Her geçen gün, tanımadığım garip numaralardan aranmaya devam ediyorum. Telefonuma baktığımda cevapsız çağrılar listesi sürekli uzuyor; üstelik bu numaralar yalnızca yerel değil, yabancı ülkelerden gelen aramalar veya 0850'li hatlar, hepsi şüpheli görünüyor. Bu durum, sanki telefonumda bir açık varmış gibi hissettiriyor; hangi birini engellesem, hemen bir başkası devreye giriyor. Aslında hepimiz biliyoruz, kişisel verilerimiz ele geçirildi. Ancak asıl merak konusu, bu bilgilerin kimlere satıldığı ve bu kişilerin veya şirketlerin bu verileri nasıl kullandığı.

Türkiye'de yaşanan kişisel veri hırsızlığı ve yasa dışı satış iddiaları üst üste geldi. Yazıda buna değineceğim. Dün CHP Genel Başkan Yardımcısı Özgür Karabat'ın açıkladığına göre, milyonlarca Türk vatandaşının kimlik numaraları, adresleri ve telefon numaraları gibi kişisel bilgileri, 200 TL (yaklaşık 7 dolar) gibi düşük bir fiyatla çevrimiçi olarak satışa sunuluyor. Bu durum, Türkiye'deki veri güvenliği ve mahremiyetin korunması konularında ciddi endişeleri gün yüzüne çıkardı. Bu platformlar, adı veya kimlik numarası girilerek kişiye dair ayrıntılı bilgilere erişim sağlayan ve 200 TL, 500 TL, 1.200 TL fiyat aralıklarında paketler sunuyor. Bu durum, devletin hassas bilgileri koruma konusundaki yeterliliğiyle ilgili soruları arttırırken, sorumluların istifası ve hukuki hesap verebilirlik taleplerini tetikledi.

Karabat, "Normal bir ülkede, böyle bir ihlal derhal istifalara ve bağımsız yargı soruşturmalarına yol açardı" diyerek konunun ciddiyetine dikkat çekiyor ve İçişleri Bakanlığı'na soruyor – henüz yanıt gelmedi.

Türkiye'deki veri ihlali iddialarının zaman çizelgesi

2016: En Büyük Doğrulanmış Veri İhlali: 2016'da, 50 milyondan fazla Türk vatandaşının kişisel verileri çevrimiçi olarak sızdırıldı. Bu, Türkiye'nin bilinen en büyük veri ihlali olarak kayıtlara geçti. Olayın büyüklüğüne rağmen yanıtlar veri koruma mekanizmalarındaki sistemik eksiklikleri ortaya çıkardı.

2022: e-Nabız Verilerinin Katar'a Satışı İddiası: e-Nabız uygulamasındaki milyonlarca Türk vatandaşının sağlık verilerinin, eski AKP Gençlik Kolları Başkanı Adem Ali Yılmaz ile bağlantılı Bilbest adlı şirket tarafından Katar'a yaklaşık 100 milyon dolara satıldığı iddia edildi. İhbarcı Umut Elmas, bu satışı ortaya çıkardıktan sonra tehdit edildiğini ve görevden alındığını söyledi. Elmas, "e-Nabız projesi, AKP'nin eski gençlik üyesi Adem Ali Yılmaz'a ait TIGA şirketi tarafından Katar'a satıldı. Bu durumu ifşa ettikten sonra tehdit edildim ve işimden oldum" dedi.

2023: Sorgu Paneli Vakası: "Sorgu Paneli" adlı bir web sitesinin, Türk vatandaşlarının adres ve banka bilgileri gibi kişisel ve finansal verilerine erişim sağladığı ortaya çıktı. Bazı kayıtlar ücretsizken, daha hassas verilere erişim için ödeme yapılması gerekiyordu. Medya ve Hukuk Çalışmaları Derneği (MLSA), bu ihlal nedeniyle içişleri bakanlığına dava açtı ancak mahkeme, idari sorumluluk bulunmadığı gerekçesiyle davayı reddetti.

Eylül 2024: 108 Milyon Kaydın Çalındığı İddiası: Free Web Turkey, aralarında ölen vatandaşlar ve yabancı ziyaretçilerin de bulunduğu 108 milyon kişinin kişisel verilerinin çalındığını ve beş Google Drive dosyasında saklandığını iddia etti. Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, COVID-19 pandemisi sırasında bir veri sızıntısını kabul etti ancak mevcut ihlallere dair kanıt olmadığını söyledi. Cumhurbaşkanlığı İletişim Başkanlığı'nın Dezenformasyonla Mücadele Merkezi, iddiaları asılsız olarak nitelendirdi.

Kasım 2024: Karabat'ın Açıklaması: CHP Genel Başkan Yardımcısı Özgür Karabat, vatandaşların kişisel verilerinin 200 TL gibi düşük fiyatlara satıldığı bir pazarı ortaya çıkardı. Yani verilerimiz her yerde.

Şimdi küresel bir perspektiften bakalım, Türkiye diğer ülkelerle nasıl karşılaştırılıyor?

Veri ihlalleri, dünyanın dört bir yanında farklı etkiler yaratırken, ülkelerin bu krizlere verdikleri yanıtlar hem hükümetlerin önceliklerini hem de vatandaşlara karşı sorumluluklarını ortaya koyuyor. Türkiye'nin yaşadığı skandal, diğer ülkelerdeki büyük veri ihlalleriyle kıyaslandığında, hukuki yaptırımlar, şeffaflık ve kamu bilincine dair ciddi farklar olduğunu gösteriyor.

Amerika Birleşik Devletleri - Equifax Veri İhlali (2017): Amerika'da 2017 yılında yaşanan Equifax veri ihlali, 147 milyondan fazla kişinin Sosyal Güvenlik numaraları, doğum tarihleri ve adreslerini ifşa etti. Bu olay, hükümetin hızlı bir şekilde harekete geçmesine neden oldu. Equifax, 700 milyon dolarlık rekor bir cezaya çarptırılırken, etkilenen bireylere ücretsiz kredi izleme hizmetleri sunuldu. Ayrıca, siber güvenlik yasalarının sıkılaştırılması için yoğun bir şekilde tartışmalar başladı. ABD'nin bu örnekte gösterdiği sert yaklaşım, vatandaşların mahremiyetini koruma konusunda ciddi bir duruş sergilediğini ortaya koyuyor.

Hindistan - Aadhaar Veritabanı İhlali (2018): Hindistan'ın Aadhaar sistemi, bir milyardan fazla vatandaşı kapsayan biyometrik bir kimlik platformu olarak hizmet veriyor. Ancak 2018'de ortaya çıkan veri güvenliği açıkları, kişisel bilgilerin 10 dolardan daha düşük bir fiyata satıldığı iddialarını gündeme getirdi. Türkiye verileri, Hindistan'a göre daha ucuza gidiyor sanki. Hükümet, veri paylaşımı konusunda sıkı düzenlemeler ve güvenlik önlemleri getirse de halkın güvenini yeniden kazanmakta zorlandı. Merkezi bir kimlik sisteminin güvenliği sağlanamadığında, toplumsal güvenin nasıl zarar görebileceği Hindistan örneğinde açıkça görüldü.

Avrupa Birliği - GDPR Uygulamaları: Avrupa Birliği, Genel Veri Koruma Tüzüğü (GDPR) sayesinde veri ihlalleri karşısında en güçlü mekanizmalardan birini sunuyor. Örneğin, 2018'de British Airways'in 400.000 müşterisinin verilerinin sızdırıldığı olayda, İngiltere Bilgi Komiserliği Ofisi (ICO) şirketi 20 milyon pound para cezasına çarptırdı. GDPR, veri ihlali durumunda hızlı raporlama ve sert yaptırımları zorunlu kılarak, şirketleri ve kamu kuruluşlarını vatandaşların mahremiyetine saygı duymaya zorluyor.

Çin - Büyük Veri İhlali (2022): Çin'de 2022 yılında bir hacker, 1 milyar vatandaşın kişisel verilerini ele geçirdiğini iddia etti. Bu durum, siber güvenlik açıklarının büyüklüğünü gözler önüne serdi. Katı veri koruma yasalarına rağmen, devlet tarafından tutulan veri tabanlarının güvenliği ve denetimi konusunda zayıf bir sicile sahip. Bu örnek, merkezi sistemlerin risklerini ve hükümetlerin hesap verebilirlikten uzak durma eğilimlerini açıkça ortaya koyuyor.

Türkiye'nin KVKK kapsamındaki veri koruma düzenlemeleri, bu büyüklükteki ihlalleri ele almak için belli ki yeterli değil. Diğer ülkelerin yaşadığı olaylardan çıkarılacak dersler, Türkiye'nin daha etkin bir yasal çerçeve geliştirmesine yardımcı olabilir. Veri ihlalleri küresel bir sorun olmasına rağmen, bu tür olayların etkileri ve hükümetlerin tepkileri ülkeden ülkeye büyük farklılık gösteriyor.

Türkiye'nin veri ihlalleri konusundaki eksiklikleri, vatandaşların mahremiyetini korunmasının ne kadar önemli olduğunu gösteriyor ve yetkililerin sorumluluklarını kabul etmesi gerekiyor.

Yoksa, her an kapımız, tanımadığımız biri tarafından çalınabilir; kim bunun olmayacağına dair bir güvence verebilir?