Son günlerin en çok rastlanan bilişim suçlarından birisi de, şirket veya kurum personeli tarafından yapılan bilgi sızdırmaları. Şirket veya kurum bilgisayarlarında her personele açık bilgiler bulunabildiği gibi sadece belirli ve üst düzey personelin bildiği, genellikle ticari sır olarak adlandırılan birçok gizli bilgi de bulunabilmektedir. Örneğin bir reklâm şirketinde müşteri portföyü ve müşteriye özel fiyatlandırmalar gizli ve önemli bilgi kabul edilirken, makine üreten bir firmada projeler, taslaklar, üretim teknikleri, hammadde ve tedarik bilgileri gizli ve önemli kabul edilmektedir. Keza, bir ilaç firmasında da ilaç formülleri en hassas bilgi ve veri kategorisinde yer almaktadır.

Bazen, iki şirket arasında yapılan işbirliği ve bu işbirliği çerçevesinde paylaşılan bilgiler de özel anlaşma ile gizli bilgi sayılabilmektedir. İşbirliği sözleşmesine bir madde olarak eklenen ya da ayrı bir özel sözleşmeyle kararlaştırılan gizlilik, doğal olarak her iki şirketin çalışanlarını da kapsamaktadır.

Ticari sır kavramını açıklayabilecek belirli bir tanım yoktur. Ticari sırrın ne olduğu ve kapsamı, bu bilgilerin sahibi tarafından saptanmaktadır. Kanuna ve ahlâka aykırı olmayan her tür bilgi, ilgilisi ve sahibi tarafından ticari sır olarak sayılabilir ve korunması istenebilir. Ticari sırların sahibi, özel anlaşmalarla gizlilik sağlayabildiği gibi, bazı kanunların sağladığı imkânlarla da ticari sırlarına hukuki bir koruma sağlayabilir. Ancak, Türk Hukuku’nda henüz ticari sırlara ilişkin bir anlayış henüz oturmadığından dolayı bu koruma çok da yeterli değildir. Personel, ticari sır veya bilgi sızdırmayı kendi menfaatine yapabildiği gibi bir başkasının da menfaatine yapabilmektedir. Özellikle bilgi teknolojilerinin gelişmesi ve bilgi transferinin çok kolay hale gelmesi bu suçun işlenmesi için oldukça güzel bir altyapı hazırlıyor. Eskiden bu tarz bir suçun işlenmesi, defter veya kayıtların fiziki olarak şirket dışına çıkarılması yahut bu defter ve kayıtların kopyasının oluşturulup kopyaların şirket dışına çıkarılmasıyla oluşuyordu. Fiziki ortamda işlenebilen bu suç, fiziki önlemlerle çoğu zaman engellenebiliyordu. Ancak bilgi teknolojilerinin gelişmesi suçun fiziki olarak işlenmesine gerek duyulmadan basit bir takım kodlar veya yazılımlar tarafından çok kolay bir hale gelmiştir. Ayrıca, şirket veya kurumların, “bilgi güvenliği ve gizliliği” gibi bir politika oluşturmamış olmaları, şirket / kurum içerisindeki bilgisayarlarda ve ağ sistemlerinde hem donanım hem de yazılım olarak bir önlem alınmamış olması, kimin hangi bilgiye ne şartlarda erişebileceğinin saptanmamış olması, gerekli kayıt ve izleme önlemlerine başvurulmamış olması gibi boşluklar da suçun işlenmesi için yeterince olanak sağlamaktadır

Hâlbuki şirket veya kurum bilgisayarlarında projeler, müşteri bilgileri, know how bilgileri, formüller, çalışanlar hakkında özel bilgiler, muhasebe kayıtları, raporlar, teklifler, sözleşmeler, üretim teknikleri, pazarlama teknikleri, tedarikçi kayıtları gibi “ticari sır” kavramına girebilecek birçok elektronik belge bulunmaktadır. Bu elektronik belgeleri birilerinin ele geçirmesi, o şirket veya kurum için bir kâbustan farklı olmayacaktır. Bu tip suçların sonucunda, senelerin birikimi birkaç dakikada ele geçirilerek bir kurumun ekonomik geleceği yok olabilir ve bazen zarar milyonlarca lirayı bulabilir.

Şirket içi casusluk suçlarında kanunlarımızın yeterli olduğunu söyleyemeyiz. Bu tür bir suçun işlenmesi halinde, fiilin işleniş şekline ve tipine göre, faile bazı suçlardan dolayı ceza verilmesi mümkün olabilecektir. Bu konuda bazı olasılıklar yaratarak ne gibi suçlar işlenebileceğini görelim: Kendisinin kontrolüne verilmiş bir veriyi kurum dışına çıkartan faile, bu bilgileri bir başkasına vermesi veya açıklaması halinde TCK madde 239’da belirtilen ticari sırları ifşa etme suçundan bir yıldan üç yıla kadar hapis cezası verilebilecektir. Bu suçu işleyen personel, ticari sır sayılabilecek bilgileri ve belgeleri el geçirmek için özel bir çaba harcamayacaktır, zira bu bilgi ve belgeler kendisine duyulan güvenden dolayı kendisine teslim edilmiş veya öğrenmesinde sakınca görülmeyen bilgilerdir. Eğer personel, bu bilgileri bir başkasına vermeden veya açıklamadan kendi özel işleri için kullanırsa, sadece haksız rekabet suçu oluşacaktır. Uygulamada sık görülen bu eylemlerde, personel vakıf olduğu birçok bilgiyi, ya aynı sektörde kendisinin kurmuş olduğu yeni bir firmada, ya da aynı sektörde çalışan bir firmada kendi lehine kullanarak bu suçu işlemiş olabiliyor.

Kendisinin kontrolüne verilmeyen ya da bir başka deyişle kendisine erişim yetkisi verilmeyen bilgilere ulaşan faile, TCK’nın 244/2. maddesinde tanımlı “verileri ele geçirme” suçundan dolayı 6 ay ile 3 yıl arasında hapis cezası söz konusu olabilecektir. Bu suçu genellikle bilgisayar bilgisi yüksek alt düzey personel işlemektedir. Özellikle, bilgisayar ortamında bulunan önemli verileri özel bir koruma olmadan bulunduran şirketler bu suçun çok kolay mağduru olabilmektedir. Personel bilgileri ve verileri ele geçirdikten sonra, bu verileri bir başkasına verebilir, bu verileri kullanarak haksız bir menfaat elde edebilir. Bu sebeple bu suçun işlenmesi sırasında, ifşa etmek, dolandırıcılık, haksız rekabet gibi başka bir suçun oluşması da mümkündür. Bu halde, faile ayrıca o suçun cezası da verilebilecektir. Ticari sırları ele geçirmek için o kurum veya şirketin personeliyle işbirliği yapan üçüncü kişilere de bu suçlara azmettirmesi dolayısıyla da aynı cezaların verilmesi mümkündür. Genellikle rakip firma yöneticileri, bazı bilgileri elde etmeye çalışarak haksız kazanç elde etmeye yönelmektedir. Bunun için rakip firmadaki personel, çeşitli vaatlerle kandırılarak bu suçu işlemeye itilebilir. Ayrıca, üçüncü kişinin buradan elde edilen bilgilerden ticari olarak menfaat elde etmesi halinde, yani haksız rekabet suçu işlenmesi halinde Türk Ticaret Kanunu’nun 57/7, 57/8 ve 64. maddeleri uyarınca 1 aydan 1 yıla kadar hapis cezası gündeme gelecektir. Bazı olaylarda casus personelin, aynı firmadaki yöneticilerin ve diğer personelin yazışmalarını, anlık mesajlarını takip etmek için yerel ağı izledikleri görülmektedir. Bu suç sadece personel tarafından değil, üçüncü kişiler tarafından uzaktan yüklenebilen bazı casus programlar vasıtasıyla işlenebilmektedir. Bu durumda da, failin hem TCK’nın 244/2, hem de “haberleşmenin gizliliği” ihlal edildiği için ayrıca 132. maddeden dolayı cezalandırılabilmesi söz konusu olacaktır.  Kuşkusuz bu suç sadece personel tarafından değil firma sahibi veya yöneticisi tarafından personele karşı da işlenebilmektedir. Uygulamada çok sık rastlanan ve işverenin personeli izlemesinden elde edilen bilgiler, personeli taciz için kullanılabildiği gibi, personelin işten atılmasına dayanak da yapılabilmektedir.

 Ticari sırlar uçtuktan sonra fail(ler)in ceza alması, zararı elbette ortadan kaldırmayacaktır. Bu sebeple, suçu oluşmadan engellemek çok önemlidir. Bazı basit tedbirler bile bu suçun işlenmesini yahut bu suçtan mağdur olunmasını engelleyebilir. Şirket veya kurumlar, sistem güvenlik uzmanları eliyle önemli bilgi ve verilerin şifrelenmesinden başlayarak bu tedbirlere ilk adımı atabilirler. Personelin erişim konusunda yetkilendirmesi, yani hangi personelin hangi bilgilere ulaşabileceği ve hangi bilgileri değiştirebileceği belirlenmelidir. Firma veya kurum bilgisayarları ve ağ sistemi üzerinde trafik verileri tutulması da önemli ve gerekli bir önlemdir. Zira teşebbüs aşamasında kalan bazı suçlarda dahi failin tespit edilmesi trafik verileri sayesinde olabilecektir. Özellikle içerden gelecek yetkisiz erişimler ve tabi ki dışarıdan da gelebilecek yetkisiz erişimleri engellemek için ateş duvarı (firewall) gibi tedbirlerle sistemlerin güvenliği artırılmak zorundadır.

Yukarıda saydığımız teknik önlemlerin yanı sıra, hukuki tedbirler de alınmalıdır. Personelin iş akdine gizlilik ile ilgili maddeler eklenebilir ya da ayrı bir gizlilik sözleşmesi imzalanabilir. Bu sözleşmede, hangi tür bilgilerin veya verilerin ne kadar önemli olduğu belirlenebildiği gibi bu verilerin gizlilik dereceleri de saptanabilir. Ayrıca, ticari sırların ne olduğu ve bunların gizlilik derecesi bir politika olarak ortaya açıkça konmalıdır. Birçok ticari sırrın ve şirket verilerinin bir başkasına geçmesini önlemek için personelin bilgisayarını izleme tedbirlerine de başvurulabilir. Ancak bu tedbirin uygulanması için ve suç oluşmaması için bazı hukuki tedbirlerin de alınması gereklidir. Personel bilgisayarının izleneceğinin, elektronik posta yazışmalarının bir kopyasının tutulacağının personele yazılı olarak bildirilmesi ve personelin imzasının alınması zorunludur. Aksi takdirde, işverenin özel hayatın gizliliğini ihlal ve haberleşmenin gizliliğini ihlal suçunu işlemiş olması gündeme gelecektir.

Ticari sırlar gelişmiş ülkelerde en yüksek koruma altında bulunmaktadır. Özellikle üretim teknikleri ve ürün formülleri patentlerle korunduğu gibi, üretim ve pazarlama sırları yüksek güvenlik düzeyinde korunmaktadır. Ticari sırları ele geçiren ve ifşa edenlere çok yüksek miktarlarda cezalar verilebilmekte, suçun failleri ekonomik yaşamdan soyutlanmaktadır. Ülkemizde, son birkaç yıldır bazı kanun tasarıları hazırlanmaktadır. Yeni Türk Ticaret Kanunu tasarısı sınırlı da olsa ticari sırlar hakkında bazı hükümler içermektedir. Birkaç senedir kanunlaşmayı bekleyen Ticari Sırlar Kanunu tasarısı da gündemde durmaktadır. (Ticari Sırlar Kanunu Tasarısının tam metni http://tinyurl.com/37zwvm adresinde görülebilir)

Av. M.Gökhan Ahi