T.C.
ANKARA
CUMHURİYET BAŞSAVCILIĞI
MEMUR SUÇLARI SORUŞTURMA BÜROSU
İhbar Dosya No : 2024/15623
Karar No : 2024/9233
L E M E K O N U L M A M A K A R A R I
DAVACI : K.H.
İHBAR EDEN : ULAŞ KARASU, BATUR Oğlu MELAHAT'den olma, 01/01/1980 doğumlu, Kardeşler Mah. Bağdat Cad. No:51B İç Kapı
No:15 Sivas Merkez/ SİVAS ikamet eder.
VEKİLİ : Av. Mehmet Can KEYSAN,
Ankara Barosu Sicil: 37244
ŞİKAYET EDİLENLER : İlgili Kişiler Hakkında,
SUÇ : Görevi Kötüye Kullanma
ŞİKAYET TARİHİ : 15/10/2024
İHBAR DOSYASI EVRAKI İNCELENDİ:
İhbarcı Ulaş KARASU vekili tarafından Cumhuriyet Başsavcılığımıza sunmuş olduğu şikayet dilekçesinde özetle, ''İfade ve internet özgürlüğü alanında yayın yapan "Free Web Turkey" adlı internet sitesi, yayımladığı bir haberde Türkiye'deki resmi kurumlarda kaydı olan 108 milyon yurttaşın kişisel verilerinin çalındığını iddia etmiştir. Türkiye'deki herhangi bir resmi makamda kaydı bulunan ölü ya da sağ tüm yurttaşların kişisel verilerinin ele geçirildiği ve bu verilerin internet üzerinden satışa çıkarıldığı iddiası, daha sonra muhtelif basın ve yayın organlarında haberleştirilmiştir.
Haberlere konu olan iddialar, Cumhurbaşkanlığı Kabine Toplantısı'nın ardından Ulaştırma ve Altyapı Bakanı Uraloğlu'na basın mensupları tarafından sorulmuş, Uraloğlu Ek-1'de sunulu habere göre "Bu pandemi sürecindeki hatırlarsınız, sağlık sisteminden bir sızıntıdır. Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte o maalesef önlenemedi" şeklinde açıklamalarda bulunmuştur. Ancak, haricen edinilen bilgiye göre süreç farklı işlemiştir. Buna göre Cumhurbaşkanlığı kabinesinin ardından Cumhurbaşkanı'nın "Ulusa Sesleniş" konuşmasından önce verilerin sızmasına ilişkin soru bakana yöneltilmiş, bakan yukardaki açıklamaları yapmıştır. Ancak, konu haberleştirilmeden önce bakanın konuşmasının deşifresi basın mensupları tarafından önce ilgili bakanın danışmanına servis edilmiş, sözü edilen bu bölüm bakan danışmanı Celal Kadıoğlu tarafından konuşma deşifre metninden çıkarılmıştır. Buna karşın, konuya duyarlı basın mensupları tarafından söz konusu bölüm çıkarılmamış ve haberleştirilmiştir.
Kişisel verileri korumakta görev ve yetkileri olmasına karşın, uzun yıllardır tüm ikaz ve uyarılara karşın ihmal gösterdiği açık olan Ulaştırma ve Altyapı Bakanlığı ile bağlı birimlerin ilgili görevlileri ile kamu görevlisi veya personelleri ile Bakan ve danışmanın bu tavrı hem milyonlarca kişinin verilerinin hala korunamadığının göstergesi hem de basına sansür niteliğinde olduğu açıktır. Milyonlarca vatandaşın özel hayatın gizliliğini, ifade özgürlüğünü ve adil yargılanma hakkını tehdit eden bu uygulama ve açıklamalarla ilgili olarak; farklı kamu kurumlarından birbiriyle uyuşmayan ve çelişkili basın açıklamaları yapılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanununun 22'inci maddesinde, Kişisel Verileri Koruma Kurulu'nun görev ve yetkileri arasında; "…Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini
UYAP Bilişim Sistemindeki bu dokümana https://vatandas.uyap.gov.tr adresinden hEB0pUV - LjY02ZB - 3IjDml6 - 1tt2CU= ile erişebilirsiniz.
incelemek ve gerektiğinde bu konuda geçici önlemler almak", "Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" ve "Bu Kanunda öngörülen idari yaptırımlara karar vermek…" bulunmaktadır.
Gerek sosyal medyada gerekse yazılı ve görsel medyada tepkilerin artması üzerine, Kişisel Verileri Koruma Kurulu yazılı bir açıklama yapılmış ve açıklamada "Medyada daha önce de benzer haberlerin yer almış olması sebebiyle özellikle pandemi sürecinde meydana geldiği iddia edilen veri ihlali haberleri ile ilgili hâlihazırda Kişisel Verileri Koruma Kurulu tarafından alınmış resen inceleme kararı bulunmakta olup, ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edilmektedir" ifadeleri yer almıştır. Haricen, Cumhurbaşkanlığı İletişim Merkezi'ne bağlı olan Dezenformasyonla Mücadele Merkezi'nin resmi X sosyal medya hesabı olan @dmmiletisim adlı hesaptan halihazırda sızdırılmış bir veri olmadığı öne sürülmüş "Bazı vatandaşların şifrelerinin çalınması yoluyla sistemde kayıtlı bulunan beyana dayalı adres bilgilerinin elde edildiği bulguları üzerine, Ankara Cumhuriyet Başsavcılığınca gerekli hukuki işlemler tesis edilmiştir" denilmiştir. Buna karşın, aynı günlerde konunun asıl muhatabı olan Bakan ve Bakanlık herhangi bir açıklama yapmamıştır.
Kişisel Verileri Koruma Kurulu ile Dezenformasyonla Mücadele Merkezi'nin açıklamalarından da görüleceği üzere gerek kurulda inceleme süreci başlatılmış gerekse de Ankara Cumhuriyet Başsavcılığı tarafından hukuki işlemler tesis edilmiştir.
Cumhuriyet Halk Partisi Ulaştırma ve Altyapı Bakanlığından sorumlu Genel Başkan Yardımcısı ve Sivas Milletvekili müvekkil Ulaş KARASU tarafından bu konu titizlikle takip edilmiş ve özelinde Cumhurbaşkanı Yardımcılığı, Ulaştırma ve Altyapı Bakanlığı ile Sağlık Bakanlığı'na yönelttiğim soru önergeleri ile konu TBMM gündemine getirilmiş, ancak sorulara yanıt verilmemiştir.
Aynı süreçte ifade ve internet özgürlüğü alanında yayın yapan "Free Web Turkey" adlı internet sitesinden Ali Sefa Korkut Bilgi Teknolojileri Kurumu'ndan çalınan kişisel verilerin saklandığı Drive dosyalarının kaldırılması konusunda Google'dan yardım istediğini, dosyalarının kaldırılması için 29 Temmuz 2024, 3 Eylül 2024 ve 6 Eylül 2024 tarihlerinde Google'a yazı yazıldığını açıklamış kurumun 29 Temmuz tarihli başvurusunun belgesini paylaşmıştır. Belgede Google'ın Bilgi Teknolojileri Kurumu bünyesindeki Ulusal Siber Olaylara Müdahale Merkezinden (USOM) bir içerik kaldırma talebi aldığını ve bunun üzerine Google tarafından oluşturulan içerik kaldırma kaydını göstermektedir.
Ulaştırma ve Altyapı Bakanı ise günler boyunca milyonlarca yurttaşın kimlik numaralarından ev adreslerine kadar tüm kişisel verilerinin çalındığı, çalınan veriler arasında kişilerin ikamet adresi ve GSM numarasının yer aldığı belirtilmesine karşın nihayet 16 Eylül 2024 tarihinde basın mensuplarının ısrarlı soruları üzerine "Çalınma olayı olmamıştır. Böyle bir gündem yoktur. Kimse ortalığı bulandırmasın" şeklinde açıklama yapmış, aynı açıklamada "O dönem (Pandemi dönemi) kendi içinde konuşulmuş, kapanmıştır" ifadelerine de yer vermiştir.
Yukarda kısaca açıklandığı üzere, Ulaştırma ve Altyapı Bakanlığı ile Sağlık Bakanlığı ile verileri korumakla yükümlü Bilgi Teknolojileri ve İletişim Kurumu ve ilgili kamu kurumlarının kamuoyunu tatmin eden bir açıklama yapılamamış, gerek Kişisel Verileri Koruma Kurulu'ndaki inceleme sonuçları açıklanmamıştır. Ancak, Ağustos ayında Ankara Cumhuriyet Başsavcılığı tarafından başlatılan ve 3 farklı Telegram kanalı üzerinden, aralarında Türk vatandaşlarının da olduğu kişilerin, kişisel verilerinin satıldığına yönelik tespitler üzerine soruşturma başlatılmış, bu kapsamda yakalanan şüpheliler, "kişisel verileri hukuka aykırı olarak ele geçirmek veya yaymak", "bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek" ve "devletin güvenliğine ilişkin belgeleri hukuka aykırı ele geçirmek" suçlarından tutuklanmıştır.
Buna karşın, özellikle telegramda panel verilen üzerinden gruplarda, vatandaşların TC kimlik numaralarından aile soy ağacı bilgilerine, konum ve adres bilgilerinden tapu kayıt bilgilerine kadar birçok pek kişisel veri satılmaya devam ettiği görülmektedir. Yurttaşların özel bilgilerinin bu tür uygulamalar üzerinden yayılması, kişisel verilerin güvenliği konusundaki endişeleri artırmakta, "kişisel verileri hukuka aykırı olarak ele geçirmek veya yaymak", "bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek" ve "devletin güvenliğine ilişkin belgeleri hukuka aykırı ele geçirmek" bir milli güvenlik sorunu olarak öne çıkmakta ve konu hakkındaki
UYAP Bilişim Sistemindeki bu dokümana https://vatandas.uyap.gov.tr adresinden hEB0pUV - LjY02ZB - 3IjDml6 - 1tt2CU= ile erişebilirsiniz.
kamu görevlilerinin ihmalleri nedeniyle bu suçlarının hala sürdüğünü göstermektedir. Öte yandan değinmemiz gerekir ki; eski İçişleri Bakanı ve AKP Milletvekili Süleyman Soylu, bakan olduğu dönemde katıldığı bir televizyon programında akıllı telefonunda yüklü bir uygulamayı tanıtmış ve "KİM" olarak adlandırılan bu uygulama üzerinden telefonunda fotoğrafını çektiği kişinin 2 saniye gibi kısa bir sürede kimliğini tespit edebildiğini söylemiştir. Ancak sözü edilen bu uygulamanın ne olduğu, akıbeti, hangi mevzuata göre insanların kişisel bilgilerine erişebildiği, bilgileri depolayıp depolamadığı kamuoyuna açıklanmamıştır. Süleyman Soylu tarafından kullanılan uygulamanın içeriğinin ne olduğu, kim ya da kimler tarafından üretildiği, kimler tarafından hangi amaçlarla kullanıldığı, uygulamada güvenlik açığı olup olmadığı, KVKK ve sair ilgili mevzuata uygun bulunup bulunmadığı, kullanan kişilerin aramalarının log kayıtlarının saklanıp saklanmadığı bilinmemektedir. Belirttiğimiz bu olay ve olguların da kişisel verilerin çalınması ile ilgili olan iddiaları pekiştirmektedir. İşbu şikâyetimiz ile birlikte bu konunun da soruşturulması elzemdir.
Tüm bu nedenle, kişisel verilerin çalındığına ilişkin olarak suç duyurusunda bulunma gerekliliği açığa çıkmıştır. Bu kapsamda şikâyetimiz ile başlatılacak soruşturma kapsamında kişisel verilerinin hukuka aykırı olarak ele geçirilip geçirilmediğinin, ele geçirildiyse kimler tarafından nasıl ele geçirildiğinin, yayıldığının ve bu verilerin hukuka aykırı olarak ele geçirilmesinde kastı, ihmali ya da kusuru bulunan ilgili kamu görevlilerinin tespit edilmesi gerekli bulunmaktadır. Yapılacak soruşturma sonucunda kişisel verileri ele geçiren şüpheli ya da şüpheliler hakkında TCK m.136'da düzenlenen kişisel verileri ele geçirme suçu yönünden, kişisel verilerin ele geçirilmesinde kasıt ya da ihmali bulunan kamu görevlileri hakkında TCK m. 257'de düzenlenen görevi kötüye kullanma suçu yönünden ayrıca verilerin çalındığı bilgisi kamuoyuna yansımasına rağmen gerekli yerlere bildirimde bulunmayan kamu görevlileri hakkında TCK m. 279'da düzenlenen kamu görevlisinin suçu bildirmemesi suçu yönünden ve re'sen belirlenecek suçlar yönünden kamu davalarının açılmasının sağlanmasını, varsa başlatılan soruşturmaların birleştirilmesini, her halükarda işbu dosyaya kazandırılmasını talep etmek gerekmiştir.
Yukarıda yer alan açıklamalar içerisinde geçen sebepler ile re'sen belirlenecek diğer hususlar göz önüne alınarak, olayın toplumsal boyutu, Türkiye Cumhuriyeti'nin devlet imajı ve durumun vahameti gözetilerek ilgililer hakkında gerekli soruşturmanın usulünce yapılmasını, cezalandırılmaları için kamu davası açılmak üzere iddianame düzenlenmesini saygılarımla talep ederim.'' şeklinde ilgili kişiler hakkında şikayetçi olduklarını beyan ettikleri ve bahse konu olaya ilişkin soruşturma işlemlerine başlanılmış ise de;
4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkındaki Kanunun 17/07/2004 gün ve 5232 Sayılı Yasa ile değişik 4. maddesinin 3. ve 4. fıkralarında; "Bu kanuna göre memurlar ve diğer kamu görevlileri hakkında yapılacak ihbar ve şikayetlerin soyut ve genel nitelikte olmaması, ihbar ve şikayetlerde, kişi ve olay belirtilmesi, iddiaların ciddi bulgu ve belgelere dayanması, ihbar ve şikayet dilekçesinde, dilekçe sahibinin doğru ad, soyad ve imzası ile iş veya ikametgah adresinin bulunması zorunludur. Üçüncü fıkradaki şartları taşımayan ihbar ve şikâyetler Cumhuriyet Başsavcıları ve izin vermeye yetkili merciler tarafından işleme konulmaz ve durum, ihbar ve şikâyette bulunana bildirilir. Ancak iddiaların sıhhati şüpheye mahal vermeyecek belgelerle ortaya konulmuş olması halinde ad, soyad ve imza ile iş veya ikametgah adresinin doğruluğu şartı aranmaz" hükmünün bulunduğu,
Tüm soruşturma evrakı kapsamı bir bütün olarak değerlendirildiğinde, şikayete konu dilekçede şikayet edilene isnat edilen suçun unsurlarını içeren ve soruşturulması gereken somut olay veya maddi vakıadan bahsedilmediği, şikayet dilekçesi içeriğinde, şikayet edilenlerin görevlerini ihmal ettikleri ve bunun da genel anlamda mağduriyete sebep olduğunun iddia edildiği, ancak Yargıtay Ceza Genel Kurulunun 14.02.2017 tarih ve 2015/5-95 esas, 2017/71 esas sayılı kararında da belirtildiği üzere, şikayet edilenlere isnat edilen, 5237 sayılı TCK'nin 257/1 maddesinde düzenlenen, görevi kötüye kullanma suçunun unsurunu oluşturan "suçtan zarar görme" kavramının "suçtan doğrudan doğruya zarar görmüş bulunma hali" olarak tanımlandığı, şikayet dilekçesinde olayda doğrudan doğruya zarar halinin varlığını gösteren, eylem tespit edilmediği, söz konusu serzenişlerin ilgili kişi tarafından kuruma müracaat
UYAP Bilişim Sistemindeki bu dokümana https://vatandas.uyap.gov.tr adresinden hEB0pUV - LjY02ZB - 3IjDml6 - 1tt2CU= ile erişebilirsiniz.
edilerek talebin iletilebileceği, sonrasında idare tarafından tesis edilecek olan idari işleme karşı idari yargı mercileri nezdinde dava açılabileceği, Cumhuriyet Başsavcılığımızın idarenin eylem ve işlemlerinin yerindeliğini denetleme yetki ve görevinin bulunmadığı, ayrıca yapılan UYAP sorgusunda, benzer iddialar hakkında Cumhuriyet Başsavcılığımızın 2024/220609 Sayılı Soruşturma dosyasından 11/10/2024 tarihinde Kovuşturmaya Yer Olmadığına Dair Karar verildiği, bu anlamda mevcut şikayetin mükerrer olduğu anlaşılmakla;
Açıklanan nedenlerle, mükerrer olan şikayet dilekçesinin 4483 Sayılı Kanunun 4/son maddesi uyarınca İŞLEME KONULMAMASINA,
Karardan bir suretin müşteki vekiline tebliğine,
Danıştay 1. Dairesinin 03/03/2005 tarihli 2004/794 esas ve 2005/301 karar sayılı içtihadı gereğince kesin olarak karar verildi. 05/12/2024
MUAMMER KÖSEOĞLU
122484
Cumhuriyet Savcısı
E-imzalıdır
TÜRKİYE BÜYÜK MİLLET MECLİSİ BAŞKANLIĞINA
Aşağıdaki sorulanmın Ulaştırma ve Altyapı Bakanı Sayın Abdulkadir URALOGLU tarafından yazılı olarak cevaplandırılması için gereğini saygılanmla arz ederim.
TJtaşrieÇRASTr Sivas Milletvekili Vatandaşlarm kişisel verilerini Telegram ve benzeri platformlarda panel adı verilen sistemle satılması hakkında, ısrarlı takip ile ilgililer hakkmda suç duyurusunda bulunmamıza karşın mahkemelerden, soruşturmaya yer olmadığına karar verilmektedir.
Buna karşın. Ocak ayımn son günlerinde, 35'i çocuk 68 kişi aym iddialarla gözaltına alıiimış ve 50'sinin tutuklanması talep edilmiştir. İstanbul Emniyeti tarafından, İstanbul merkezli 25 ilde düzenlenen operasyonlarda, kişisel verileri illegal yollarla ele geçirip satan ya da bu bilgileri tehdit ve şantaj amacıyla kullanan bu kişilerin MERNİS veri tabam ve entegre bilişim sistemlerine yetkili kullanıcılarm şifrelerini ele geçirerek sızdığı ve bu verileri "panel" adı verilen illegal sorgulama ekranlarına yükledikleri belirlendi. Zanlılarm, ad, soyad, T.Ç. kimlik numarası, tapu kayıtlan ve sağlık bilgileri gibi kişisel verileri para karşılığında sattıkları veya şantaj için kullandıkları tespit edilmiştir
Savcılığın sevk yazısında, nüfus kayıtlarının devlet güvenliği açısından kritik önem taşıdığı vurgulanarak, şüphelilerin bu bilgileri ele geçirerek milli güvenliği tehdit ettikleri ifade edildi. Şüphelilerin suçlanm işlediklerine dair güçlü delillerin bulunduğu ve serbest bırakılmalan durumunda tanıklara baskı yapabilecekleri belirtilmiştir.
Savcılığın hakimliğe yazdığı sevk yazısmda, devletin en önemli kamusal faaliyetlerinden birinin nüfus kayıtlan olduğu belirtilerek şu ifadelere yer verilmiştir "Güncel bir örneklendirme vermek gerekirse, 2003 yılında Amerika Irak'ı işgal ettiğinde yapılan ilk işlerden biri nüfus ve tapu kayıtlarına müdahale etmek olmuştur. Nüfus kaydının yazılı olarak tutulmadığı zamanlarda ise mezar taşları bile bir devletin var olduğuna ya da hak sahibi olduğuna dair önemli bir delil teşkil etmektedir. Dolayısıyla nüfus kayıtlarının bir devletin güvenliğinin temel unsurlarından biri olduğu hususu yadsınamaz bir gerçektir. Vatandaşlık numarasıyla sorgulama yapılan MERNİS sisteminin milli güvenliğin ayrılmaz bir parçası olduğu aşikardır.
Gizli olan bilginin ele geçiriliş şekli ile ilgili yaptığımız değerlendirmede, fail ya da faillerin sadece panel sistemi uygulayıcısı değil, sistemi kuran ve verileri sürekli güncelleyen konumunda olması halinde eylemin aynı zamanda TCK244/2 ve 244/3 maddesi uyarınca da değerlendirilmesi gerektiğini düşünmekteyiz "
' Bu bilgi çerçevesinde;
1 - Basına yansıyan iddialar ve kişisel veri güvenliği ihlaline sebep olan kişi ya da kurumlar hakkında hangi işlemler yapılmıştır?
2- Her ortamda ve açıklamanızda kişisel verilerin sızmtısı, ele geçirilmesi, satılması vb. hususlarda herhangi bir sorun olmadığım öne sürmenize karşın, İçişleri Bakanlığı'mn yaptığı operasyona dayanak teşkil eden operasyonlar neden yapılmıştır? Söz konusu kişiler hakkmda Savcılık ve İçişleri Bakanlığı mı yoksa bakanlığımzm bürokratlan mı halkı yamitmaktadır?
3- Son 1 yıl içinde ilgili kaç kamu görevlisi hakkında kişisel verileri hukuka aykırı olarak paylaştığı, yaydığı veya ele geçirdiği iddiasıyla hakkında soruşturma başlatılan, dava açılan kaç kamu görevlisi bulunmaktadır? İlgililer hakkmda hangi yaptmmlar uygulanmıştır? 4- Kişisel verilen çalınması ve satılması hakkmda her gün farklı iddialann ve haberlerin ortaya çıktığı günümüzde, gerekli önlemlerin almmamasımn gerekçesi nedir? Son iddialarla ilgili gerekli tedbirleri almayan sorumlular hakkmda herhangi bir soruşturma başlatılmış mıdır?
5- İlgili diğer bakanlıklarla, vatandaşın can ve mal güvenliğini tehlikeye atan, milli güvenlik zaafiyeti oluşturan bu tür olay ve iddialara karşı. Bakanlığımz bünyesinde hangi çalışmalar yapılmaktadır?
6- Kişisel verilen çalınması açısmdan iddialara ve haberlere konu olan kişi ya da kişilerle ilgili son 1 yıl içinde hangi yaptmmlar uygulanmıştır? 7- BTK bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi (USOM) bünyesinde kaç personel çalışmaktadır. Kaç Siber Olaylara Müdahale Merkezi (SOME) ekibi bulunmaktadır? Çalışan tüm personelin görev dağılımı ve görev yaptıklan fiziki makamlar neresidir? Bu personelin aldığı maaş nedir? Önergenin yamtlandığı tarih itibariyle, son 1 yıl içinde USOM'un verileri nelerdir?