Eray Görgülü
Karayolları Genel Müdürlüğünün (KGM) Geçiş İhlal Sorgulama sisteminde, HGS’siz geçiş yapan şoförlerin, hangi gişeden ne vakit geçiş yaptığı bilgisinin sadece plaka ile görülebildiği ortaya çıktı. Şoförlerin tüm ferdî datalarının ihlal edildiği, avukat Gonca Aytaş’ın şikayetiyle anlaşıldı.
Aynı ihlali yalnızca KGM’nin değil, Kamu Özel İşbirliği (KÖİ) modeli ile otoyol ve köprüleri işleten öteki şirketlerin de yaptığı görüldü. Sisteme iki adımlı doğrulama uygulamasının eklenmesi talebinde bulunan Aytaş, verisi ihlal edilen şoförlerin de kurumlara idari para cezası aldırabileceğine dikkat çekti.
Ödeme yapmak isterken fark etti
Ankaralı avukat Gonca Aytaş, 29 Mart Çarşamba günü Kuzey Marmara Otoyolu’ndan aracıyla HGS’siz geçiş yaptı. Geçiş fiyatını 15 gün içerisinde cezasız olarak ödeme hakkı bulunan Aytaş, Kuzey Marmara Otoyolu’nun internet sitesinin ödeme ekranına girdiğinde sırf plaka bilgisi ile tüm geçiş bilgilerinin görülebildiğini farketti.
Aynı data ihlalinin hem KGM’nin hem de öteki otoyol işletmecilerinin internet sitelerinde de yapıldığını gören Aytaş, KGM ile Kuzey Marmara Otoyolu Anadolu Otoyol İşletmesi’ne bilgi ihlali şikayetinde bulundu.
“Veriler, plaka sahibi dışındaki şahısların eline geçebilir”
Aytaş, şikayet dilekçesinde şu tabirleri kullandı: “İnternet sitenizde plaka ile geçiş ihlali sorgusu yapılabilmesi için sadece plaka bilgisi ve altındaki sözün boş alana geçirilmesi kafidir. Lakin bu durumda plakası girilen araca dair sorgu sonucu, sorgusu yapılacak plaka sahibine ait ferdî bilgilerin plaka sahibi dışındaki bireylerin de eline geçmesine sebebiyet verebilir.
Zira plaka sorgusu yapılacak şahsa bir SMS ile kod gönderilmesi üzere günümüzde hayli sık kullanılan bir güvenlik tedbiri dahi Müdürlüğünüz tarafından kullanılmamaktadır.“
Kurumlara yükümlülüklerini hatırlattı
6698 sayılı kanun gereği kurumun bilgi sorumlusu pozisyonunda olduğunu hatırlatan Aytaş, tıpkı kanunun 12’nci hususu gereği kurumun bu husustaki yükümlülüklerini de vurguladı.
Aytaş, şikayet dilekçesinde “Kurumunuzun, şahsî bilgilerin korunmasıyla alakalı yükümlülüğü olan güvenlik tedbirlerini alıp almadığına, bu bilgilerin plaka sahibi dışında üçüncü şahısların eline geçmemesi için ne üzere tedbirler alındığına, dataların nasıl ve hangi tedbirler alınarak koruma edildiğine yönelik karşılığınızı tarafıma en kısa ve her halükarda müracaat tarihimden itibaren 30 gün içinde iletilmesini talep ederim” tabirini kullandı.
“Kanun 2016 yılında çıkarılmıştı”
Şikayetiyle ilgili T24’e bilgi veren Aytaş, Ferdî Bilgileri Muhafaza Kanunu’nun 2016 yılında başta özel hayatın saklılığı olmak üzere bireylerin temel hak ve özgürlüklerini korumak emeliyle çıkarıldığını kaydederek “Kanunun yürürlüğe girdiği yıldan bu yana birçok sefer ferdî bilgilerin telefon operatörlerinden bankalara, anket şirketlerinden birçok özel firmaya para mukabili satıldığına şahit olduk” dedi.
“İki adımlı doğrulama konulmalı”
Aytaş, şöyle devam etti: “Şimdi de otoyol ve köprülerin işletmesini ellerinde bulunan Türkiye’deki tüm özel firmalar vatandaşın ferdî bilgilerini ifşa ediyor. KGM’nin sitesine de yalnızca otomobil plakası yazıldığında aracın bütün şeceresi dökülüyor. Bu internet sitelerinde kelam konusu bilgiye ulaşmak için kesinlikle iki adımlı doğrulama konulmalı ya da e devlet sistemi üzerinden şifre girilerek bu bilgilere ulaşılmalı. KVKK unsur 2 gereği; ferdî bilgileri işlenen gerçek bireyler ile bu dataları büsbütün yahut kısmen otomatik olan ya da rastgele bir bilgi kayıt sisteminin kesimi olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve hükmî bireyler bilgileri saklamak ve ihlal etmemekle yükümlü.
“Sürücüler idari para cezası aldırabilir”
Yine kanunun data güvenliğine ait yükümlülükler başlıklı 12. unsurunda data sorumlusu; şahsî dataların hukuka muhalif olarak işlenmesini önlemek, şahsî datalara hukuka karşıt olarak erişilmesini önlemek, ferdî bilgilerin korumasını sağlamak, emeliyle uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almak zorundadır biçiminde açık düzenleme bulunmaktadır. Bu düzenlemeye karşıt davranıldığı için bu prosedürle ferdî dataları ihlal olan şoförler bu firmaları şahsî bilgileri ihlal olduğu için Şahsî Dataları Muhafaza Heyetine şikayet edip idari para cezası aldırabilir.“
