Ticari veriler güvende mi?
“G ümrük İdaresinin Modernizasyonu Projesi” 2000’li yılların başlarında tüm gümrük camiasının kodlarını değiştirdi. Gümrük beyanı yapılmasına olanak tanıyan “BİLGE” (Bilgisayarlı Gümrük Etkinlikleri) yazılımı kamuda ilk interaktif çalışan, daha da önemlisi, gümrük idareleri ile gümrük yükümlüleri arasında veri alışverişine ve onayına olanak sağlayan bir yazılım olarak varlığını sürdürdü. Bu projenin öngördüğü düzenlemelere ve otomasyona geçmeyi başaran gümrük müşavirliği şirketleri ve acenteler hayatta kalmayı başarabildi. Bunu başaramayanlar ise faaliyetlerine son vermek zorunda kaldı.
Yazılımın geliştirildiği 1998 yılında dünya düzeyinde yaygın bir internet altyapısı bulunmuyordu. O yıllarda EDI (Electronic Data Interchange) adlı bir yazılım sistemler arasında veri transferine olanak tanıyor, ancak yaygın olarak kullanılmıyordu. Dolayısıyla gümrük idaresi de bu yazılımın kullanılarak gümrük yükümlülerinin kendi bürolarından sisteme erişimi için bazı arayüz yazılımı geliştiren bilişim firmalarına BİLGE’ye erişim olanağı sağladı. Takip eden yıllarda yaygın bir erişim ağı kuran internet ile küresel düzeyde - izin verildiği ölçüde - her sisteme erişim mümkün hale geldi. An itibarıyla, BİLGE sistemine gümrük müdürlüklerinde bulunan veri giriş salonlarındaki bilgisayar terminallerinden, arayüz yazılımlarını geliştiren firmaların paket yazılımları kullanılarak ya da internet üzerinden bağlantı kurulabiliyor.
BİLGE sistemi etkin bir güvenlik duvarı (firewall) ile korunmaya çalışılıyor. Ancak, “hacker” diye tanımlanan bilgisayar korsanları da boş durmuyor. En iyi korunan sistemler de delinebiliyor. Hatta banka sistemlerine giren korsanlar milyonlarca dolar tutarında paraları kendi hesaplarına aktarabiliyor.
Bilişim sistemlerinin küresel düzeyde bu denli yaygınlaşması ve veriye erişimin çok kolaylaşması, kendimizce mahrem kabul ettiğimiz verilerin de rahatlıkla internet ortamlarında kullanılması ortamını yarattı. Bunu önlemeye yönelik olarak son 20 yıldan beri tüm dünyada kişisel verilerin korunmasına yönelik yasal düzenlemelerin yaygınlaştığına tanıklık ediyoruz.
Türkiye’de ilk olarak 2010 yılında Anayasa’nın “Özel hayatın gizliliği” başlıklı 20'inci fıkrasına eklenen üçüncü fıkra ile bu konuda yasal altyapı düzenlemeleri başlatıldı. Fıkrada “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmişti.
Daha sonra 24 Mart 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girdi. Bu alandaki düzenlemeleri yapmak ve izlemekle görevli “Kişisel Verileri Koruma Kurulu” oluşturuldu. Anılan kurulun bu konuda yayımlanmış onlarca yönetmeliği, tebliği ve kurul kararı ile bu alanda yasal altyapı oluşturularak güncelleniyor.
Kişisel veriler kadar ticari ve sınai hayattaki verilerin güvenliği de önem taşıyor. Kendi ticari verilerinin piyasada paylaşıldığı, hatta pazarlandığı, bu nedenle yurtdışından müşteri kaybı yaşandığı, anılan veriler kendileri tarafından paylaşılmadığına göre, bunların BİLGE sisteminden sızmış olabileceği yönündeki yakınmaların önüne geçilemiyor.
Ticaret Bakanlığı 20 Nisan tarihli Resmi Gazete’de yayımlanan yönetmelik değişiklikleri ile bu konudaki yasal altyapıyı perçinlemeye çalıştı.
Gümrük Yönetmeliği’nin 112’nci maddesine eklenen 5’inci fıkrada “Beyanın, bilgisayar veri işleme tekniği yoluyla beyanda bulunulmasına yazılım hizmeti sunmak suretiyle aracılık eden kişiler tarafından sağlanan yazılımlar kullanılarak yapılacak olması halinde, söz konusu yazılım hizmetini sunan hizmet sağlayıcılar tarafından uyulması gereken usul ve esaslar ile bu kişilerin sistemlerinin sahip olması gereken teknik yeterlilikler Bakanlıkça belirlenir” denildi.
Aynı yönetmeliğinin “Gümrük müşavirinin yükümlülükleri” başlıklı 563’üncü maddesine de aşağıdaki 7, 8 ve 9’uncu fıkralar eklendi:
“( 7) Gümrük müşavirliği hizmeti veren gerçek ve tüzel kişiler ile bunların ortak ve çalışanları, hesabına beyanda bulundukları kişi veya kuruluşlara ait öğrendikleri bilgi ve ticari sırları mesleki faaliyetlerine son verseler dahi açıklayamazlar. Ancak, adli veya idari her türlü inceleme veya soruşturma durumunda bu hüküm uygulanmaz.
(8) Gümrük müşavirliği hizmeti veren gerçek ve tüzel kişiler, bilgisayar veri işleme tekniği yoluyla beyanda bulunulmasına yönelik olarak kullandıkları bilgisayar sistemlerinde verilerin güvenliği için her türlü tedbiri almak zorundadır. Bilgisayar veri işleme tekniği yoluyla beyanda bulunulmasına yönelik üçüncü kişilerden hizmet alınması durumunda hizmet alınan kişiyle yazılı sözleşme yapılması ve bu sözleşmede hizmet sağlayıcının verilerin güvenliği için her türlü tedbiri alacağı ve sunulan hizmet kapsamındaki bilgi ve sırları açıklayamayacağı hususlarının açıkça belirtilmesi gerekir.
(9) Sekizinci fıkrada yer alan sözleşme şartını yerine getirmeyen gerçek ve tüzel kişi müşavirlerin, bu şart yerine getirilinceye kadar dolaylı temsil hizmeti vermesine izin verilmez.”
Gerçekten de dolaylı temsilci sıfatıyla gümrük beyanında bulunan gümrük müşavirleri müşterilerinden edindikleri verilerin güvenliği konusunda çok hassas olmak durumundadır. Bu yönüyle kendilerine arayüz yazılımı ile hizmet sağlayanlarla veri güvenliği konusunda bağlayıcı hükümler içeren sözleşmeler imzalamalı ve tabiri caizse “emanete ihanet” etmemelidir.
Bununla birlikte, Ticaret Bakanlığı da “rahatlıkla nakde dönüştürülebilen bu ticari verileri kendi çalışanlarım da aynı hassasiyetle koruyor mu” diye antenlerini hep açık tutmalı ve böyle bir tespit yapılırsa gereğine tevessül etmekten çekinmemelidir.
BİLGE sistemi etkin bir güvenlik duvarı ile korunmaya çalışılıyor. Ancak, en iyi korunan sistemler de delinebiliyor. Hatta banka sistemlerine giren korsanlar milyonlarca dolar tutarında paraları kendi hesaplarına aktarabiliyor.