Karayolları Genel Müdürlüğü'nün (KGM) Geçiş İhlal Sorgulama sisteminde, Hızlı Geçiş Sistemi (HGS) olmadan geçiş yapan sürücülerin, hangi gişeden ne zaman geçiş yaptığı bilgisinin yalnızca plaka ile görülebildiği ortaya çıktı. Sürücülerin tüm kişisel verilerinin ihlal edildiği, avukat Gonca Aytaş'ın şikayetiyle anlaşıldı.
T24'ten Eray Görgülü'nün haberine göre, aynı ihlali sadece KGM'nin değil, Kamu Özel İşbirliği (KÖİ) modeli ile otoyol ve köprüleri işleten diğer şirketlerin de yaptığı görüldü. Sisteme iki adımlı doğrulama uygulamasının eklenmesi talebinde bulunan Aytaş, verisi ihlal edilen sürücülerin de kurumlara idari para cezası aldırabileceğine dikkati çekti.
ÖDEME YAPMAK İSTERKEN FARK ETTİ
Avukat Gonca Aytaş, 29 Mart 2023 Çarşamba Kuzey Marmara Otoyolu'ndan aracıyla HGS'siz geçiş yaptı. Geçiş ücretini 15 gün içerisinde cezasız olarak ödeme hakkı bulunan Aytaş, Kuzey Marmara Otoyolu'nun internet sitesinin ödeme ekranına girdiğinde yalnızca plaka bilgisi ile tüm geçiş bilgilerinin görülebildiğini fark etti.
Aynı veri ihlalinin hem KGM'nin hem de diğer otoyol işletmecilerinin internet sitelerinde de yapıldığını gören Aytaş, KGM ile Kuzey Marmara Otoyolu Anadolu Otoyol İşletmesi'ne veri ihlali şikayetinde bulundu.
"VERİLER PLAKA SAHİBİ KİŞİLER TARAFINDAN ELE GEÇİRİLEBİLİR"
Aytaş, şikayet dilekçesinde şu ifadeleri kullandı:
"İnternet sitenizde plaka ile geçiş ihlali sorgusu yapılabilmesi için yalnızca plaka bilgisi ve altındaki ifadenin boş alana geçirilmesi yeterlidir. Ancak bu durumda plakası girilen araca dair sorgu sonucu, sorgusu yapılacak plaka sahibine ilişkin kişisel verilerin plaka sahibi dışındaki kişilerin de eline geçmesine sebebiyet verebilir. Zira plaka sorgusu yapılacak kişiye bir SMS ile kod gönderilmesi gibi günümüzde oldukça sık kullanılan bir güvenlik önlemi dahi müdürlüğünüz tarafından kullanılmamaktadır."
KURUMLARIN YÜKÜMLÜLÜKLERİ HATIRLATILDI
6698 sayılı Kanun gereği kurumun veri sorumlusu konumunda olduğunu hatırlatan Aytaş, aynı kanunun 12. maddesi gereği kurumun bu konudaki yükümlülüklerini de vurguladı.
Aytaş, dilekçesinde, "Kurumunuzun, kişisel verilerin korunmasıyla alakalı yükümlülüğü olan güvenlik önlemlerini alıp almadığına, bu verilerin plaka sahibi dışında üçüncü kişilerin eline geçmemesi için ne gibi önlemler alındığına, verilerin nasıl ve hangi önlemler alınarak muhafaza edildiğine yönelik cevabınızı tarafıma en kısa ve her halükarda başvuru tarihimden itibaren 30 gün içinde iletilmesini talep ederim" ifadesini kullandı.
KANUN 2016 YILINDA ÇIKARTILDI
Şikayetiyle ilgili T24'e bilgi veren Aytaş, Kişisel Verileri Koruma Kanunu'nun 2016 yılında başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla çıkarıldığını kaydederek, "Kanunun yürürlüğe girdiği yıldan bu yana birçok kez kişisel bilgilerin telefon operatörlerinden bankalara, anket şirketlerinden birçok özel firmaya para mukabili satıldığına tanık olduk" dedi.
"İKİ ADIMLI DOĞRULAMA KONULMALI"
Aytaş, şöyle devam etti:
"Şimdi de otoyol ve köprülerin işletmesini ellerinde bulunan Türkiye'deki tüm özel firmalar vatandaşın kişisel bilgilerini ifşa ediyor. KGM’nin sitesine de sadece araba plakası yazıldığında aracın bütün şeceresi dökülüyor. Bu internet sitelerinde söz konusu bilgiye ulaşmak için mutlaka iki adımlı doğrulama konulmalı ya da e devlet sistemi üzerinden şifre girilerek bu bilgilere ulaşılmalı. KVKK madde 2 gereği; kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler bilgileri saklamak ve ihlal etmemekle yükümlü.
Yine kanunun veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesinde veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır şeklinde açık düzenleme bulunmaktadır. Bu düzenlemeye aykırı davranıldığı için bu yöntemle kişisel verileri ihlal olan sürücüler bu firmaları kişisel verileri ihlal olduğu için Kişisel Verileri Koruma Kuruluna şikayet edip idari para cezası aldırabilir."