Eray Görgülü
Karayolları Genel Müdürlüğü'nün (KGM) Geçiş İhlal Sorgulama sisteminde, HGS’siz geçiş yapan sürücülerin, hangi gişeden ne zaman geçiş yaptığı bilgisinin yalnızca plaka ile görülebildiği ortaya çıktı. Sürücülerin tüm kişisel verilerinin ihlal edildiği, Avukat Gonca Aytaş’ın şikayetiyle anlaşıldı.
Aynı ihlali sadece KGM’nin değil, Kamu Özel İşbirliği (KÖİ) modeli ile otoyol ve köprüleri işleten diğer şirketlerin de yaptığı görüldü. Sisteme iki adımlı doğrulama uygulamasının eklenmesi talebinde bulunan Aytaş, verisi ihlal edilen sürücülerin de kurumlara idari para cezası aldırabileceğine dikkati çekti.
Ödeme yapmak isterken fark etti
Ankaralı Avukat Aytaş, 29 Mart Çarşamba Kuzey Marmara Otoyolu’ndan aracıyla HGS’siz geçiş yaptı. Geçiş ücretini 15 gün içerisinde cezasız olarak ödeme hakkı bulunan Aytaş, Kuzey Marmara Otoyolu’nun internet sitesinin ödeme ekranına girdiğinde yalnızca plaka bilgisi ile tüm geçiş bilgilerinin görülebildiğini fark etti.
Aynı veri ihlalinin hem KGM’nin hem de diğer otoyol işletmecilerinin internet sitelerinde de yapıldığını gören Aytaş, KGM ile Kuzey Marmara Otoyolu Anadolu Otoyol İşletmesi’ne veri ihlali şikayetinde bulundu.
"Veriler, plaka sahibi dışındaki kişilerin eline geçebilir"
Aytaş, şikayet dilekçesinde şu ifadeleri kullandı:
"İnternet sitenizde plaka ile geçiş ihlali sorgusu yapılabilmesi için yalnızca plaka bilgisi ve altındaki ifadenin boş alana geçirilmesi yeterlidir. Ancak bu durumda plakası girilen araca dair sorgu sonucu, sorgusu yapılacak plaka sahibine ilişkin kişisel verilerin plaka sahibi dışındaki kişilerin de eline geçmesine sebebiyet verebilir.
Zira plaka sorgusu yapılacak kişiye bir SMS ile kod gönderilmesi gibi günümüzde oldukça sık kullanılan bir güvenlik önlemi dahi müdürlüğünüz tarafından kullanılmamaktadır."
Kurumlara yükümlülüklerini hatırlattı
6698 sayılı Kanun gereği kurumun veri sorumlusu konumunda olduğunu hatırlatan Aytaş, aynı kanunun 12. maddesi gereği kurumun bu konudaki yükümlülüklerini de vurguladı.
Aytaş, dilekçesinde, “Kurumunuzun, kişisel verilerin korunmasıyla alakalı yükümlülüğü olan güvenlik önlemlerini alıp almadığına, bu verilerin plaka sahibi dışında üçüncü kişilerin eline geçmemesi için ne gibi önlemler alındığına, verilerin nasıl ve hangi önlemler alınarak muhafaza edildiğine yönelik cevabınızı tarafıma en kısa ve her halükarda başvuru tarihimden itibaren 30 gün içinde iletilmesini talep ederim” ifadesini kullandı.
"Kanun 2016'da çıkarılmıştı"
Şikayetiyle ilgili T24’e bilgi veren Aytaş, Kişisel Verileri Koruma Kanunu’nun 2016'da başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla çıkarıldığını kaydederek, "Kanunun yürürlüğe girdiği yıldan bu yana birçok kez kişisel bilgilerin telefon operatörlerinden bankalara, anket şirketlerinden birçok özel firmaya para mukabili satıldığına tanık olduk" dedi.
"İki adımlı doğrulama konulmalı"
Aytaş, şöyle devam etti:
"Şimdi de otoyol ve köprülerin işletmesini ellerinde bulunan Türkiye’deki tüm özel firmalar vatandaşın kişisel bilgilerini ifşa ediyor. KGM’nin sitesine de sadece araba plakası yazıldığında aracın bütün şeceresi dökülüyor. Bu internet sitelerinde söz konusu bilgiye ulaşmak için mutlaka iki adımlı doğrulama konulmalı ya da e devlet sistemi üzerinden şifre girilerek bu bilgilere ulaşılmalı. KVKK madde 2 gereği; kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler bilgileri saklamak ve ihlal etmemekle yükümlü.
"Sürücüler idari para cezası aldırabilir"
Yine kanunun veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesinde veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır şeklinde açık düzenleme bulunmaktadır. Bu düzenlemeye aykırı davranıldığı için bu yöntemle kişisel verileri ihlal olan sürücüler bu firmaları kişisel verileri ihlal olduğu için Kişisel Verileri Koruma Kuruluna şikayet edip idari para cezası aldırabilir."