükmünün uygulanması ve 6 aydan 3 yıla kadar hapis cezasının söz konusu olması gerekir.

Şantaj suçu ise TCK 107'de düzenlenmiştir ve düzenleme aşağıdaki gibidir:

(1) Hakkı olan veya yükümlü olduğu bir şeyi yapacağından veya yapmayacağından bahisle, bir kimseyi kanuna aykırı veya yükümlü olmadığı bir şeyi yapmaya veya yapmamaya ya da haksız çıkar sağlamaya zorlayan kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır. (2) (Ek: 29/6/2005 – 5377/14 md.) Kendisine veya başkasına yarar sağlamak maksadıyla bir kişinin şeref veya saygınlığına zarar verecek nitelikteki hususların açıklanacağı veya isnat edileceği tehdidinde bulunulması halinde de birinci fıkraya göre cezaya hükmolunur."

Bu nedenle burada uygulanması gereken madde TCK 244/4. fıkrasıdır.

(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

"Cezanın iki yıldan az olmaması gerekir"

Yani bu durumda artık kişinin cezası 2 yıldan az olmaması gerekir. Yani kişi hem şantaj, hem de veriye müdahale suçunu işlemiştir.

Bu nedenle de durumda uygulanacak madde 244/4'tür. Firmanın sorumluluğu öncelikle bu veriler kişisel veri olduğu için 6698 sy. KVKK'ya dayanmaktadır

Yani, firma isterse kusuru olmasın, veri sorumlusu olarak (Aslında gerekli teknik ve idari tedbirleri almadığı için kusuru söz konusudur) ilgili kişinin zararından sorumludur.

Bu nedenle Rana Hanım Yurtiçi Kargo'ya dava açtığında ve/veya onu KVKK'ya şikayet ettiğinde ciddi bir yaptırım söz konusu olacaktır.

"Yurtiçi Kargo'nun IT ekibinden bir kişi veya şube yetkilisi de olabilir"

Burada ilginç bir şey söyleyeyim. Şu anda kişinin hacker olup olmadığı, bu bilgiyi hangi yöntemle elde ettiği bilgileri elimizde yok. Bu nedenle değerlendirmemiz hatalı bir sonuç verebilir. Kişi örneğin Yurtiçi Kargo'nun IT ekibinden bir kişi veya şube yetkilisi olabilir.

Kurum da sorumludur

Bu durumda örneğin şube yetkilisi ise bu veriye erişmesi makul olabilir. Ancak, burada kişi Kurumun politikalarının dışına çıkmıştır. Kurumda da bunu engelleyecek teknoloji ve alarmlar yoktur. Bu nedenle kişi suç işlemiştir. Kurum'da adam çalıştıranın sorumluluğu gereği olaydan hukuki olarak sorumludur.

Ayrıca 6698 sy. Kanun kapsamında idari para cezası yaptırımı kaçınılmazdır.

Ancak, kişi tamamen hacklemiş olsa bile, bu durumda Kurum yine aynı mevzuat gereği sorumludur. Sadece kusuru daha az olduğu için miktarın tayininde olayın özelliklerine göre davranılması gerekmektedir

Yani netice olarak kişinin Rana'nın hesabını hacklemesi olayı sadece kişiyi ilgilendiren bir suçtur. Ancak, bu suçun oluşması yani hesabın hacklenmesi için kargo firmasındaki bilgilerden yararlanılmışsa burada da Kargo şirketinin üzerine gidilebilecektir.

YAZININ TAMAMI İÇİN TIKLAYIN