West Gate Toplu Yapı Sitesi Yöneticiliği Veri İhlaline Uğradığını Açıkladı!

Büyük sitelerin yönetimini üstlenen ve yönetim kurulu faaliyetlerini yürüten West Gate Toplu Yapı Sitesi Yöneticiliğinin 25/02/2021 günü veri ihlaline uğradığı ortaya çıktı. KVKK’a 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü uyarınca veri ihlali bildiriminde bulunan West Gate Toplu Yapı Sitesi Yöneticiliği firması ayrıca resmi internet sitesinden veri ihlaline dair ayrıntılı bir açıklama metni de yayınlandı.

Yaşanan veri ihlalinin 25.02.2021 tarihinde veri sorumlusunun bir çalışanının, site yönetiminde kullanılan bir yazılım programında kendisine ait kullanıcı adı ve şifresini yetkisiz üçüncü kişilerle paylaşması sonucu kat maliklerine ve bağımsız bölüm kullanıcılarına ait kişisel verilerin ele geçirilmesi neticesinde gerçekleştiği, ihlalden etkilenen kişi grubunun West Gate Toplu Yapı Sitesi Bağımsız Bölüm Kullanıcıları ile Kat Maliklerinin olduğu, 2200 kişiye ait kimlik, iletişim, lokasyon, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, finans veri kategorilerinin etkilendiğinin tespit edildiği KVKK tarafından duyuruldu.

West Gate Toplu Yapı Sitesi Yöneticiliği tarafından yapılan resmi açıklama;
“Yerleşkemizde faaliyet yürüten birkaç emlakçının, bir avukat ve beraberinde eski bir site çalışanı ile birlikte hareket ederek, ekseriyetle arsa sahiplerinden oluşan bir kısım maliklerimizden imza toplamak suretiyle olağanüstü genel kurul toplantısı yapılması yönündeki talepleri tarafımıza ulaştıktan sonra; Yönetim olarak Genel Kurul Toplantısı için ilgili makamlardan görüş istenmiş; Ankara İl Umumi Hıfzıssıhha Kurulu’nun 02.03.2021 tarihli ve 2021/11 sayılı kararının 6. maddesi çerçevesinde sitemizde bulunan kat maliki/bağımsız bölüm sayısının 789 olması ve 300 kişilik sınırlamanın üzerinde kalması sebebiyle şu an Genel Kurul yapılamayacağı ve kısıtlama kararı ortadan kalktıktan sonra Genel Kurul yapılmasının planlandığı yönündeki cevabi yazımıza (Ek-1) rağmen kat maliklerine sms ve e-mail yoluyla toplantı daveti gönderildiği anlaşılmıştır.

Bilindiği üzere “olağanüstü” genel kurul çağrısı, gerekli görülen hallerde Yönetim Kurulu tarafından ve kat maliklerinin üçte birinin yazılı talebi halinde de yine Yönetici veya Denetçi tarafından olağanüstü gündeme istinaden yapılabilmektedir.

Öncelikle belirtmek isteriz ki, Yönetimimiz tarafından herhangi bir olağanüstü toplantı çağrısı yapılmamıştır. Öncülüğünü kat maliki olmayan ve sitemizde emlak faaliyeti sürdürmekte olan bazı yetkisiz kişilerin yaptığı anlaşılan sözde olağanüstü genel kurul daveti, ilgili mevzuata ve usule uygun değildir, dolayısıyla “yok” hükmündedir. Yönetim Kurulumuz tarafından yapılmayan bu “toplantı davetine” itibar edilmemesi ve 31.03.2021 tarihinde yapılacağı söylenen bahse konu toplantıya iştirak edilmemesi hususunu önemle istirham ederiz.

Toplantı Daveti; Yönetim tarafından yapılmadığı gibi (olağanüstü) toplanılmasını gerektiren olağanüstü bir gündemi de içermemektedir. Zira bahse konu usulsüz “toplantı” daveti, yeni yönetim seçilmesi, gecikmiş aidat borçlarının faizlerinin silinmesi gibi “olağan” konuları içermektedir. Mevzuata göre “olağanüstü” toplantı talebi çerçevesinde değerlendirilemeyecek bu usulsüz davetin, kanuna ve Yönetim Planına aykırı olması bir yana; sizlerin kişisel verilerinize nasıl ulaşıldığı yönetimi meşgul eden asıl konu olmuştur!

Yaptığımız araştırmada; bir çalışanımızın Site yazılım program (Apsiyon) şifresinin 3. Şahıslar tarafından ele geçirilerek IP numarasını tespit ettiğimiz bir başka bilgisayardan uygulamaya girildiği ve site sakinlerinin İsim, Adres, T.C. Kimlik Numarası, Araç plaka numaraları, Aidat Borç Bilgileri, Cari hesap ekstraları gibi bir takım finansal ve özel verilerin ele geçirildiği tespit edilmiştir. Ele geçirilen bu bilgilerle hazırlanan olağanüstü toplantı davetinin, grup avukatının kendi e-posta adresinden siz site sakinlerimize gönderildiğini öğrenmiş bulunmaktayız. Site yazılım program Şifresini bu grupla paylaşan yönetim çalışanı yaptığımız LOG kayıt incelemelerinde tespit edilmiş ve yazılı savunması alınmak sureti ile iş akdi feshedilmiştir. Sorumluların kim olduğunun, pervasızca kendi hesaplarını kullanmalarından belli olduğu somut olayda, Apsiyon uygulamasına girilerek kişisel verilere ulaşan kişilerin kim olduğu tarafımızca bilinmekle beraber Savcılık soruşturması ile bu kişiler kolaylıkla tespit edilebilecektir. Ayrıca kişisel verilerin çalınması ve yasal olmayan yollarla işlenmesinden dolayı yönetim olarak Kişisel Verileri Koruma Kuruluna 27.03.2021 tarihinde ihlal bildirimi yaptığımızı ve bu başvuru dolayısıyla yasal bir sorumluluk olan kişisel verileri çalınan site sakinlerine bildirim yapma mecburiyetine istinaden bu duyuru yapılmaktadır.

(Ek-2 KVKK İhlal Bildirimi Başvurusu)

İçinde bulunduğumuz Pandemi ortamında “olağanüstü” genel kurul talebi ile ortaya çıkan bu grubun, hepimizin Anayasanın 20. maddesinde güvence altına alınan mahremiyetini ağır bir şekilde ihlal etmiş olmasından derin üzüntü duymaktayız. Bu nedenle, ağır ve bariz ihlalin müsebbiplerinin hak ettiği ceza ile yüzleşmeleri için elbirliği ile ciddi bir mücadele yürütmemiz gerektiği açıktır. Gerek cezai sürece tek tek müdahil olmanız ve gerekse maddi – manevi tazminat taleplerini içerecek hukuki sürece yönetimin yanında ve birlikte katılmanız çok mühimdir. Özellikle bu konuda hassasiyeti yüksek olan sakinlerimizin, kendi hukukçuları marifeti ile de yönetime yardımcı olacak şekilde eş güdüm halinde hareket etmesi en büyük temennimizdir. Zira aşağıda özetlediğimiz hukuki düzenlemeler, yerleşkemizi yönetmeye talip olan grubun, hepimizin güvenliğini nasıl tehlikeye attığını ortaya koyar niteliktedir:

Türkiye’yi de bağlayan, Avrupa Konseyi Bakanlar Komitesinin 23.2.1999 tarihindeki 660. toplantısında kabul edilen İnternette Özel Hayatın Korunmasına İlişkin R (99) 5 sayılı Tavsiye Kararına göre, özel hayata saygı gösterilmesi her fert için temel bir haktır. Kişisel verilerin tamamen veya kısmen elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem ancak bizlerin açık rızası ile gerçekleşebilir. Bu rızanın bulunmadığı, verilerin ele geçiriliş şeklinden belli olduğuna göre, sorumlular hakkında 5237 sayılı TCK 136 maddesinde; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” şeklinde ifadesini bulan suç kapsamında kovuşturma açılmasını talep etmek ve hukuk mahkemelerinde maddi-manevi tazminat davası açmak hepimizin görevi olmalıdır.

Yönetim olarak Ankara Cumhuriyet Başsavcılığı’na yapacağımız suç duyurusuna katkı sağlamak ve bizimle beraber katılmak isteyen bütün kat maliki ve kiracı site sakinlerimizi hazırlayacağımız dilekçemize 30.03.2021 Salı akşamı saat 15:00 ‘a kadar imza vermeye bekliyoruz. Bu nedenle, Sayın Kat Malikleri ve kiracılarımızın öncelikle elektronik posta adreslerini kontrol etmeleri, hukuki sürece nasıl katılacakları ve katkı verecekleri noktasında görüş alışverişinde bulunmaları için 29.03.2021 tarihinden itibaren Yönetimle iletişime geçmeleri hususlarında gereğini istirham ederiz.”

Hakkında Oğuzhan ÇALIŞKAN

Oğuzhan ÇALIŞKAN
Siber Güvenlik Araştırmacısı

Cevapla

E-posta adresiniz yayınlanmayacak. Required fields are marked *

*

sixteen − 3 =