BİLİŞİM ALANINDA İŞLENEN SUÇLAR
1- Bilişim Alanında İşlenen Suçlara İlişkin Genel Açıklamalar
Bilişim suçları (Siber suç):
İnternetin hızla yaygınlaşan ve gelişen kullanımıyla birlikte, bilişim hukuku da aynı hızla gelişmekte ve pratik hayatın gereksinimlerine cevap verebilmek adına değiştirilmektedir.
Bilişim suçu ifadesi, bilişim sistemine yönelik veya bilişim sisteminin kullanılarak işlenen suçlar için kullanılmaktadır. Siber suçlar, “bilgisayar suçu”, “elektronik suç” veya “dijital suç” şeklinde de ifade edilmektedir.
Siber suçlar;
- Bilişim araçları kullanılarak işlenen klasik suçlar
- Elektronik ağlar üzerinde yasadışı içerik nedeniyle yasaklanan siteler,
- Sadece bilişim araçları kullanılarak işlenen suçlar olmak üzere 3 farklı başlık altında incelebilir.
a) Bilişim araçları kullanılarak işlenen klasik suçlar:
Dolandırıcılık: Türk Ceza Kanunu (TCK) madde 158’e göre dolandırıcılık suçunun bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi, nitelikli dolandırıcılık olarak kabul edilmiş ve bilişim sistemlerinin, banka veya kredi kurumları araç olarak kullanılmasının ağırlaştırıcı sebep olduğuna hükmedilmiştir. İnternet üzerinden yapılan dolandırıcılık suçu gerçek olmayan yatırım teklifleri sunarak, internet üzerinden satış yoluyla yapılanlar veya romantik ilişkiler vasıtasıyla yapılanlar olarak karşımıza çıkmaktadır.
İnternet üzerinden yatırım teklifleri sunarak dolandırma suçu, mağdurlar küçük miktarda bir yatırımda bulunarak büyük miktarlarda para kazanabileceklerine inandırılarak işlenmektedir. Mağdur kendisine piyangodan kazandığı veya kendisine miras olarak kaldığı inandırılarak bir meblağın hesabına aktarılması için gerekli olan işlem maliyetini ödemesi talep edilerek veya fail kendi yaşadığı ülkedeki güvenlik politikası nedeniyle miras yoluyla kendisine kalan yüksek meblağlı parayı, ülkesi dışına çıkarmada sorun yaşadığından mağdurun banka hesabını transfer aracı olarak kullanması karşılığında kendisine de bunun karşılığını ödeyeceği belirtilerek dolandırılmaktadır.
Satış yoluyla yapılan dolandırıcılıkta ise mağdurun aradığı ürün internette iyi bir fiyatta satılmakta veya zor bulunan bir ürüne internet üzerinde rastlamaktadır. Bunun dolandırıcılık faaliyetinin bir parçası olduğunun farkında olmayan mağdur malı satın almak için ödeme yaptıktan sonra ya malı hiç teslim alamaz yahut ilanda belirtilenden daha düşük değerde bir mal kendisine gönderilir.
Romantik ilişkiler vasıtasıyla yapılan dolandırıcılıkta ise dolandırıcılar sohbet kanallarında, arkadaşlık sitelerinde veya sosyal ağlarda arkadaşlık ilişkisi veya romantik bir ilişki kurabileceği bir eş arayan kişilerle iletişime geçerek onların sevgisini ve güvenini kazanıp, güvenini kazandıktan sonra değişik sıkıntılar içinde olduklarını ve bazı ihtiyaçlarının olduğunu belirtip para sızdırmaya çalışmaktadırlar.
Sahtecilik: Kimlik hırsızlığı, internet üzerinden yapılan sahtecilik örneklerinden biridir. Kimlik hırsızlığında dolandırıcılık, mağdura ait kişisel bilgiler ele geçirilerek mağdurun itibarini zedeleme (internetten pornografik ürünler sipariş etmek gibi) veya aldatma amacıyla kullanılmaktadır. Kimlik hırsızlığında, mağdurların kimlik bilgileri farklı yollarla elde edilmektedir. Oltalama (phishing), kimlik hırsızlığı için kullanılan yollardan biridir. Oltalama yönteminin pek çok çeşidi bulunmaktadır. Oltalama genellikle e-posta aracılığıyla yapılmaktadır. Oltalama yapan kişiler Facebook gibi popüler sitelerin, alışveriş sitelerinin veya finansal kurumlara ait internet sitelerinin tıpa tıp benzerlerini yaparak internet üzerinden yayınlar ve rastgele gönderdikleri e-postalarda belirttikleri değişik mazeretlerle mağdurları bu sahte web sitelerine yönlendirirler. Bu şekilde hazırlanmış sahte sitelere giren mağdurlar burada kullanıcı adı, şifre gibi kişisel verilerini girmek suretiyle sisteme giriş yapmaya çalışırlar ve böylelikle bu bilgileri kötü niyetli kişilerin eline geçmiş olur. Oltalama suçlarının soruşturulması iki nedenden dolayı bir kısım zorluklar içermektedir. Öncelikle kurbanlar kimlik hırsızlığı mağduru olduklarını çok sonradan anlayabilmektedirler. Diğeri ise, oltalama yapan kişiler ise kimliklerini gizlemek amacıyla açtıkları sahte web sitelerini belli bir süre sonra iptal etmekte veya başka bir sunucu üzerine taşımaktadırlar.
Kimlik hırsızlığı için kullanılan bir başka yöntem de kötü amaçlı yazılımların kullanılmasıdır. Buna “malware” de denmektedir. Kötü amaçlı yazılımlar, genelde mağdurun haberi olmaksızın mağdurun bilgisayarına yüklenen ve çalışan; mağdura ait kullanıcı adı, şifre, kart numarası vb. kişisel verileri yahut mağdurun bilgisayarında bulunan belirli dosyaları saldırgana ait bir adrese aktaran yazılımlardır. Bu tür kötü amaçlı yazılımlar, anti virüs programı tarafından fark edilinceye kadar mağdurun bilgisayarından veri çalmaya devam eder.
En bilindik kimlik hırsızlığı yöntemi ise hacking’dir. Hacker olarak adlandırılan bilgisayar korsanları genellikle işletim sistemlerinde veya uygulama programlarında bulunan açıklardan istifade ederek sistemlere erişim sağlamaktadır. Sisteme girdikten sonra belli bilgileri çalabilir ve başka bir hesaba bunları aktarabilir.
Siber taciz ve siber şantaj: Siber taciz, kişinin elektronik posta gibi kullandığı elektronik iletişim yolları aracılığıyla sistematik olarak rahatsız edilmesidir. Siber şantaj ise yine siber araçlar kullanılarak mağdura ilişkin bilgilerin ele geçirilerek bunların ifşa edilmesi tehdidiyle menfaat elde edilmeye çalışılmasıdır. Siber şantajda, genellikle mağdura ait, ifşa edilmesi durumunda mağdurun itibarını zedeleyecek veya rakipleri karşısında dezavantajlı duruma düşürecek nitelikteki bilgiler saldırgan tarafından şantaj aracı olarak kullanılır.
b) Elektronik ağlar üzerinde yasadışı içerik nedeniyle yasaklanan siteler:
- Çocuk pornosu,
- Nefret grupları tarafından yayınlanan içerikleri,
- Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştıran, kumar oynanması için yer ve imkân sağlayan siteler gibi.
c) Sadece bilişim araçları kullanılarak işlenen suçlar:
Bilgisayar korsanlığı: Saldırgan tarafından mağdurların elektronik ağlarına erişim sağlamak amacıyla bir sistemin güvenlik tedbirlerini etkisiz hale getirmeye çalışmaktır. Bu tür suçlarda, sistemin güvenlik tedbirleri erişilmez hale getirilebilir, sistemde bulunan bilgiler çalınabilir, değiştirilebilir veya üzerinde oynamalar yapılabilir.
Hizmeti engelleme saldırıları (DoS Saldırısı): Kullanıcılarına hizmet veren bilgisayar sistemlerinin, çok sayıda sahte bağlantı kurarak sistemi işlemez hale getirmeyi amaçlayan suç tipidir. Bilgisayar sistemine yapılan bu tür saldırılar sonucu, sisteme aşırı iş yükü yüklenmekte ve sistem bağlantı kurmaya çalışan gerçek kullanıcılarına cevap veremez hale gelmektedir.
Zararlı Yazılımlar: Normalde bilinen (ve kullanıcı tarafından arzu edilen) işlevinin yanında bilinmeyen ve kullanıcının istemeyeceği işlevleri de olan yazılımlar vasıtasıyla mağdurun elektronik ağına saldırı düzenlenmektedir. Bu yazılımlar bir kere sisteme yüklendikten sonra zararlı yazılımın istenmeyen işlevleri vasıtasıyla mağdurun elektronik ağına daha kolay giriş sağlanmakta ve mağdura ait kayıtlı bilgileri başka yerlere aktarılabilmektedir.
Bir başka tür siber saldırı ise amaca erişmek için mağdurun kendisinin kullanıldığı saldırıdır. Mağdur aldatılarak suç konusu hedef sistem hakkında bilgi edinmek, veri ele geçirmek veya sisteme girmektir. Fail, istenmeyen elektronik posta, oltalama, telefon gibi yollarla mağdurlara ulaşıp kişisel becerisiyle mağduru kandırılarak belirli eylemleri yaptırmayı hedeflemektedir.
2- HUKUKİ BOYUTU
Teknolojik alandaki gelişmelerin amacı bireylere daha hızlı ve kolay bir yaşam sunmak olması nedeniyle bireylerin bankalarla olan iletişim ve işlemlerini daha hızlı sonuca bağlayabilmeleri adına internet üzerinden bankacılık işlemleri yapabilmeleri amacıyla geliştirilen programlarla internet bankacılığı kavramı ortaya çıkmıştır. İnternet bankacılığını, Yargıtay Hukuk Genel Kurulu 21.11.2012 tarihli 2012/11-550 E. ve 2012/820 K. sayılı ilamında şöyle tanımlamaktadır:
“İnternet bankacılığı, teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin internet üzerinden yapılabilmesini sağlayan elektronik bir bankacılık türüdür. Es söyleyişle, interaktif bankacılık, bankacılık hizmetlerinin internet üzerinden sunulduğu bir bankacılık türü olarak da tanımlanabilir.”
İnternet bankacılığındaki en önemli sorun, hiç kuşkusuz güvenlik sorunudur. Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, hem bankanın hem de müşterinin üzerine düşen yükümlülükler ve sorumluluklar vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bu sistemin güvenliğine yönelik tüm tedbirleri almaları ve sistemi bilinen en son teknolojik gelişmeye uygun hale getirmeleri büyük önem taşımaktadır. Hiç kuşkusuz, müşterilerin de internet bankacılığında kullanılmak üzere kendilerine verilen kullanıcı adı, şifresi ve diğer bilgileri üçüncü kişilerin eline geçmesini önleyecek gerekli tedbirleri almaları ve bu konuda azami özeni göstermeleri gereklidir.
Bireylere hız ve zaman kazandırmak amacıyla geliştirilen internet bankacılığı kötüniyetli kişiler tarafından suça alet edilebilmektedir. Bu alanda özellikle bilgisayar korsanlığı yoluyla bir başka hesaba para aktarımı karşımıza çıkmaktadır. Kötüniyetli kişilerce, internet bankacılığını kullanan kişilerin internet bankacılığını kullanabilmeleri amacıyla banka tarafından sağlanan şifreleri ele geçirilip kişilerin banka hesaplarındaki paralar çekilmektedir. Banka hesaplarından bu yolla para çeken kötüniyetli kişilerin cezai sorumluluğu dışında bankaların da sorumluluğu gündeme gelebilecek midir? Banka, müşterisine internet bankacılığı amacıyla sağlanan şifrenin kötü niyetli kişilerin eline geçirilmesinde kusuru olmadığını iddia ederek böyle bir sorumluluktan kurtulabilecek midir?
Öncelikle bankaların mudileriyle (emanet veren kimse) yaptığı sözleşmelerin niteliğini belirlemek gerekmektedir. Bankalar kendilerine yatırılan paraları istenildiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdürler. Buna göre bankalar ile mudileri arasındaki sözleşme, mevduat ödünç ile saklama sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir Bunun sonucu olarak da mevduatın niteliğine uygun düştüğü oranda ödünç sözleşmesi veya saklama sözleşmesinin özellikle misli şeylerin saklanmasına ilişkin hükümlerin kıyasen uygulanması gerekir.
Ödünç sözleşmesi, Borçlar Kanunu’nun “Tüketim Ödüncü” başlıklı 386. maddesinde düzenlenmiştir. Bu hükme göre ödünç alan konumundaki banka, kendisine ödünç verilen parayı kararlaştırılmışsa faizi ile birlikte iadeye mecburdur.
Bu hükme paralel düzenleme 5411 sayılı Bankacılık Kanunu’nun 61. maddesinde yer almaktadır. Bankacılık Kanunu’nun 61. Maddesi ile “4721 sayılı Türk Medenî Kanununun rehinlere ve hapis hakkına, BK’nun alacağın devir ve temlikine, takasa dair hükümleri ile diğer kanunların verdiği yetkiler ve koyduğu yükümlülükler saklı kalmak şartıyla mevduat ve katılım fonu sahiplerine ödenmesi gereken tutarları geri alma hakları hiçbir suretle sınırlandırılamaz.” şeklinde düzenleme yapılmıştır.
Saklama sözleşmelerinde de misli şeylerin saklanmasına ilişkin durumun hükme bağlandığı Borçlar Kanunu’nun 570. maddesi, “Saklayanın kendisine bırakılan parayı aynen geri vermek zorunda olmaksızın mislen geri vermesi açıkça veya örtülü olarak kararlaştırılmışsa, o paranın yararı ve hasarı kendisine ait olur.” diyerek misli şeylerin saklanması durumunda paranın nef’i ve hasarı mutlak şekilde saklayana geçecektir. Nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, bilgisayar korsanlığı yoluyla usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Bu husus Yargıtay Hukuk Genel Kurulu’nun 21.11.2012 tarihli 2012/11-550 E. ve 2012/820 K. sayılı ilamında da açıkça ifade edilmektedir.
Yargıtay’ın bilgisayar korsanlığı yoluyla yapılan usulsüz para transferi işlemlerinde, internet bankacılığı kullanan müşteriye karşı değil, bankaya karşı yapılmış olduğunu kabul ettiği Yargıtay 11. Hukuk Dairesi’nin 12.05. 2009 tarihli 2008/1977 E. ve 2009/5714 K. Sayılı ilamında da ifade edilmektedir:
“…3. kişi tarafından gerçekleştirilen sahtecilik işlemi davacıya karşı değil, davalı bankaya karşı yapılmış olduğundan banka kural olarak bu zararı karşılamakla yükümlüdür.”
Dolayısıyla internet bankacılığı kullanan kişilerin, banka hesaplarındaki paralarının üçüncü kişilerce çekilmesinden dolayı mevduat sahibinin bankaya karşı alacağı aynen devam ettiğinden bankaya karşı maddi ve manevi tazminat davası açılabilmektedir.
Bankaların güven kuruluşları olmaları nedeniyle aldıkları mevduatları bu tür dolandırıcılık faaliyetinde bulunan kötüniyetli üçüncü kişilere karşı özenle korumakla yükümlüdürler. Bu hususta bankalar internet bankacılığı yoluyla yapılan bu tür dolandırıcılık faaliyetlerine karşı sorumluluğu objektif özen sorumluluğu altındadırlar. Bankalar, bir güven kurumu olmaları nedeniyle objektif özen sorumluluğunun yerine getirilmemesinden kaynaklanan hafif kusurlarından dahi sorumlu tutulmaktadırlar. Bu husus, Yargıtay 11. Hukuk Dairesi’nin 12.05.2009 tarihli 2008/1977 E. Ve 2009/5714 K. Sayılı ilamında da açıkça ifade edilmektedir. Bu nedenle, bankaların internet bankacılığı yoluyla yapılan bu tür dolandırıcılık faaliyetlerine karşı her türlü önlemin yanında ek güvenlik tedbirleri almakla da yükümlüdür. Bankalar her ne kadar şifreleme, sanal klavye gibi yöntemlerle internet bankacılığı için güvenlik önlemleri alsa da bunların dışında ek güvenlik önlemleri almakla yükümlüdürler. Bu yükümlülüğe aykırı olarak ek güvenlik önlemi almayan bankalar, müşterilerinin bilgisayar korsanlığı yoluyla uğramış oldukları zararları tazminle yükümlüdürler. Söz konusu ek güvenlik önlemi olarak kısa sürede sayısız işlem yapılmasını fark edip buna ilişkin üzerinde işlem yapılan banka hesabı sahibine telefon mesajıyla bilgi verme veya tek kullanımlık şifre sağlamak gibi güvenlik sistemleri örnek verilebilir. Yargıtay 11. Hukuk Dairesi’nin 22.06.2006 tarihli 2005/4748 E. ve 2006/7341 K. Sayılı ilamında bu husus şöyle değerlendirilmiştir:
“…davalı bankanın iki ayrı şubesinde hesabı bulunan davacının taraflar arasındaki bireysel internet şubesi sözleşmesi uyarınca davalının internet şubesi nezdinde yaptığı işlemlerde kullandığı kullanıcı adı ve şifresinin bilgisayarına yerleşmiş casus programlarda başkasınca elde edilerek davacı hesaplarından ( 20.146.720.234 ) TL’nin çok kısa bir süre içerisinde ( 16 ) ayrı işlemle internet yolu ile davacının haberi olmadan davalı bankanın Konak Şubesi’ne aktarılmasında bu tür bilgisayar korsanlığı yöntemiyle işlemler yapılmasını önleme yolunda ek güvenlik tedbirleri almayan ve olaydan sonra bu yola tevessül eden davalının kusurlu ve sorumlu bulunduğunun, davacının sanal klavye kullanması halinde dahi bunun yapılan bilgisayar korsanlığını engellemeye teknik olarak yetmeyeceğinin anlaşılmasına, işlemi yapan kişi hakkındaki ceza soruşturması sonucunun hafif kusurundan dahi sorumlu olan davalı banka bakımından etkili görülmemesine göre, davalı vekilinin temyiz itirazlarının reddi gerekmiştir.
Öte yandan Yargıtay, bu tür ek güvenlik tedbirlerini almayan bankanın bilgisayar korsanlığı yoluyla yapılan dolandırıcılık faaliyetlerinden tam kusurlu ve sorumlu olarak kabul etmektedir. Yargıtay 11. Hukuk Dairesi’nin 18.02.2010 tarihli 2008/5526 E. ve 2010/1892 K. sayılı ilamında bu husus ifade edilmiştir:
“Çok kısa bir süre içerisinde 12 ayrı işlemle internet yoluyla davacının haberi olmadan davalı banka nezdindeki hesabından fazla miktarda para çıkışına neden olan ve tek kullanımlık şifre, telefon mesajıyla bilgi verme gibi ek güvenlik önlemlerini uygulamayan davalı bankanın tam kusurlu ve sorumlu bulunduğunun kabulü gerekir. Mahkemece, olayda kasıtlı olarak şifresini üçüncü kişiye verdiği, asıl fail birlikte hareket ettiği kanıtlanamayan davacının da eşit oranda kusurlu kabul edilerek, yazılı şekilde karar verilmesi doğru görülmemiş, kararın bu sebeple davacı yararına bozulması gerekmiştir.”
Bankaların bilgisayar korsanlığına karşı, aldıkları mevduatları özenle korumak amacıyla tüm tedbirleri alıp almadığı hususu her somut olayda değerlendirilmesi gerekir. Yargıtay da pek çok kararında bankanın bu tür dolandırıcılık faaliyetlerine karşı gerekli tedbirleri alıp almadığı ve uluslararası internet bankacılığının ulaştığı son aşama dikkate alınarak bankanın alabileceği bir önlem olup olmadığı konularının araştırılıp araştırılmadığını değerlendirmektedir. Bu incelemeler yapılmadan verilen kararları eksik incelemeye dayanarak hüküm verildiği gerekçesiyle bozmaktadır. (Yargıtay 11. Hukuk Dairesi’nin 12.05.2009 tarihli 2008/1977 E. ve 2009/5714 K. sayılı ilamı) Ayrıca Yargıtay, bankalara alacakları güvenlik tedbirlerinin uluslararası yeni teknolojik gelişmeleri takip edilerek güncellenmesi gerektiğini, hatta böyle bir yeni gelişme neticesinde güncellenen güvenlik tedbirinin tüm müşterilerince kullanılmasını zorunlu tutması gerektiğini Yargıtay 11. Hukuk Dairesi’nin 28.06.2010 tarihli 2009/1506 E. ve 2010/7532 K. Sayılı ilamında şöyle ifade etmiştir:
“…davalı bankanın internet bankacılık hizmetine yönelen bu tip tehditlere karşı güncel teknolojileri takip ederek yeni gelişmeleri bilgisayar sistemlerine entegre edip, müşterileri tarafından kullanılmasını sağlaması, hatta internet bankacılığı kullanan tüm müşterilerini bu uygulamaları kullanmaya mecbur tutması gerektiği, müşterinin haberi olmadan bilgisayar korsanlığı yoluyla başka bir hesaba aktarılmasının önlenmesi konusunda ek güvenlik tedbirleri almayan bankanın, hafif kusurundan dahi sorumlu olduğu gerekçesiyle alacağın davalıdan tahsiline karar verilmiştir.”
Bankalar, internet bankacılığı faaliyetlerini yürütebilmesi için müşterileriyle internet bankacılığı sözleşmeleri imzalamaktadır. Bu sözleşme kapsamında müşterilerin işlem yapabilmesi için müşterilere internet şifresi verilmektedir. İnternet bankacılığı kullanan müşterilerin bu internet şifresini koruma yükümlülüğü bulunmaktadır. Bankalar, bu yükümlülüğe dayanarak bilgisayar korsanlığı yoluyla yapılan bu tür dolandırıcılık faaliyetlerinde her ne kadar müşterilerinin, bankaca sağlanan şifrelerini başkalarınca ele geçirilmesinde kusurlu olduğunu iddia etseler de bu kusuru ispatlayamadıkları sürece bu iddiaları dikkate alınmamaktadır. Eğer banka, müşterilerinin şifrelerinin güvenliğini korumada kusurlu olduklarını ispat etse sorumluluktan tamamıyla kurtulamamaktadır. İnternet bankacılığını kullanan müşterilerin internet bankacılığı şifrelerinin üçüncü kişilerin eline geçmesinde kusuru bulunması ve banka tarafından bu kusuru ispatlanması halinde müterafik kusur hükümleri uygulanmaktadır. Bu halde banka, tazminattan indirim talep edebilmektedir. Müterafik kusurun oranı her somut olaya göre değişmektedir.
Bankaların internet bankacılığı faaliyetleri için müşterileri ile bilgisayar korsanlığına ilişkin sorumsuzluk anlaşmaları imzalamaları da bankaları bilgisayar korsanlığına karşı aldıkları mevduatları özenle koruma sorumluluğundan kurtarmamaktadır. Bu tür sorumsuzluk sözleşmeleri, Borçlar Kanunu madde 115 gereğince hükümsüz kabul edilmektedir. Bu husus açık bir şekilde Yargıtay 11. Hukuk Dairesi’nin 12.05.2009 tarihli 2008/1977 E. ve 2009/5714 K. sayılı ilamında şöyle ifade edilmiştir:
“Güven kuruluşları olan bankalar, aldıkları mevduatları sahtecilere karşı özenle korumak zorundadırlar. Bu hususta objektif özen borcu altında olan bankalar, hafif kusurlarından dahi sorumludurlar. BK’nun 99. maddesi uyarınca (Yeni Borçlar Kanunu madde 115) yapmış oldukları sorumsuzluk anlaşmaları da geçerli değildir. 3. kişi tarafından gerçekleştirilen sahtecilik işlemi davacıya karşı değil, davalı Kuveyt Türk A.Ş.’ye yapılmış olduğundan banka kural olarak bu zararı karşılamakla yükümlüdür. “
Yargıtay Hukuk Genel Kurulu’nun 21.11.2012 tarihli 2012/11-550 E. ve 2012/820 K. sayılı ilamı da bu yöndedir:
“TTK’nun 20. maddesi hükmüne göre, banka basiretli tacirden beklenen özen derecesini de göstermek zorundadır, aksi halde hafif kusurundan dahi sorumludur. (İbrahim Kaplan, Bankanın Hukuki Sorumluluğu, Haluk Tandoğan’ın Hatırasına Armağan, S.455; Tandoğan, Bankacılıkta Sorumluluk, C.3, s.110 )Bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira; BK’nun 99 ve 100/3 maddesine göre, hile ve ağır kusurun varlığı halinde borçluyu sorumluluktan kurtaran sözleşme şartları ahlak ve dürüstlük kuralına aykırı olduğundan geçersizdir. (Mustafa Çeker, Hukuki Yönüyle Banka Mevduatı, Adana 2004, S.281-233 )
Sorumsuzluk anlaşmalarına getirilen sınırlama daha güçlü durumdaki bankalara karşı daha zayıf durumdaki kişiyi koruma (sosyal adalet )nedenine dayanmaktadır.”
Bankaların basiretli tacir olarak hafif kusurlarından dahi sorumlu olması ve günümüzün teknolojik seviyesinde elektronik imza vb. gibi gelişmiş güvenlik önlemleri almanın hizmet sunucusu olan bankaların yükümlülüğünde olması nedeniyle bankaların bilgisayar korsanlığı yoluyla yapılan sahtecilik faaliyetlerine karşı büyük bir sorumluluk altındadır.
3- KİŞİSEL VERİLERİN KORUNMASI HAKKINDA KANUN
6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazete’de yayımlanmıştır. Söz konusu Kanunun bazı maddeleri (8, 9, 11, 13, 14, 15, 16, 17, 18. maddeleri) Resmi Gazete’de yayımlandıktan 6 ay sonra yürürlüğe girecek olup diğer maddeleri yayım tarihiyle yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişileri kapsamaktadır. Kanun, ayrıca kişisel veri, kişisel verilerin işlenmesi gibi pek çok kavramların tanımı yapmıştır. Buna göre kişisel veri, gerçek kişiye ilişkin her türlü bilgidir. Burada gerçek kişinin kimliğinin belirli olması yanından belirlenebilir olması halinde de işlenen kişisel verileri koruma kapsamına alınmaktadır. Bir de özel nitelikli kişisel veriler bulunmaktadır. Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik özel nitelikli olarak ayrı Yine kişisel verilerin işlenmesi kavramı, kişisel veri kavramının tanımında olduğu gibi geniş tutulup “*kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”* şeklinde tanımlanmıştır.
Kişisel veriler kural olarak, kişinin açık rızası olmaksızın işlenemez. Ancak aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenmesinde ilgilinin açık rızasının yanında Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır. Özel nitelikli kişisel veriler, yukarıda belirtilen hallerdeilgili kişinin açık rızası aranmaksızın işlenebilir. Ancak sağlık ve cinsel hayata ilişkin kişisel bilgiler istisnadır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel verilerin işlenmesini gerektiren halin ortadan kalkması halinde, işlenen kişisel veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. (Kişisel verilerin anonim hale getirilmesi, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirmektir.) Buna uyulmaması halinde Türk Ceza Kanunu madde 138 kapsamında verileri yok etmeme suçundan dolayı 1 yıldan 2 yıla kadar hapis cezası gündeme gelecektir.
Kişilerin, kendilerine ait kişisel verilerin işlendiğini bilmesi gerekir ki bu kişisel verilerin silinmesi için başvurabilsin. Hakkındaki kişisel verilerin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi talep edilmesi gibi hususları, Kişisel Verilerin Korunması Kanunu, herkesin kullanabileceği bir hak olarak görmüştür. İlgili kişiler,kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir. Eğer kişisel bilgiler aktarılmışsa yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, düzeltilen bilgilerin üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel verilere ilişkin işlenen suçlarla ilgili Türk Ceza Kanunu’nun ilgili hükümlerine atıf yapılıp Kişisel Verilerin Korunması Kanunu’nda yer alan yükümlülüklerin yerine getirilmemesi kabahat olarak düzenlenmiş ve yaptırım olarak farklı miktarlarda para cezası öngörülmüştür.
Kanun koyucu, elektronik ticarete ilişkin hizmet sağlayıcıların sorumluluklarını, ticari iletişimi, elektronik iletişim araçlarıyla yapılan sözleşmeleri düzenlediği Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ile hizmet sağlayıcı ve aracı hizmet sağlayıcılara söz konusu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumlu olduklarını belirtmiştir. Ayrıca yine bu kanuna göre hizmet sağlayıcı ve aracı hizmet sağlayıcılara kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamazlar.
Bilgisayar korsanlığı yoluyla yapılan aldatma, dolandırıcılık faaliyetlerinde bir tarafın banka değil de tacir olması ihtimalinde Yargıtay’ın genel uygulamasına bakıldığında Türk Ticaret Kanunu madde 18’de yer alan her tacirin ticaretine ait bütün faaliyetlerinde basiretli hareket etmesi yükümlülüğü altında olduğundan hafif kusurlarından sorumlu tutulacaktır. Bu nedenle tacir olan tarafların bilgisayarlarının siber saldırılara karşı güvenliğini sağlama, bu konuda güncel gelişmeleri uyarınca gerekli önlemleri almaya devam etme yükümlülüğü bulunmaktadır. Bu yükümlülüğe aykırı hareket etmesi, gerekli tüm önlemleri almadan işlem yapması, doğacak zararları karşılama sorumluluğu altına sokacaktır.
Bizimle temasa geçin